GPResult-Befehl: Diagnose der resultierenden Gruppenrichtlinien. Geben Sie eine detaillierte Beschreibung der Richtlinie des Servers für die Beziehung an. Arbeiten mit Administrations- und Routinggruppen. Volumenlizenz-Aktivierungsdienste Stellen Sie eine detaillierte Beschreibung der Serverrichtlinie in bereit

GPResult-Dienstprogramm.exe- repräsentiert Konsolenanwendung, entwickelt, um Einstellungen zu analysieren und Gruppenrichtlinien zu diagnostizieren, die für einen Computer und / oder Benutzer in einer Active Directory-Domäne gelten. Insbesondere können Sie mit GPResult die Daten des resultierenden Richtliniensatzes (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPO), deren Einstellungen und abrufen genaue Informationüber Verarbeitungsfehler. Das Dienstprogramm ist seit den Tagen von Windows XP Teil des Windows-Betriebssystems. Mit dem Dienstprogramm GPResult können Sie Fragen beantworten, z. B. ob eine bestimmte Richtlinie für einen Computer gilt, welches GPO das eine oder andere geändert hat Windows Setup, beschäftigen Sie sich mit den Gründen .

In diesem Artikel sehen wir uns die Besonderheiten der Verwendung des GPResult-Befehls an, um die Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne zu diagnostizieren und zu debuggen.

Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in ähnlicher grafischer Form zu erhalten die GPO-Editor-Konsole (unten sehen Sie im Beispiel der RSOP.msc-Konsolenansicht, dass die Update-Einstellungen festgelegt sind).

Allerdings ist die RSOP.msc-Konsole in modernen Windows-Versionen nicht praktisch zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSE) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, lässt keine Suche zu und bietet wenig Diagnoseinformationen. Daher weiter dieser Moment Es ist der GPResult-Befehl, der das Hauptwerkzeug zur Diagnose der Verwendung von GPOs in Windows ist (in Windows 10 gibt es sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert).

Verwenden des Dienstprogramms GPResult.exe

Der GPResult-Befehl wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien testen möchten. Der GPResult-Befehl hat die folgende Syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) und andere Einstellungen im Zusammenhang mit der GPO-Infrastruktur gelten (d. h. die resultierenden GPO-Richtlinieneinstellungen - RsoP):

Die Ergebnisse der Befehlsausführung sind in 2 Abschnitte unterteilt:

• RECHNER DIE EINSTELLUNGEN (Computerkonfiguration) – der Abschnitt enthält Informationen über GPO-Objekte, die den Computer betreffen (als Active Directory-Objekt);
• BENUTZER DIE EINSTELLUNGEN – Benutzerabschnitt von Richtlinien (Richtlinien, die gelten für Konto Benutzer im AD).

Gehen wir kurz auf die wichtigsten Parameter/Abschnitte ein, die für uns in der Ausgabe von GPResult von Interesse sein könnten:

• Seite? ˅Name(Site-Name:) - der Name der AD-Site, in der sich der Computer befindet;
• CN– Vollständiger kanonischer Benutzer/Computer, für den die RSoP-Daten generiert wurden;
• ZuletztZeitGruppePolitikwarangewandt(Zuletzt angewendete Gruppenrichtlinie) – der Zeitpunkt, zu dem Gruppenrichtlinien zuletzt angewendet wurden;
• GruppePolitikwarangewandtvon(Gruppenrichtlinie wurde angewendet von) – der Domänencontroller, von dem sie geladen wurde letzte Version GPOs
• DomainNameund DomäneArt(Domänenname, Domänentyp) – Name und Version des Active Directory-Domänenschemas;
• AngewandtGruppePolitikObjekte(Angewandte GPOs)– Listen aktiver Gruppenrichtlinienobjekte;
• DiefolgendeGPOswarnichtangewandtdasiewargefiltertaus(Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie gefiltert wurden) - nicht angewendete (gefilterte) GPOs;
• DieBenutzer/RechneristaTeilvonderfolgendeSicherheitGruppen(Der Benutzer/Computer ist Mitglied der folgenden Sicherheitsgruppen) – Domänengruppen, denen der Benutzer angehört.

In unserem Beispiel sehen Sie, dass das Benutzerobjekt von 4 Gruppenrichtlinien betroffen ist.

• Standarddomänenrichtlinie;
• Windows-Firewall aktivieren;
• DNS-Suffix-Suchliste

Wenn Sie nicht möchten, dass die Konsole gleichzeitig Informationen zu Benutzerrichtlinien und Computerrichtlinien anzeigt, können Sie die Option /scope verwenden, um nur den Abschnitt anzuzeigen, an dem Sie interessiert sind. Nur resultierende Benutzerrichtlinien:

gpresult /r /scope:Benutzer

oder nur angewendete Maschinenrichtlinien:

gpresult /r /scope:computer

Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Konsole aus Befehlszeile, was für eine spätere Analyse nicht immer bequem ist, kann seine Ausgabe in die Zwischenablage umgeleitet werden:

gpresult /r |clip

oder Textdatei:

gpresult /r > c:\gpresult.txt

Um sehr detaillierte RSOP-Informationen anzuzeigen, fügen Sie den Schalter /z hinzu.

HTML-RSOP-Bericht mit GPResult

Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht zur Anwendung generieren resultierende Politik(verfügbar in Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen zu allen Systemeinstellungen, die von Gruppenrichtlinien festgelegt werden, sowie die Namen bestimmter GPOs, die diese festlegen (der resultierende Bericht zur Struktur ähnelt der Registerkarte „Einstellungen“ in der Domänengruppenrichtlinien-Verwaltungskonsole – GPMC). Mit dem folgenden Befehl können Sie einen HTML-GPResult-Bericht generieren:

GPResult /h c:\gp-report\report.html /f

Führen Sie den folgenden Befehl aus, um einen Bericht zu generieren und automatisch in einem Browser zu öffnen:

GPResult /h GPResult.html & GPResult.html

Der HTML-Bericht von gpresult enthält viele nützliche Informationen: GPO-Anwendungsfehler, Verarbeitungszeit (in ms) und Anwendung bestimmter Richtlinien und CSE (im Abschnitt Computerdetails -> Komponentenstatus) sind sichtbar. Im obigen Screenshot können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen 24 Passwörter merken von der Standarddomänenrichtlinie (Spalte Gewinner-GPO) angewendet wird. Wie Sie sehen können, ist ein solcher HTML-Bericht viel bequemer für die Analyse angewendeter Richtlinien als die rsop.msc-Konsole.

Abrufen von GPResult-Daten von einem Remote-Computer

GPResult kann auch Daten von einem entfernten Computer sammeln, sodass sich ein Administrator nicht mehr lokal oder per RDP bei einem entfernten Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remote-Computer lautet wie folgt:

GPResult /s server-ts1 /r

Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien remote erfassen.

Benutzername hat keine RSOP-Daten

Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Rechte nur die Einstellungen für den benutzerdefinierten Abschnitt der Gruppenrichtlinie angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn sich die Eingabeaufforderung mit erhöhten Rechten auf einem anderen System als dem aktuellen Benutzer befindet, gibt das Dienstprogramm eine Warnung aus DIE INFO: DieBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ hat keine RSOP-Daten). Dies liegt daran, dass GPResult versucht, Informationen für den Benutzer zu sammeln, der es ausgeführt hat, aber weil Dieser Benutzer hat sich nicht am System angemeldet und es sind keine RSOP-Informationen für diesen Benutzer verfügbar. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:

gpresult /r /user:tn\edward

Wenn Sie den Namen des Kontos nicht kennen, das auf dem Remote-Computer angemeldet ist, können Sie das Konto wie folgt abrufen:

qwinsta /SERVER:remotePC1

Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.

Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurden

Beachten Sie bei der Problembehandlung von Gruppenrichtlinien auch den Abschnitt: Die folgenden GPOs wurden nicht angewendet, weil sie herausgefiltert wurden (Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie herausgefiltert wurden). Dieser Abschnitt zeigt eine Liste von GPOs an, die aus dem einen oder anderen Grund nicht auf dieses Objekt zutreffen. Mögliche Optionen, für die die Richtlinie möglicherweise nicht gilt:

Auf der Registerkarte Effektive Berechtigungen (Erweitert -> Effektiver Zugriff) können Sie auch nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.

Daher haben wir in diesem Artikel die Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mit dem Dienstprogramm GPResult und typische Szenarien für seine Verwendung überprüft.

Hallo. Sie können Ihr eigenes Konto nicht registrieren?
schreibe an PM - vk.com/watsonshit
- Wir registrieren Konten auf Bestellung.
- Wir helfen bei den Stufen 1 und 2 des UCP.
- Schneller und hochwertiger Service.
- Garantien, Bewertungen. Wir sind für die Sicherheit verantwortlich.
- Absolut unterschiedliche Server mit UCP-Registrierung.
Pazifikküstenprojekt - SW-Projekt usw.

Haben Sie die Antwort auf Ihre Frage nicht gefunden? Schreiben Sie in die Kommentare und ich gebe Ihnen die Antwort.

) Wozu dient der OOC-Chat?
- 1) Dies ist ein Chat, der das Gameplay nicht beeinflusst.

2) Was versteht man unter dem Begriff Rollenspiel?
- 2) Ein Rollenspiel ist eine Art Spiel, in dem Sie die von mir gewählte Rolle spielen müssen.

3) Wenn eine Situation nicht zu Ihren Gunsten ist (Mord / Raub). Eure Aktionen?
- 2) Ich werde auf jeden Fall weiterspielen.

2) Sie haben Geld von einem Betrüger erhalten, was werden Sie tun?
- 4) Ich werde die Serververwaltung informieren, mich in einem speziellen Thema abmelden und Geld zu /charity hinzufügen.

3) Haben Sie das Recht, einen Polizisten zu töten?
- 1) Natürlich kann ich einen Polizisten nur töten, wenn ich einen guten Grund habe.

1) Darf man vom Fahrersitz aus vorbeifahren?
- 4) Nein, solche Aktionen sind durch die Regeln des Servers verboten.

4) Sind Spitznamen von Prominenten und Film-/Serien-/Zeichentrickfiguren erlaubt?
- 3) Nein, sie sind verboten.

5) Während der Schießerei wurden technisch gesehen drei Charaktere getötet, aber nach einer Weile spielten dieselben Charaktere bereits wieder ihre Rollen. Was ist das für ein Mord?
- 2) Spieler töten.

7) Sie schießen auf dich, aber du willst nicht sterben, und deshalb...
- 4) Sie werden versuchen, durch Rollenspiele zu entkommen und zu überleben.

2) Haben Sie das Recht, Bunny-Hop zu verwenden?
- 3) Ja, ich habe das Recht, es zu verwenden, wenn ich niemanden behindere.

7) Was werden Sie tun, wenn Sie einen Vorschlag zur Entwicklung des Servers haben?
- 3) Ich werde darüber in der entsprechenden Rubrik im Forum schreiben.

3) Ist die Abmeldung von Aktionen bei der Verwendung von Kleinwaffen obligatorisch?
- 4) Nein.

2) Sie sind zum ersten Mal auf dem Server und kennen die Befehle überhaupt nicht, was werden Sie tun?
- 3) Ich stelle der Administration eine Frage mit dem Befehl /askq und warte dann auf eine Antwort.

3) Was ist der Zweck des Befehls /coin?
- alle strittigen Situationen zu lösen

1) Was ist Metagaming?
- 2) Dies ist die Verwendung von Informationen, die keine Rolle sind, wenn eine Rolle gespielt wird.

6) Der Spieler, dessen Charakter während einer Schießerei technisch getötet wurde, beschloss, sich an den Tätern zu rächen, und tötete einen der Gegner ohne Rollengründe. Welche Verstöße liegen hier seitens des Spielers vor?
- 3) Rache töten.

10) Ist es erlaubt, die Gesundheit während eines Kampfes / Gefechts wieder aufzufüllen?
- 4) Nein.

8) Darf auf LSPD-Mitarbeiter geschossen werden und womit ist es behaftet?
- 4) Ja, ein gewöhnliches Feuergefecht endet mit PC für beide Seiten. Wenn es sich um eine Akte oder eine Razzia handelt, erhält die Polizei PK und die Kriminellen SK.

6) Wie hoch ist der Höchstbetrag für einen Raubüberfall, der keiner Verwaltungsprüfung bedarf?
- 1) $500

9) Welche Sprachen können auf unserem Server verwendet werden?
- 1) Russisch.

7) Nach langer und sorgfältiger Vorbereitung erfüllte der Mörder den Auftrag – er tötete. Der Plan war bis ins kleinste Detail kalkuliert, dafür zahlte der Kunde großzügig. Was ist das Opfer in diesem Fall?
- 1) Charakter töten.

9) Ist der Diebstahl von Regierungsfahrzeugen erlaubt?
- 2) Ja, aber Sie müssen zuerst den Administrator fragen und gemäß Absatz 9 der Spielregeln handeln.

8) Wann darf man sexuelle Gewalt und Grausamkeit ausleben?
- 2) Sexuelle Gewalt und Grausamkeit darf nur mit Zustimmung aller am RP beteiligten Personen gespielt werden.

10) Was sollten Sie tun, wenn Sie der Meinung sind, dass das Spiel nicht gemäß den Regeln verläuft?
- 1) Schreiben Sie an /melden Sie sich, wenn der Administrator abwesend ist - schreiben Sie eine Beschwerde im Forum.

7) Wie viele Spielstunden sollte ein Spieler haben, um bestohlen zu werden?
- 3) 8 Stunden.

8) Geben Sie die korrekte Verwendung des Befehls /coin an. Nach:
- Ich hörte auf zu atmen und schlug den Ball und versuchte, ihn in das Loch zu werfen.

8) Geben Sie die korrekte Verwendung des /me-Befehls an:
- /me lächelte breit und sah Linda direkt in die Augen. Er kam näher und umarmte sie dann sanft.

VERKAUF VON VIRTUELLER WÄHRUNG AUF PACIFIC COAST PROJECT UND GRINCH ROLE PLAY SERVERN.
ALLE INFOS IN DER GRUPPE!
vk.com/virtongarant

Die Funktionalität im Windows Server-Betriebssystem wird berechnet und von Version zu Version verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Artikel versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016.

Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was genau " Serverrolle» auf dem Betriebssystem Windows Server.

Was ist eine „Serverrolle“ in Windows Server?

Serverrolle- Das Softwarepaket, der sicherstellt, dass der Server eine bestimmte Funktion ausführt, und diese Funktion ist die Hauptfunktion. Mit anderen Worten, " Serverrolle' ist der Zweck des Servers, d.h. Wofür ist es. Damit der Server seine Hauptfunktion erfüllen kann, d.h. bestimmte Rolle bei Serverrolle» beinhaltet alle dafür notwendige Software ( Programme, Dienste).

Der Server kann eine Rolle haben, wenn er aktiv verwendet wird, oder mehrere, wenn jede von ihnen den Server nicht stark belastet und selten verwendet wird.

Eine Serverrolle kann mehrere Rollendienste enthalten, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle " Webserver (IIS)“ umfasst eine ziemlich große Anzahl von Diensten und die Rolle „ DNS Server» enthält keine Rollendienste, da diese Rolle nur eine Funktion erfüllt.

Role Services können je nach Bedarf alle zusammen oder einzeln installiert werden. Im Wesentlichen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Windows Server hat auch " Komponenten»Server.

Serverkomponenten (Funktion) sind Softwaretools, die keine Serverrolle sind, sondern die Fähigkeiten einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten.

Einige Rollen können nicht installiert werden, wenn der Server nicht über erforderliche Dienste oder Komponenten verfügt, die für das Funktionieren der Rollen erforderlich sind. Daher ist zum Zeitpunkt der Installation solcher Rollen " Assistent zum Hinzufügen von Rollen und Features» selbst, fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren.

Beschreibung der Windows Server 2016-Serverrollen

Viele der Rollen, die es in Windows Server 2016 gibt, sind Ihnen wahrscheinlich schon bekannt, da es sie schon eine ganze Weile gibt, aber wie gesagt, mit jeder neuen Windows-Version Server, es werden neue Rollen hinzugefügt, mit denen Sie vielleicht noch nicht gearbeitet haben, aber wissen möchten, wozu sie dienen, also fangen wir an, sie uns anzusehen.

Notiz! Über die neuen Funktionen des Operationssaals Windows-Systeme Server 2016 können Sie im Material „Installieren von Windows Server 2016 und eine Übersicht über neue Funktionen“ nachlesen..

Da die Installation und Verwaltung von Rollen, Diensten und Komponenten sehr häufig über Windows PowerShell erfolgt, werde ich für jede Rolle und ihren Dienst einen Namen angeben, der in PowerShell jeweils für ihre Installation oder Verwaltung verwendet werden kann.

DHCP-Server

Mit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle hat keine Rollendienste.

Name für Windows PowerShell– DHCP.

DNS Server

Diese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die DNS-Serverrolle stellt DNS bereit und verwaltet es. Um die Verwaltung eines DNS-Servers zu vereinfachen, wird er normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle hat keine Rollendienste.

Der Rollenname für PowerShell ist DNS.

Hyper-V

Mit der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es ist ein Werkzeug zum Erstellen und Verwalten virtuelle Maschinen.

Der Rollenname für Windows PowerShell ist Hyper-V.

Gesundheitsbescheinigung des Geräts

Rolle " » ermöglicht es Ihnen, den Zustand des Geräts basierend auf gemessenen Indikatoren für Sicherheitsparameter zu bewerten, wie z. B. Indikatoren für den Status des sicheren Bootens und Bitlocker auf dem Client.

Für das Funktionieren dieser Rolle werden viele Rollendienste und Komponenten benötigt, zum Beispiel: mehrere Dienste aus der Rolle " Webserver (IIS)", Komponente" ", Komponente" Funktionen. NET-Framework 4.6 ».

Während der Installation werden alle erforderlichen Rollendienste und Funktionen automatisch ausgewählt. Die Rolle " Gesundheitsbescheinigung des Geräts» Es gibt keine Rollendienste.

Der Name für PowerShell ist DeviceHealthAttestationService.

Webserver (IIS)

Bietet eine zuverlässige, verwaltbare und skalierbare Infrastruktur für Webanwendungen. Besteht aus einer ziemlich großen Anzahl von Diensten (43).

Der Name für Windows PowerShell ist Web-Server.

Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an):

Webserver (Web-WebServer)- Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und den Webserver bereitstellen. Besteht aus folgenden Leistungen:

• Sicherheit (Web-Sicherheit)- eine Reihe von Diensten, um die Sicherheit des Webservers zu gewährleisten.
  • Anforderungsfilterung (Web-Filtering) – Mit diesen Tools können Sie alle an den Server eingehenden Anforderungen verarbeiten und diese Anforderungen basierend auf speziellen Regeln filtern, die vom Webserver-Administrator festgelegt wurden;
  • IP-Adressen- und Domänenbeschränkungen (Web-IP-Security) – diese Tools ermöglichen es Ihnen, den Zugriff auf Inhalte auf einem Webserver basierend auf der IP-Adresse oder dem Domänennamen der Quelle in der Anforderung zuzulassen oder zu verweigern;
  • URL-Autorisierung (Web-Url-Auth) - Mit Tools können Sie Regeln entwerfen, um den Zugriff auf Webinhalte einzuschränken und sie mit Benutzern, Gruppen oder HTTP-Header-Befehlen zu verknüpfen;
  • Digest-Authentifizierung (Web-Digest-Auth) − dieser Scheck Die Authentifizierung bietet eine höhere Sicherheitsstufe als die Standardauthentifizierung. Die Digest-Authentifizierung für die Benutzerauthentifizierung funktioniert, indem ein Kennwort-Hash an den Controller übergeben wird Windows-Domäne;
  • Basisauthentifizierung (Web-Basic-Auth) – Diese Authentifizierungsmethode bietet starke Webbrowser-Kompatibilität. Es wird empfohlen, in kleinen internen Netzwerken zu verwenden. Der Hauptnachteil dieser Methode besteht darin, dass über das Netzwerk übertragene Passwörter recht einfach abgefangen und entschlüsselt werden können. Verwenden Sie diese Methode daher in Kombination mit SSL.
  • Die Windows-Authentifizierung (Web-Windows-Auth) ist eine Authentifizierung, die auf der Windows-Domänenauthentifizierung basiert. Mit anderen Worten, Sie können die verwenden Aktive Aufzeichnungen Verzeichnis zur Authentifizierung von Benutzern ihrer Websites;
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Diese Authentifizierungsmethode verwendet ein Client-Zertifikat. Dieser Typ verwendet Active Directory-Dienste, um die Zertifikatzuordnung bereitzustellen;
  • IIS-Client-Zerti(Web-Cert-Auth) - in diese Methode Clientzertifikate werden auch für die Authentifizierung verwendet, aber IIS wird hier verwendet, um die Zertifikatzuordnung bereitzustellen. Dieser Typ bietet eine bessere Leistung;
  • Unterstützung zentralisierter SSL-Zertifikate (Web-CertProvider) – diese Tools ermöglichen Ihnen die zentrale Verwaltung von SSL-Serverzertifikaten, was den Prozess der Verwaltung dieser Zertifikate erheblich vereinfacht;
• Wartungsfreundlichkeit und Diagnose (Web-Health)– eine Reihe von Diensten zur Überwachung, Verwaltung und Fehlerbehebung von Webservern, Websites und Anwendungen:
  • HTTP-Protokollierung (Web-Http-Logging) - Tools ermöglichen die Protokollierung der Website-Aktivität auf einem bestimmten Server, d.h. Log Eintrag;
  • ODBC-Protokollierung (Web-ODBC-Protokollierung) – Diese Tools bieten auch die Protokollierung von Website-Aktivitäten, unterstützen jedoch die Protokollierung dieser Aktivität in einer ODBC-kompatiblen Datenbank;
  • Request Monitor (Web-Request-Monitor) ist ein Tool, mit dem Sie den Zustand einer Webanwendung überwachen können, indem Sie Informationen zu HTTP-Anforderungen im IIS-Arbeitsprozess abfangen.
  • Benutzerdefinierte Protokollierung (Web-Custom-Logging) – Mit diesen Tools können Sie die Protokollierung von Webserveraktivitäten in einem Format konfigurieren, das sich erheblich vom Standard-IIS-Format unterscheidet. Mit anderen Worten, Sie können Ihr eigenes Protokollierungsmodul erstellen;
  • Logging-Tools (Web-Log-Libraries) sind Tools zur Verwaltung von Webserver-Logs und zur Automatisierung von Logging-Aufgaben;
  • Tracing (Web-Http-Tracing) ist ein Werkzeug zur Diagnose und Behebung von Verstößen in Webanwendungen.
• Gemeinsame HTTP-Funktionen (Web-Common-Http)– eine Reihe von Diensten, die grundlegende HTTP-Funktionalität bereitstellen:
  • Standarddokument (Web-Default-Doc) – Mit dieser Funktion können Sie den Webserver so konfigurieren, dass er ein Standarddokument zurückgibt, wenn Benutzer kein bestimmtes Dokument in der Anforderungs-URL angeben, wodurch Benutzern beispielsweise der Zugriff auf Websites erleichtert wird Domäne, ohne Angabe einer Datei;
  • Directory Browsing (Web-Dir-Browsing) – Dieses Tool kann verwendet werden, um einen Webserver so zu konfigurieren, dass Benutzer eine Liste aller Verzeichnisse und Dateien auf einer Website anzeigen können. Beispielsweise für Fälle, in denen Benutzer keine Datei in der Anforderungs-URL angeben und Standarddokumente entweder deaktiviert oder nicht konfiguriert sind;
  • HTTP-Fehler (Web-Http-Errors) – Mit dieser Funktion können Sie Fehlermeldungen konfigurieren, die an die Webbrowser der Benutzer zurückgegeben werden, wenn der Webserver einen Fehler erkennt. Dieses Tool wird verwendet, um Benutzern Fehlermeldungen einfacher anzuzeigen;
  • Statische Inhalte (Web-Static-Content) – Dieses Tool ermöglicht Ihnen die Nutzung von Inhalten auf einem Webserver in Form von statischen Dateiformaten wie HTML-Dateien oder Bilddateien;
  • http-Umleitung (Web-Http-Redirect) - Mit dieser Funktion können Sie eine Benutzeranfrage an ein bestimmtes Ziel umleiten, z. dies ist Umleitung;
  • WebDAV-Publishing (Web-DAV-Publishing) – ermöglicht die Verwendung der WebDAV-Technologie auf dem IIS-WEB-Server. WebDAV ( Verteiltes Web-Authoring und Versionierung) ist eine Technologie, die es Benutzern ermöglicht, zusammenzuarbeiten ( lesen, bearbeiten, Eigenschaften lesen, kopieren, verschieben) über Dateien an Remote-Web Server, die das HTTP-Protokoll verwenden.
• Leistung (Webleistung)- eine Reihe von Diensten, um eine höhere Webserverleistung durch Ausgabe-Caching und gängige Komprimierungsmechanismen wie Gzip und Deflate zu erreichen:
  • Static Content Compression (Web-Stat-Compression) ist ein Tool zum Anpassen der Komprimierung von statischen http-Inhalten, es ermöglicht eine effizientere Nutzung der Bandbreite ohne unnötige CPU-Last;
  • Dynamische Inhaltskomprimierung (Web-Dyn-Compression) ist ein Tool zum Konfigurieren der dynamischen HTTP-Inhaltskomprimierung. Dieses Tool bietet mehr effektiver Einsatz Bandbreite, aber in diesem Fall kann die mit dynamischer Komprimierung verbundene Server-CPU-Last die Site verlangsamen, wenn die CPU-Last auch ohne Komprimierung hoch ist.
• Anwendungsentwicklung (Web-App-Dev)- eine Reihe von Diensten und Tools zum Entwickeln und Hosten von Webanwendungen, mit anderen Worten, Technologien zur Entwicklung von Websites:
  • ASP (Web-ASP) ist eine Umgebung zur Unterstützung und Entwicklung von Websites und Webanwendungen mit ASP-Technologie. Im Moment gibt es eine neuere und fortschrittlichere Website-Entwicklungstechnologie - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) ist eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit ASP.NET-Technologie;
  • ASP.NET 4.6 (Web-Asp-Net45) ist ebenfalls eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen neue Version ASP.NET
  • CGI (Web-CGI) ist die Fähigkeit, CGI zu verwenden, um Informationen von einem Webserver an ein externes Programm zu übergeben. CGI ist eine Art Schnittstellenstandard, um ein externes Programm mit einem Webserver zu verbinden. Es gibt einen Nachteil, die Verwendung von CGI beeinträchtigt die Leistung;
  • Server Side Inclusions (SSI) (Web-Includes) ist die Unterstützung für die SSI-Skriptsprache ( serverseitig aktivieren), die zum dynamischen Generieren von HTML-Seiten verwendet wird;
  • Anwendungsinitialisierung (Web-AppInit) – Dieses Tool führt die Aufgaben der Initialisierung von Webanwendungen aus, bevor eine Webseite gesendet wird;
  • WebSocket-Protokoll (Web-WebSockets) – Fügt die Möglichkeit hinzu, Serveranwendungen zu erstellen, die über das WebSocket-Protokoll kommunizieren. WebSocket ist ein Protokoll, das Daten gleichzeitig zwischen einem Browser und einem Webserver über eine TCP-Verbindung senden und empfangen kann, eine Art Erweiterung des HTTP-Protokolls;
  • ISAPI-Erweiterungen (Web-ISAPI-Ext) - Unterstützung für die dynamische Entwicklung von Webinhalten unter Verwendung der ISAPI-Anwendungsprogrammierschnittstelle. ISAPI ist eine API für den IIS-Webserver. ISAPI-Anwendungen sind viel schneller als ASP-Dateien oder Dateien, die COM+-Komponenten aufrufen;
  • .NET 3.5-Erweiterbarkeit (Web-Net-Ext) ist eine .NET 3.5-Erweiterbarkeitsfunktion, mit der Sie die Webserver-Funktionalität in der gesamten Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche ändern, hinzufügen und erweitern können.
  • .NET 4.6-Erweiterbarkeit (Web-Net-Ext45) ist eine .NET 4.6-Erweiterbarkeitsfunktion, mit der Sie auch die Webserverfunktionalität über die gesamte Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche hinweg ändern, hinzufügen und erweitern können.
  • ISAPI-Filter (Web-ISAPI-Filter) – Unterstützung für ISAPI-Filter hinzufügen. ISAPI-Filter sind Programme, die aufgerufen werden, wenn ein Webserver eine bestimmte HTTP-Anforderung erhält, die von diesem Filter verarbeitet werden soll.

FTP - Server (Web-Ftp-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben ausführlicher über den FTP-Server im Material gesprochen – „Installieren und Konfigurieren eines FTP-Servers auf Windows Server 2016“. Enthält folgende Dienste:

• FTP Service (Web-Ftp-Service) - fügt Unterstützung für das FTP-Protokoll auf dem Webserver hinzu;
• FTP-Erweiterbarkeit (Web-Ftp-Ext) – Erweitert Standard-FTP-Funktionen, z. B. Hinzufügen von Unterstützung für Features wie benutzerdefinierte Anbieter, ASP.NET-Benutzer oder IIS-Manager-Benutzer.

Verwaltungstools (Web-Mgmt-Tools) sind die Verwaltungstools für den Webserver IIS 10. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripts.

• Die IIS-Verwaltungskonsole (Web-Mgmt-Console) ist die Benutzeroberfläche zum Verwalten von IIS;
• Zeichensätze und IIS-Verwaltungstools (Web-Scripting-Tools) sind Tools und Skripte zum Verwalten von IIS über die Befehlszeile oder Skripte. Sie können zum Beispiel verwendet werden, um die Steuerung zu automatisieren;
• Verwaltungsdienst (Web-Mgmt-Service) – Dieser Dienst fügt die Möglichkeit hinzu, einen Webserver mithilfe von IIS Manager remote von einem anderen Computer aus zu verwalten;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) – Bietet Kompatibilität für Anwendungen und Skripts, die die beiden IIS-APIs verwenden. Die vorhandenen IIS 6-Skripte können verwendet werden, um den IIS 10-Webserver zu verwalten:
  • IIS 6 Compatibility Metabase (Web-Metabase) ist ein Kompatibilitätstool, mit dem Sie Anwendungen und Zeichensätze ausführen können, die von früheren Versionen von IIS migriert wurden;
  • IIS 6-Skripttools (Web-Lgcy-Scripting) – Mit diesen Tools können Sie dieselben IIS 6-Skriptdienste verwenden, die zum Verwalten von IIS 6 in IIS 10 erstellt wurden;
  • IIS 6-Verwaltungskonsole (Web-Lgcy-Mgmt-Console) – Ein Tool zur Verwaltung von Remote IIS-Server 6.0;
  • IIS 6 WMI-Kompatibilität (Web-WMI) sind Windows Management Instrumentation (WMI)-Skriptschnittstellen zum programmgesteuerten Steuern und Automatisieren von IIS 10.0-Webserveraufgaben mithilfe einer Reihe von Skripts, die in einem WMI-Anbieter erstellt wurden.

Active Directory-Domänendienste

Rolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen Containment-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb einer Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

Der Rollenname für Windows PowerShell lautet AD-Domain-Services.

Windows Server Essentials-Modus

Diese Rolle ist eine Computerinfrastruktur und bietet praktische und effiziente Funktionen, zum Beispiel: Speichern von Kundendaten an einem zentralen Ort und Schützen dieser Daten durch Exemplar reservieren Server- und Client-Computer, Remote-Webzugriff, mit dem Sie von praktisch jedem Gerät aus auf Daten zugreifen können. Diese Rolle erfordert mehrere Rollendienste und -funktionen, zum Beispiel: BranchCache-Funktionen, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst " DFS-Namespaces».

Der Name für PowerShell ist ServerEssentialsRole.

Netzwerk-Controller

Diese in Windows Server 2016 eingeführte Rolle bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts von einem Punkt aus konfigurieren, virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways verwalten.

Der Name für Windows PowerShell ist NetworkController.

Knotenwächterdienst

Dies ist die Serverrolle Hosted Guardian Service (HGS) und stellt Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmte virtuelle Maschinen auszuführen. Für das Funktionieren dieser Rolle werden mehrere zusätzliche Rollen und Komponenten benötigt, zum Beispiel: Active Directory Domain Services, Web Server (IIS), der " Failover-Clustering" und andere.

Der Name für PowerShell ist HostGuardianServiceRole.

Active Directory Lightweight-Verzeichnisdienste

Rolle " Active Directory Lightweight-Verzeichnisdienste» (AD LDS) ist eine einfache Version von AD DS, die über weniger Funktionalität verfügt, jedoch keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht die Abhängigkeiten und Domäneneinschränkungen aufweist, die für AD DS erforderlich sind. AD LDS läuft über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen auf demselben Server mit unabhängig verwalteten Schemas bereitstellen.

Der Name für PowerShell ist ADLDS.

MultiPoint-Dienste

Es ist auch eine neue Rolle, die neu in Windows Server 2016 ist. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS-Viewer und andere, die alle automatisch während der MPS-Installation ausgewählt werden.

Der Name der Rolle für PowerShell lautet MultiPointServerRole.

Windows Server-Update-Dienste

Mit dieser Rolle (WSUS) können Systemadministratoren verwalten Microsoft-Updates. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sets und erhalten Sie Berichte über die Konformität von Computern mit den Anforderungen und Updates, die installiert werden müssen. Zum Funktionieren“ Windows Server-Update-Dienste» Sie benötigen Rollendienste und Komponenten wie: Webserver (IIS), Backend-Datenbank Windows-Daten, Windows-Prozessaktivierungsdienst.

Der Name für Windows PowerShell ist UpdateServices.

• WID-Konnektivität (UpdateServices-WidDB) – auf WID ( Windows-interne Datenbank)-Datenbank, die von WSUS verwendet wird. Mit anderen Worten, WSUS speichert seine Dienstdaten in WID;
• WSUS-Dienste (UpdateServices-Services) sind die WSUS-Rollendienste wie Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service und DSS Authentication Web Service;
• SQL Server Konnektivität (UpdateServices-DB) ist die Installation einer Komponente, die es dem WSUS-Dienst ermöglicht, eine Verbindung zur Datenbank herzustellen Microsoft-Daten SQL Server. Diese Option sieht die Speicherung von Servicedaten in einer Microsoft SQL Server-Datenbank vor. In diesem Fall muss bereits mindestens eine Instanz von SQL Server installiert sein.

Volumenlizenz-Aktivierungsdienste

Mit dieser Serverrolle können Sie die Vergabe von Volumenlizenzen für Software von Microsoft automatisieren und vereinfachen und diese Lizenzen auch verwalten.

Der Name für PowerShell ist VolumeActivation.

Druck- und Dokumentenservice

Diese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail öffentlich versenden Netzwerkordner oder auf Websites von Windows SharePoint Services.

Der Name für PowerShell ist Print-Services.

• Druckserver (Print-Server) - Dieser Rollendienst enthält den " Druckverwaltung“, das zum Verwalten von Druckern oder Druckservern sowie zum Migrieren von Druckern und anderen Druckservern verwendet wird;
• Drucken über das Internet (Print-Internet) – Um das Drucken über das Internet zu implementieren, wird eine Website erstellt, die es Benutzern ermöglicht, Druckaufträge auf dem Server zu verwalten. Damit dieser Dienst funktioniert, müssen Sie, wie Sie verstehen, " Webserver (IIS)". Alle erforderlichen Komponenten werden automatisch ausgewählt, wenn Sie dieses Kontrollkästchen während des Installationsvorgangs des Rollendienstes aktivieren " Internetdruck»;
• Der Distributed Scan Server (Print-Scan-Server) ist ein Dienst, mit dem Sie gescannte Dokumente von Netzwerkscannern empfangen und an ein Ziel senden können. Dieser Dienst enthält auch die " Scan-Verwaltung“, das zum Verwalten von Netzwerkscannern und zum Konfigurieren des Scannens verwendet wird;
• LPD-Service (Print-LPD-Service) - LPD-Service ( Zeilendrucker-Daemon) ermöglicht es UNIX-basierten Computern und anderen Computern, die den LPR-Dienst (Line Printer Remote) verwenden, auf den freigegebenen Druckern des Servers zu drucken.

Netzwerkrichtlinie und Zugriffsdienste

Rolle " » (NPAS) ermöglicht Network Policy Server (NPS) das Festlegen und Durchsetzen von Netzwerkzugriffs-, Authentifizierungs- und Autorisierungs- und Clientintegritätsrichtlinien, mit anderen Worten, das Netzwerk zu sichern.

Der Name für Windows PowerShell ist NPAS.

Windows-Bereitstellungsdienste

Mit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren.

Der Rollenname für PowerShell ist WDS.

• Bereitstellungsserver (WDS-Bereitstellung) – Dieser Rollendienst ist für die Remotebereitstellung und -konfiguration von Windows-Betriebssystemen konzipiert. Außerdem können Sie Bilder zur Wiederverwendung erstellen und anpassen.
• Transportserver (WDS-Transport) - Dieser Dienst enthält die grundlegenden Netzwerkkomponenten, mit denen Sie Daten per Multicasting auf einen eigenständigen Server übertragen können.

Active Directory-Zertifikatsdienste

Diese Rolle soll Zertifizierungsstellen und zugehörige Rollendienste erstellen, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können.

Der Name für Windows PowerShell ist AD-Zertifikat.

Enthält die folgenden Rollendienste:

• Zertifizierungsstelle (ADCS-Cert-Authority) – Mit diesem Rollendienst können Sie Zertifikate für Benutzer, Computer und Dienste ausstellen sowie die Gültigkeit des Zertifikats verwalten;
• Zertifikatregistrierungsrichtlinien-Webdienst (ADCS-Enroll-Web-Pol) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikatregistvon einem Webbrowser abzurufen, selbst wenn der Computer kein Mitglied einer Domäne ist. Für seine Funktion ist es notwendig Webserver (IIS)»;
• Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikate mit einem Webbrowser über HTTPS zu registrieren und zu erneuern, auch wenn der Computer kein Mitglied einer Domäne ist. Es muss auch funktionieren Webserver (IIS)»;
• Online-Responder (ADCS-Online-Cert) - Der Dienst soll den Widerruf eines Zertifikats für Clients überprüfen. Mit anderen Worten, es akzeptiert eine Sperrstatusanforderung für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit Informationen über den Status zurück. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Dieser Dienst stellt eine Webschnittstelle bereit, mit der Benutzer Aufgaben wie das Anfordern und Erneuern von Zertifikaten, das Abrufen von CRLs und das Registrieren von Smartcard-Zertifikaten ausführen können. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Mit diesem Dienst können Sie Zertifikate für Router und andere Netzwerkgeräte ausstellen und verwalten, die keine Netzwerkkonten haben. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)».

Remotedesktopdienste

Eine Serverrolle, die verwendet werden kann, um Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps bereitzustellen.

Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services.

Besteht aus folgenden Leistungen:

• Remote Desktop Web Access (RDS-Web-Access) – Dieser Rollendienst ermöglicht Benutzern den Zugriff auf Remote-Desktops und RemoteApp-Anwendungen über das „ Start» oder über einen Webbrowser;
• Remotedesktoplizenzierung (RDS-Lizenzierung) – Der Dienst wurde entwickelt, um die Lizenzen zu verwalten, die für die Verbindung mit einem Remotedesktop-Sitzungshostserver oder virtuellen Desktop erforderlich sind. Es kann verwendet werden, um Lizenzen zu installieren, auszustellen und ihre Verfügbarkeit zu verfolgen. Dieser Dienst erfordert " Webserver (IIS)»;
• Remotedesktop-Verbindungsbroker (RDS-Connection-Broker) ist ein Rollendienst, der die folgenden Funktionen bereitstellt: Wiederverbinden eines Benutzers mit einem vorhandenen virtuellen Desktop, einer RemoteApp-Anwendung und einem sitzungsbasierten Desktop sowie Lastenausgleich zwischen Remote-Sitzungshostserver-Desktops oder zwischen gepoolten virtuellen Desktops. Dieser Dienst erfordert die " »;
• Remotedesktop-Virtualisierungshost (DS-Virtualisierung) – Der Dienst ermöglicht es Benutzern, sich mit virtuellen Desktops über RemoteApp und Desktop Connection zu verbinden. Dieser Dienst arbeitet in Verbindung mit Hyper-V, d.h. diese Rolle muss installiert sein;
• Remotedesktop-Sitzungshost (RDS-RD-Server) – Dieser Dienst kann RemoteApp-Anwendungen und sitzungsbasierte Desktops auf einem Server hosten. Der Zugriff erfolgt über den Remotedesktopverbindungsclient oder RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) - der Dienst ermöglicht autorisiert entfernte Benutzer Herstellen einer Verbindung zu virtuellen Desktops, RemoteApps und sitzungsbasierten Desktops in Firmennetzwerk oder über das Internet. Dieser Dienst erfordert die folgenden zusätzlichen Dienste und Komponenten: Webserver (IIS)», « Netzwerkrichtlinie und Zugriffsdienste», « RPC über HTTP-Proxy».

AD RMS

Dies ist eine Serverrolle, mit der Sie Informationen vor unbefugter Verwendung schützen können. Es validiert Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Diese Rolle erfordert zusätzliche Dienste und Komponenten: Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen».

Der Name für Windows PowerShell ist ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – der Hauptrollendienst, der für die Installation erforderlich ist;
• Identity Federation Support (ADRMS-Identity) ist ein optionaler Rollendienst, der es Verbundidentitäten ermöglicht, geschützte Inhalte mithilfe von Active Directory-Verbunddiensten zu nutzen.

AD FS

Diese Rolle bietet einen vereinfachten und sicheren Identitätsverbund und Funktionen für einmaliges Anmelden (SSO) für Websites, die einen Browser verwenden.

Der Name für PowerShell ist ADFS-Federation.

Fernzugriff

Diese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle Fernzugriff"bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Funktionen: Webserver (IIS)», « Windows-interne Datenbank».

Der Rollenname für Windows PowerShell ist RemoteAccess.

• DirectAccess und VPN (RAS) (DirectAccess-VPN) - der Dienst ermöglicht es Benutzern, jederzeit eine Verbindung zum Unternehmensnetzwerk mit Internetzugang über DirectAccess herzustellen sowie VPN-Verbindungen in Kombination mit Tunneling- und Datenverschlüsselungstechnologien zu organisieren;
• Routing - Der Dienst bietet Unterstützung für NAT-Router, Router lokales Netzwerk mit BGP-, RIP- und Multicast-fähigen Routern (IGMP-Proxies);
• Web Application Proxy (Web-Application-Proxy) – Der Dienst ermöglicht es Ihnen, Anwendungen basierend auf den HTTP- und HTTPS-Protokollen aus dem Unternehmensnetzwerk auf Clientgeräten zu veröffentlichen, die sich außerhalb des Unternehmensnetzwerks befinden.

Datei- und Speicherdienste

Dies ist eine Serverrolle, die bereitstellen kann allgemeiner Zugang auf Dateien und Ordner, verwalten und kontrollieren Sie Freigaben, replizieren Sie Dateien, stellen Sie schnelle Dateisuchen bereit und stellen Sie den Zugriff für UNIX-Client-Computer bereit. Auf Dateidienste und insbesondere den Dateiserver haben wir im Material „Dateiserver (Fileserver) auf Windows Server 2016 installieren“ näher eingegangen.

Der Name für Windows PowerShell ist FileAndStorage-Services.

Speicherdienste- Dieser Dienst bietet Speicherverwaltungsfunktionen, die immer installiert sind und nicht entfernt werden können.

Dateidienste und iSCSI-Dienste (Dateidienste) sind Technologien, die die Verwaltung von Dateiservern und Speichern vereinfachen, Speicherplatz sparen, die Replikation und das Zwischenspeichern von Dateien in Zweigen bereitstellen und auch die gemeinsame Nutzung von Dateien über das NFS-Protokoll ermöglichen. Enthält die folgenden Rollendienste:

• Dateiserver (FS-FileServer) – ein Rollendienst, der freigegebene Ordner verwaltet und Benutzern den Zugriff auf Dateien auf diesem Computer über das Netzwerk ermöglicht;
• Datendeduplizierung (FS-Data-Deduplication) – dieser Dienst spart Speicherplatz, indem er nur eine Kopie identischer Daten auf einem Volume speichert;
• File Server Resource Manager (FS-Resource-Manager) – Mit diesem Dienst können Sie Dateien und Ordner auf einem Dateiserver verwalten, Speicherberichte erstellen, Dateien und Ordner klassifizieren, Ordnerkontingente konfigurieren und Dateiblockierungsrichtlinien definieren;
• iSCSI-Zielspeicheranbieter (VDS- und VSS-Hardwareanbieter) (iSCSITarget-VSS-VDS) – Der Dienst ermöglicht Anwendungen auf einem Server, der mit einem iSCSI-Ziel verbunden ist, Volumes darauf zu spiegeln virtuelle Laufwerke iSCSI;
• DFS-Namespaces (FS-DFS-Namespace) – Mit diesem Dienst können Sie freigegebene Ordner, die auf verschiedenen Servern gehostet werden, in einem oder mehreren logisch strukturierten Namespaces gruppieren;
• Arbeitsordner (FS-SyncShareService) - Der Dienst ermöglicht Ihnen die Verwendung von Arbeitsdateien verschiedene Computer einschließlich Arbeit und Privat. Sie können Ihre Dateien in Arbeitsordnern speichern, synchronisieren und über Ihr lokales Netzwerk oder das Internet darauf zugreifen. Damit der Dienst funktioniert, muss die Komponente " IIS In-Process-Webkern»;
• Die DFS-Replikation (FS-DFS-Replikation) ist ein Datenreplikationsmodul zwischen mehreren Servern, mit dem Sie Ordner über eine Verbindung zu einem lokalen oder globales Netzwerk. Diese Technologie verwendet das Remote Differential Compression (RDC)-Protokoll, um nur den Teil der Dateien zu aktualisieren, der sich seit der letzten Replikation geändert hat. Die DFS-Replikation kann mit oder ohne DFS-Namespaces verwendet werden;
• Server für NFS (FS-NFS-Dienst) – Der Dienst ermöglicht diesem Computer die gemeinsame Nutzung von Dateien mit UNIX-basierten Computern und anderen Computern, die das Network File System (NFS)-Protokoll verwenden;
• iSCSI Target Server (FS-iSCSITarget-Server) – bietet Dienste und Verwaltung für iSCSI-Targets;
• BranchCache-Dienst für Netzwerkdateien(FS-BranchCache) – Der Dienst bietet BranchCache-Unterstützung auf diesem Dateiserver.
• Dateiserver-VSS-Agent-Dienst (FS-VSS-Agent) – Der Dienst aktiviert Volumenschattenkopien für Anwendungen, die Datendateien auf diesem Dateiserver speichern.

Faxserver

Die Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder im Netzwerk. Für die Arbeit erforderlich Druck Server».

Der Rollenname für Windows PowerShell ist Fax.

Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war vorerst hilfreich für Sie!

Wenn Sie Windows installieren, werden die meisten nicht wesentlichen Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das das tut, was es tut, und nicht mehr. Damit Sie die gewünschten Funktionen aktivieren können, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Eine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Im Allgemeinen haben alle Rollen die folgenden Eigenschaften.

• Sie definieren die Hauptfunktion, den Zweck oder den Zweck der Verwendung eines Computers. Sie können einem Computer eine Rolle zuweisen, die im Unternehmen stark genutzt wird, oder mehrere Rollen übernehmen, wobei jede Rolle nur gelegentlich verwendet wird.
• Rollen geben Benutzern in der gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder Dateien, die auf verschiedenen Computern gespeichert sind.
• Sie haben normalerweise ihre eigenen Datenbanken, die Benutzer- oder Computeranforderungen in eine Warteschlange stellen oder Informationen über Netzwerkbenutzer und Computer aufzeichnen, die einer Rolle zugeordnet sind. Beispielsweise enthält Active Directory Domain Services eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
• Nach korrekter Einbau und Rolleneinstellungen funktionieren automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die die Funktionalität einer Rolle bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen zur Verfügung stellt. Einige Rollen, wie z. B. der DNS-Server, führen nur eine Funktion aus, sodass es für sie keine Rollendienste gibt. Andere Rollen, wie z. B. Remotedesktopdienste, verfügen über mehrere Dienste, die Sie basierend auf den Remotezugriffsanforderungen Ihres Unternehmens installieren können. Eine Rolle kann als Sammlung eng verwandter, komplementärer Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, aber die Funktionalität einer oder mehrerer Rollen oder des gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert das Failover-Cluster-Tool andere Rollen wie Dateidienste und DHCP-Server, indem es ihnen ermöglicht wird, Serverclustern beizutreten, was für mehr Redundanz und Leistung sorgt. Die andere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion erweitert die Kommunikationsoptionen für den Server.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:

• Active Directory-Zertifikatsdienste;
• Active Directory-Domänendienste;
• DHCP-Server
• DNS Server;
• Dateidienste (einschließlich des Dateiserver-Ressourcenmanagers);
• Active Directory Lightweight-Verzeichnisdienste;
• Hyper-V
• Druck- und Dokumentendienste;
• Streaming-Mediendienste;
• Webserver (einschließlich einer Teilmenge von ASP.NET);
• Windows Server Update-Server;
• Active Directory-Rechteverwaltungsserver;
• Routing- und RAS-Server und die folgenden untergeordneten Rollen:
  • Remotedesktop-Verbindungsbroker;
  • Lizenzierung;
  • Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverfeatures unterstützt:

• Microsoft.NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Intelligenter Hintergrundübertragungsdienst (BITS);
• BitLocker-Laufwerkverschlüsselung;
• BitLocker-Netzwerkentsperrung;
• BranchCache
• Rechenzentrumsbrücke;
• Erweiterter Speicher;
• Failover-Clustering;
• Multipath-E/A;
• Netzwerklastenausgleich;
• PNRP-Protokoll;
• qWelle;
• Remote-Differentialkomprimierung;
• einfache TCP/IP-Dienste;
• RPC über HTTP-Proxy;
• SMTP-Server;
• SNMP-Dienst;
• Telnet-Client;
• Telnet-Server;
• TFTP-Client;
• Windows-interne Datenbank;
• Windows PowerShell-Webzugriff;
• Windows-Aktivierungsdienst;
• standardisierte Windows-Speicherverwaltung;
• IIS WinRM-Erweiterung;
• WINS-Server;
• WoW64-Unterstützung.

Installieren von Serverrollen mit dem Server-Manager

Öffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü Verwalten auf Rollen und Features hinzufügen:

Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Weiter klicken

Installationstyp, wählen Sie rollenbasierte oder funktionsbasierte Installation aus. Nächste:

Serverauswahl - Wählen Sie unseren Server aus. Klicken Sie auf Next Server Roles – Select roles (Rollen auswählen, falls erforderlich), wählen Sie Role Services aus und klicken Sie auf Next (Weiter), um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Features automatisch über Konflikte auf dem Zielserver, die die Installation möglicherweise verhindern oder verhindern normale Operation ausgewählte Rollen oder Funktionen. Sie werden auch aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind.

Rollen mit PowerShell installieren

Windows PowerShell öffnen Geben Sie den Befehl Get-WindowsFeature ein, um die Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ausgabe dieses Cmdlets enthält die Befehlsnamen für die Rollen und Features, die installiert und für die Installation verfügbar sind.

Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und die gültigen Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen.

Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn die Rolleninstallation einen Neustart erfordert).

Install-WindowsFeature –Name -Neu starten

Beschreibung von Rollen und Rollendiensten

Nachfolgend werden alle Rollen und Rollendienste beschrieben. Sehen wir uns die erweiterten Einstellungen für die gängigsten Webserverrollen und Remotedesktopdienste in unserer Praxis an.

Ausführliche Beschreibung von IIS

• Allgemeine HTTP-Funktionen - Grundlegende HTTP-Komponenten
  • Standarddokument – ​​ermöglicht Ihnen, die Indexseite für die Site festzulegen.
  • Verzeichnissuche – Ermöglicht Benutzern, den Inhalt eines Verzeichnisses auf einem Webserver anzuzeigen. Verwenden Sie die Verzeichnissuche, um automatisch eine Liste aller Verzeichnisse und Dateien in einem Verzeichnis zu erstellen, wenn Benutzer keine Datei in der URL angeben und die Indexseite deaktiviert oder nicht konfiguriert ist
  • HTTP-Fehler – ermöglicht Ihnen, die Fehlermeldungen anzupassen, die an Clients im Browser zurückgegeben werden.
  • Statischer Inhalt - ermöglicht Ihnen das Posten statischer Inhalte wie Bilder oder HTML-Dateien.
  • HTTP-Umleitung – Bietet Unterstützung für die Umleitung von Benutzeranforderungen.
  • Mit WebDAV Publishing können Sie Dateien von einem Webserver mithilfe des HTTP-Protokolls veröffentlichen.
• Zustands- und Diagnosefunktionen – Diagnosekomponenten
  • Die HTTP-Protokollierung ermöglicht die Protokollierung der Website-Aktivität für einen bestimmten Server.
  • Die benutzerdefinierte Protokollierung bietet Unterstützung für das Erstellen benutzerdefinierter Protokolle, die sich von „herkömmlichen“ Protokollen unterscheiden.
  • Protokollierungstools bieten ein Framework zum Verwalten von Webserverprotokollen und zum Automatisieren allgemeiner Protokollierungsaufgaben.
  • Die ODBC-Protokollierung stellt ein Framework bereit, das die Protokollierung von Webserveraktivitäten in einer ODBC-kompatiblen Datenbank unterstützt.
  • Request Monitor stellt ein Framework zum Überwachen des Zustands von Webanwendungen bereit, indem Informationen über HTTP-Anforderungen in einem IIS-Arbeitsprozess gesammelt werden.
  • Die Ablaufverfolgung stellt ein Framework für die Diagnose und Fehlerbehebung von Webanwendungen bereit. Durch die Verwendung der Ablaufverfolgung für fehlgeschlagene Anforderungen können Sie schwer zu findende Ereignisse wie schlechte Leistung oder Authentifizierungsfehler nachverfolgen.
• Leistungskomponenten zur Leistungssteigerung des Webservers.
  • Komprimierung statischer Inhalte bietet ein Framework zum Konfigurieren der HTTP-Komprimierung statischer Inhalte
  • Die dynamische Inhaltskomprimierung bietet ein Framework zum Konfigurieren der HTTP-Komprimierung dynamischer Inhalte.
• Sicherheitskomponenten
  • Mit der Anforderungsfilterung können Sie alle eingehenden Anforderungen erfassen und sie basierend auf vom Administrator festgelegten Regeln filtern.
  • Mit der Basisauthentifizierung können Sie zusätzliche Autorisierungen festlegen
  • Die Unterstützung zentralisierter SSL-Zertifikate ist eine Funktion, mit der Sie Zertifikate an einem zentralen Ort wie einer Dateifreigabe speichern können.
  • Client Certificate Mapping Authentication verwendet Client-Zertifikate zur Benutzerauthentifizierung.
  • Die Digest-Authentifizierung funktioniert, indem ein Kennwort-Hash an einen Windows-Domänencontroller gesendet wird, um Benutzer zu authentifizieren. Wenn Sie mehr Sicherheit als die einfache Authentifizierung benötigen, sollten Sie die Verwendung der Digest-Authentifizierung in Betracht ziehen
  • Die IIS-Clientzertiverwendet Clientzertifikate zum Authentifizieren von Benutzern. Das Client-Zertifikat ist eine digitale ID, die von einer vertrauenswürdigen Quelle bezogen wird.
  • IP- und Domänenbeschränkungen ermöglichen Ihnen, den Zugriff basierend auf der angeforderten IP-Adresse oder dem Domänennamen zuzulassen/zu verweigern.
  • Mit der URL-Autorisierung können Sie Regeln erstellen, die den Zugriff auf Webinhalte einschränken.
  • Windows-Authentifizierung Dieses Authentifizierungsschema ermöglicht es Windows-Domänenadministratoren, die Domäneninfrastruktur für die Benutzerauthentifizierung zu nutzen.
• Anwendungsentwicklungsfunktionen
• FTP-Server
  • FTP-Dienst Ermöglicht die FTP-Veröffentlichung auf einem Webserver.
  • FTP-Erweiterbarkeit Aktiviert die Unterstützung für FTP-Funktionen, die die Funktionalität von erweitern
• Verwaltung Werkzeug Verwaltung
  • Die IIS-Verwaltungskonsole installiert den IIS-Manager, mit dem Sie den Webserver über eine GUI verwalten können
  • IIS 6.0-Verwaltungskompatibilität bietet Aufwärtskompatibilität für Anwendungen und Skripts, die das Admin Base Object (ABO) und die Active Directory-API von Directory Service Interface (ADSI) verwenden. Dadurch können vorhandene IIS 6.0-Skripts vom IIS 8.0-Webserver verwendet werden
  • IIS-Verwaltungsskripts und -tools stellen die Infrastruktur für die programmgesteuerte Verwaltung des IIS-Webservers bereit, indem Befehle in einem Eingabeaufforderungsfenster verwendet oder Skripts ausgeführt werden.
  • Der Verwaltungsdienst stellt die Infrastruktur zum Anpassen der Benutzeroberfläche IIS-Manager bereit.

Detaillierte Beschreibung von RDS

• Remotedesktop-Verbindungsbroker – Stellt die Wiederverbindung von Clientgeräten mit Programmen basierend auf Desktop- und virtuellen Desktopsitzungen bereit.
• Remote Desktop Gateway – Ermöglicht autorisierten Benutzern, sich mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden.
• Remotedesktoplizenzierung – RDP-Lizenzverwaltungstool
• Remotedesktop-Sitzungshost – Enthält einen Server zum Hosten von RemoteApp-Programmen oder einer Desktop-basierten Sitzung.
• Remotedesktop-Virtualisierungshost – ermöglicht Ihnen die Konfiguration von RDP auf virtuellen Maschinen
• Remote Desktop WebAccess – Ermöglicht Benutzern das Herstellen einer Verbindung mit Desktop-Ressourcen über das Startmenü oder den Webbrowser.

Erwägen Sie die Installation und Konfiguration eines Terminallizenzservers. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir Remotedesktoplizenzierung und Remotedesktop-Sitzungshost auswählen. Nach der Installation erscheint das Terminaldienste-Element in Server Manager-Tools. Es gibt zwei Elemente in Terminal Services RD Licensing Diagnoser, dies ist ein Tool zur Diagnose des Betriebs der Remotedesktoplizenzierung, und Remotedesktoplizenzierungs-Manager, dies ist ein Lizenzverwaltungstool.

Führen Sie den RD-Lizenzierungsdiagnoser aus

Hier können wir sehen, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den RD-Sitzungshostserver nicht festgelegt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Führen Sie zum Starten des Editors den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Erweitern Sie in der Baumstruktur auf der linken Seite die Registerkarten:

• Computerkonfiguration
• Administrative Vorlagen
• Windows-Komponenten
• Remotedesktopdienste
• Remotedesktop-Sitzungshost
• "Lizenzierung" (Lizenzierung)

Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver

Aktivieren Sie im Fenster zum Bearbeiten der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie einen Lizenzserver für Remotedesktopdienste definieren. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn sich der Servername des Lizenzservers in Zukunft ändert, müssen Sie ihn im selben Abschnitt ändern.

Danach können Sie im RD Licensing Diagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Führen Sie zum Aktivieren den Remote Desktop Licensing Manager aus

Wählen Sie den Lizenzserver mit dem Status Nicht aktiviert aus. Klicken Sie zum Aktivieren mit der rechten Maustaste darauf und wählen Sie Server aktivieren. Der Server-Aktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als nächstes die Informationen über die Organisation ein, danach wird der Lizenzserver aktiviert.

Active Directory-Zertifikatsdienste

AD CS bietet konfigurierbare Dienste zum Ausstellen und Verwalten digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die öffentliche Schlüsseltechnologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können verwendet werden, um elektronische Dokumente und Nachrichten zu verschlüsseln und digital zu signieren. Diese digitalen Zertifikate können verwendet werden, um Computer-, Benutzer- und Gerätekonten im Netzwerk zu authentifizieren. Digitale Zertifikate werden verwendet, um Folgendes bereitzustellen:

• Privatsphäre durch Verschlüsselung;
• Integrität durch digitale Signaturen;
• Authentifizierung durch Verknüpfen von Zertifikatschlüsseln mit Computer-, Benutzer- und Gerätekonten im Netzwerk.

AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem die Identität eines Benutzers, Geräts oder Diensts an den entsprechenden privaten Schlüssel gebunden wird. Zu den von AD CS unterstützten Verwendungszwecken gehören sichere Mehrzweck-Internet-E-Mail-Standarderweiterungen (S/MIME), die geschützt sind drahtlose Netzwerke, Virtual Private Networks (VPNs), IPsec, Encrypting File System (EFS), Smartcard-Anmeldung, Data Transfer Security und Transport Layer Security (SSL/TLS) und digitale Signaturen.

Active Directory-Domänendienste

Mit der Serverrolle Active Directory-Domänendienste (AD DS) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur zum Verwalten von Benutzern und Ressourcen erstellen. Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server bereitstellen. Active Directory-Domänendienste stellen eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen und verzeichnisaktivierten Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen verschachtelten Struktur zu organisieren. Die hierarchische verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen in der Gesamtstruktur und die Organisationseinheiten in jeder Domäne. Sicherheitsfeatures sind in AD DS in Form von Authentifizierung und Zugriffssteuerung auf Ressourcen im Verzeichnis integriert. Mit Single Sign-On können Administratoren Verzeichnisinformationen und Organisation über das Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch die Netzwerk-Einzelanmeldung verwenden, um auf Ressourcen zuzugreifen, die sich irgendwo im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.

• Ein Regelsatz ist ein Schema, das die Klassen von Objekten und Attributen definiert, die in einem Verzeichnis enthalten sind, die Beschränkungen und Beschränkungen für Instanzen dieser Objekte und das Format ihrer Namen.
• Ein globaler Katalog, der Informationen zu jedem Objekt im Katalog enthält. Benutzer und Administratoren können den globalen Katalog verwenden, um nach Katalogdaten zu suchen, unabhängig davon, welche Domäne im Katalog die gesuchten Daten tatsächlich enthält.
• Ein Abfrage- und Indizierungsmechanismus, durch den Objekte und ihre Eigenschaften von Netzwerkbenutzern und -anwendungen veröffentlicht und gefunden werden können.
• Ein Replikationsdienst, der Verzeichnisdaten über ein Netzwerk verteilt. Alle beschreibbaren Domänencontroller in der Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisdaten für ihre Domäne. Alle Änderungen an Verzeichnisdaten werden in der Domäne auf alle Domänencontroller repliziert.
• Betriebsmasterrollen (auch bekannt als Flexible Single Master Operations oder FSMOs). Domänencontroller, die als Master of Operations fungieren, sind darauf ausgelegt, spezielle Aufgaben auszuführen, um die Datenkonsistenz sicherzustellen und widersprüchliche Verzeichniseinträge zu vermeiden.

Active Directory-Verbunddienste

AD FS bietet Endbenutzern, die Zugriff auf Anwendungen in einem AD FS-gesicherten Unternehmen, in Verbundpartnerorganisationen oder in der Cloud benötigen, einen vereinfachten und sicheren Identitätsverbund und SSO-Webdienste (Single Sign-On).Windows Server AD FS umfasst a Rollendienst Verbunddienst, der als Identitätsanbieter fungiert (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Active Directory Lightweight-Verzeichnisdienste

Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das Verzeichnisanwendungen ohne die Abhängigkeiten und domänenspezifischen Einschränkungen der Active Directory-Domänendienste flexibel unterstützt. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS mit unabhängig verwalteten Schemas auf demselben Server ausführen. Mit der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne Domänen- und Gesamtstrukturdienstdaten zu verwenden und ohne ein einziges gesamtstrukturweites Schema zu benötigen.

Active Directory-Rechteverwaltungsdienste

Sie können AD RMS verwenden, um die Sicherheitsstrategie Ihrer Organisation zu erweitern, indem Sie Dokumente mithilfe von Information Rights Management (IRM) sichern. AD RMS ermöglicht es Benutzern und Administratoren, mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuzuweisen. Dadurch können Sie vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer schützen. Sobald die Berechtigungen einer Datei mithilfe von IRM eingeschränkt wurden, gelten Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen, da die Berechtigung der Datei in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen anwenden Persönliche Einstellungenüber die Übermittlung personenbezogener und vertraulicher Informationen. Sie helfen einer Organisation auch dabei, Unternehmensrichtlinien durchzusetzen, um die Verwendung und Verbreitung sensibler und persönlicher Informationen zu kontrollieren. Die von AD RMS unterstützten IRM-Lösungen werden verwendet, um die folgenden Funktionen bereitzustellen.

• Persistente Nutzungsrichtlinien, die Informationen enthalten, unabhängig davon, ob sie verschoben, gesendet oder weitergeleitet werden.
• Eine zusätzliche Datenschutzebene zum Schutz vertraulicher Daten – wie Berichte, Produktspezifikationen, Kundeninformationen und E-Mail-Nachrichten – davor, absichtlich oder versehentlich in die falschen Hände zu geraten.
• Verhindern Sie unbefugtes Senden, Kopieren, Bearbeiten, Drucken, Faxen oder Einfügen von eingeschränkten Inhalten durch autorisierte Empfänger.
• Verhindern Sie das Kopieren eingeschränkter Inhalte mit der Funktion BILDSCHIRM DRUCKEN in Microsoft Windows.
• Unterstützung für den Ablauf von Dateien, wodurch verhindert wird, dass Dokumentinhalte nach Ablauf angezeigt werden festgelegter Zeitraum Zeit.
• Implementieren Sie Unternehmensrichtlinien, die die Nutzung und Verteilung von Inhalten innerhalb der Organisation regeln

Anwendungsserver

Application Server bietet eine integrierte Umgebung zum Bereitstellen und Ausführen benutzerdefinierter serverbasierter Geschäftsanwendungen.

DHCP-Server

DHCP ist eine Client-Server-Technologie, die es DHCP-Servern ermöglicht, Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuzuweisen oder zu leasen.Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden automatisch Clientcomputer und andere Geräte bereitgestellt Netzwerkgeräte basierend auf gültigen IPv4- und IPv6-IP-Adressen und zusätzlichen Konfigurationseinstellungen, die von diesen Clients und Geräten benötigt werden Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Failover.

DNS Server

Der DNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen wie IP-Adressen enthält. Mit dem DNS-Dienst können Sie Anzeigenamen wie www.microsoft.com verwenden, um Computer und andere Ressourcen in TCP/IP-basierten Netzwerken zu finden. Der DNS-Dienst von Windows Server bietet weiter verbesserte Unterstützung für DNS-Sicherheitsmodule (DNSSEC), einschließlich Netzwerkregistrierung und automatisierte Steuerung Parameter.

FAX-Server

Der Faxserver sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf Ihrem Faxserver.

Datei- und Speicherdienste

Administratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und ihre Speicher einzurichten und diese Server mit dem Server-Manager oder Windows PowerShell zu verwalten. Einige spezifische Anwendungen umfassen die folgenden Merkmale.

• Arbeitsordner. Verwenden Sie diese Option, um Benutzern das Speichern und Zugreifen auf Arbeitsdateien auf PCs und anderen Geräten als Unternehmens-PCs zu ermöglichen. Benutzer erhalten einen bequemen Ort, um Arbeitsdateien zu speichern und von überall darauf zuzugreifen. Organisationen kontrollieren Unternehmensdaten, indem sie Dateien auf zentral verwalteten Dateiservern speichern und optional Richtlinien für Benutzergeräte festlegen (z. B. Verschlüsselung und Kennwörter für die Bildschirmsperre).
• Datendeduplizierung. Wird verwendet, um den Speicherplatzbedarf zum Speichern von Dateien zu reduzieren und Geld für die Speicherung zu sparen.
• iSCSI-Zielserver. Wird verwendet, um zentralisierte, software- und geräteunabhängige iSCSI-Festplattensubsysteme in Storage Area Networks (SANs) zu erstellen.
• Speicherplatz. Zur Bereitstellung von hochverfügbarem, robustem und skalierbarem Speicher mit kostengünstigen Laufwerken nach Industriestandard.
• Server Administrator. Verwenden für Fernbedienung mehrere Dateiserver von einem Fenster aus.
• Windows PowerShell. Wird verwendet, um die Verwaltung der meisten Dateiserver-Verwaltungsaufgaben zu automatisieren.

Hyper-V

Mit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Beim Installieren der Hyper-V-Rolle werden Voraussetzungen und optionale Verwaltungstools installiert. Erforderliche Komponenten umfassen ein Low-Level Windows-Shell, Hyper-V Virtual Machine Management Service, WMI Virtualization Provider und Virtualisierungskomponenten wie VMbus, Virtualization Service Provider (VSP) und Virtual Infrastructure Driver (VID).

Netzwerkrichtlinie und Zugriffsdienste

Network Policy and Access Services bietet die folgenden Netzwerkkonnektivitätslösungen:

• Network Access Protection ist eine Technologie zum Erstellen, Durchsetzen und Korrigieren von Clientintegritätsrichtlinien. Mit Network Access Protection können Systemadministratoren Integritätsrichtlinien festlegen und automatisch durchsetzen, die Anforderungen für Software, Sicherheitsupdates und andere Einstellungen enthalten. Für Clientcomputer, die die Integritätsrichtlinie nicht einhalten, können Sie den Zugriff auf das Netzwerk einschränken, bis ihre Konfiguration aktualisiert wurde, um den Anforderungen der Richtlinie zu entsprechen.
• Wenn 802.1X-fähige drahtlose Zugriffspunkte bereitgestellt werden, können Sie den Netzwerkrichtlinienserver (NPS) verwenden, um zertifikatbasierte Authentifizierungsmethoden bereitzustellen, die sicherer sind als die kennwortbasierte Authentifizierung. Durch die Bereitstellung von 802.1X-fähiger Hardware mit einem NPS-Server können Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server abrufen können.
• Anstatt eine Netzwerkzugriffsrichtlinie auf jedem Netzwerkzugriffsserver zu konfigurieren, können Sie alle Richtlinien zentral erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen definieren (wer eine Verbindung herstellen kann, wann eine Verbindung zulässig ist, die Sicherheitsstufe, die zum Herstellen einer Verbindung mit dem Netzwerk verwendet werden muss ).

Druck- und Dokumentenservice

Mit Print and Document Services können Sie Druckserveraufgaben zentralisieren und Netzwerkdrucker. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente an freigegebene übertragen Netzwerkressourcen- an eine Windows SharePoint Services-Site oder per E-Mail.

Fernzugriff

Die Remote Access Server-Rolle ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.

• Direkter Zugang
• Routing und Fernzugriff
• Webanwendungsproxy

Diese Technologien sind Rollendienste RAS-Serverrolle. Wenn Sie die RAS-Serverrolle installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Features ausführen.

Unter Windows Server bietet die Remote Access Server-Rolle die Möglichkeit, DirectAccess und VPN mit RRAS-Remotezugriffsdiensten (Routing and Remote Access Service) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und verwaltet werden Windows-Befehle PowerShell und Remote Access Management Console (MMC).

Remotedesktopdienste

Remote Desktop Services beschleunigt und erweitert die Bereitstellung von Desktops und Anwendungen auf jedem Gerät, macht den Remote-Mitarbeiter effizienter, schützt gleichzeitig wichtiges geistiges Eigentum und vereinfacht die Compliance. Remote Desktop Services umfassen Virtual Desktop Infrastructure (VDI), sitzungsbasierte Desktops und Anwendungen, die es Benutzern ermöglichen, von überall aus zu arbeiten.

Volumenaktivierungsdienste

Volume License Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in verschiedenen Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit Volume License Activation Services können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren.

Webserver (IIS)

Die Rolle Webserver (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Die Verwendung eines Webservers bietet Benutzern Zugriff auf Informationen im Internet, Intranet und Extranet. Administratoren können die Rolle Webserver (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites einzurichten und zu verwalten. Zu den Besonderheiten gehören die folgenden.

• Verwenden Sie den Internet Information Services (IIS) Manager, um IIS-Komponenten zu konfigurieren und Websites zu verwalten.
• Verwenden des FTP-Protokolls, um Website-Eigentümern das Hoch- und Herunterladen von Dateien zu ermöglichen.
• Verwenden der Website-Isolierung, um zu verhindern, dass eine Website auf dem Server andere beeinträchtigt.
• Anpassung von Webanwendungen, die mit verschiedenen Technologien wie Classic ASP, ASP.NET und PHP entwickelt wurden.
• Verwenden Sie Windows PowerShell, um die meisten Verwaltungsaufgaben für Webserver automatisch zu verwalten.
• Konsolidieren Sie mehrere Webserver in einer Serverfarm, die mit IIS verwaltet werden kann.

Windows-Bereitstellungsdienste

Mit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen.

Windows Server Essentials-Erfahrung

Mit dieser Rolle können Sie die folgenden Aufgaben ausführen:

• Schützen Sie Server- und Client-Daten durch Erstellen Sicherungen Server und alle Client-Computer im Netzwerk;
• Verwalten Sie Benutzer und Benutzergruppen über ein vereinfachtes Server-Dashboard. Darüber hinaus bietet die Integration mit Windows Azure Active Directory* Benutzern einfachen Zugriff auf Online-Microsoft Online-Dienste (wie Office 365, Exchange Online und SharePoint Online) mit ihren Domänenanmeldeinformationen;
• Unternehmensdaten an einem zentralen Ort speichern;
• Integrieren Sie den Server in Microsoft Online Services (wie Office 365, Exchange Online, SharePoint Online und Windows Intune):
• Allgegenwärtige Zugriffsfunktionen auf dem Server (wie Remote-Webzugriff und virtuelle private Netzwerke) verwenden, um von hochsicheren Remote-Standorten aus auf den Server, Netzwerkcomputer und Daten zuzugreifen;
• Zugriff auf Daten von überall und von jedem Gerät über das eigene Webportal der Organisation (über Remote-Webzugriff);
• zu regieren mobile Geräte Diejenigen, die mit Office 365 über das Active Sync-Protokoll über das Dashboard auf die E-Mails Ihrer Organisation zugreifen.
• den Netzwerkzustand überwachen und anpassbare Zustandsberichte erhalten; Berichte können bei Bedarf generiert, angepasst und per E-Mail an bestimmte Empfänger gesendet werden.

Windows Server-Update-Dienste

Der WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Quelle von Updates für andere WSUS-Server in der Organisation sein. Bei der Implementierung von WSUS muss mindestens ein WSUS-Server im Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von der Sicherheit und Konfiguration des Netzwerks kann ein Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind.

Vorlesung 4 Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Sicherheitsrichtlinienserver

Vortrag 4

Thema: Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Netzwerkzugriffsschutz-Richtlinienserver

Einführung

Windows Server 2008 und Windows Server 2008 R2 sind fortschrittliche Windows Server-Betriebssysteme, die entwickelt wurden, um eine neue Generation von Netzwerken, Anwendungen und Webdiensten zu unterstützen. Mit diesen Betriebssystemen können Sie flexible und allgegenwärtige Benutzer- und Anwendungserfahrungen entwerfen, bereitstellen und verwalten, hochsichere Netzwerkinfrastrukturen aufbauen und die technologische Effizienz und Organisation in Ihrem Unternehmen verbessern.

Netzwerkrichtlinienserver

Mit Network Policy Server können Sie unternehmensweite Netzwerkzugriffsrichtlinien erstellen und durchsetzen, um die Clientintegrität sicherzustellen und Verbindungsanforderungen zu authentifizieren und zu autorisieren. Sie können NPS auch als RADIUS-Proxy verwenden, um Verbindungsanforderungen an NPS oder andere RADIUS-Server weiterzuleiten, die in Remote-RADIUS-Servergruppen konfiguriert sind.

Mit dem Netzwerkrichtlinienserver können Sie über die folgenden drei Optionen die Authentifizierung, Autorisierung und Integritätsrichtlinien für den Client-Netzwerkzugriff zentral konfigurieren und verwalten:

Radius-Server. NPS verarbeitet zentral die Authentifizierung, Autorisierung und Abrechnung für drahtlose Verbindungen, authentifizierte Switch-Verbindungen, DFÜ-Verbindungen und VPN-Verbindungen (Virtual Private Network). Bei Verwendung von NPS als RADIUS-Server werden Netzwerkzugriffsserver wie drahtlose Zugriffspunkte und VPN-Server als RADIUS-Clients auf NPS konfiguriert. Es konfiguriert auch die Netzwerkrichtlinien, die NPS verwendet, um Verbindungsanforderungen zu autorisieren. Darüber hinaus können Sie die RADIUS-Kontoführung so konfigurieren, dass die Informationen von NPS protokolliert werden, um Dateien zu protokollieren, die auf einer lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank gespeichert sind.

RADIUS-Proxy. Wenn NPS als RADIUS-Proxy verwendet wird, müssen Sie Vekonfigurieren, die bestimmen, welche Verbindungsanforderungen NPS an andere RADIUS-Server weiterleitet und welche spezifischen RADIUS-Server diese Anforderungen weiterleiten. NPS kann auch so konfiguriert werden, dass Anmeldeinformationen umgeleitet werden, die auf einem oder mehreren Computern in einer Remote-RADIUS-Servergruppe gespeichert werden sollen.

Richtlinienserver für den Netzwerkzugriffsschutz (NAP). Wenn NPS als NAP-Richtlinienserver konfiguriert ist, wertet NPS die Integritätszustände aus, die von NAP-fähigen Clientcomputern gesendet werden, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. Ein mit Netzwerkzugriffsschutz konfigurierter Netzwerkrichtlinienserver fungiert als RADIUS-Server, der Verbindungsanforderungen authentifiziert und autorisiert. Mit dem Netzwerkrichtlinienserver können Sie Richtlinien und Einstellungen für den Netzwerkzugriffsschutz konfigurieren, einschließlich Systemintegritätsprüfungen, Integritätsrichtlinien und Aktualisierungsservergruppen, die sicherstellen, dass Clientcomputer gemäß der Netzwerkrichtlinie der Organisation aktualisiert werden.

Sie können eine beliebige Kombination der oben aufgeführten Funktionen auf dem Netzwerkrichtlinienserver konfigurieren. Beispielsweise kann NPS mit einer oder mehreren Erzwingungsmethoden als NAP-Richtlinienserver fungieren, während er als RADIUS-Server für DFÜ-Verbindungen und als RADIUS-Proxy fungiert, um einige Verbindungsanforderungen an eine Gruppe von Remote-RADIUS-Servern weiterzuleiten, was Authentifizierung und Autorisierung in einer anderen Domäne.

RADIUS-Server und RADIUS-Proxy

NPS kann als RADIUS-Server, RADIUS-Proxy oder beides verwendet werden.

Radius-Server

Microsoft NPS ist gemäß dem RADIUS-Standard implementiert, der in IETF RFC 2865 und RFC 2866 beschrieben ist. Als RADIUS-Server führt NPS zentral die Authentifizierung, Autorisierung und Verbindungsabrechnung für verschiedene Arten des Netzwerkzugriffs durch, einschließlich drahtloser Zugriff, Switching mit Authentifizierung, Einwahl -up- und VPN-Zugriff sowie Verbindungen zwischen Routern.

Mit Network Policy Server können Sie eine heterogene Gruppe von Geräten für drahtlosen Zugriff, Fernzugriff, VPN-Netzwerke und Switching verwenden. Der Netzwerkrichtlinienserver kann mit dem Routing- und RAS-Dienst verwendet werden, der in Betriebssystemen verfügbar ist. Microsoft-Systeme Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition und Windows Server 2003, Datacenter Edition.

Wenn der NPS-Computer Mitglied einer Active Directory®-Domäne ist, verwendet NPS diesen Verzeichnisdienst als seine Benutzerkontendatenbank und ist Teil der Single-Sign-On-Lösung. Derselbe Satz von Anmeldeinformationen wird verwendet, um den Netzwerkzugriff zu steuern (Netzwerkzugriff zu authentifizieren und zu autorisieren) und um sich bei einer Active Directory-Domäne anzumelden.

ISPs und Organisationen, die Netzwerkzugang bereitstellen, stehen vor den komplexeren Herausforderungen der Verwaltung aller Arten von Netzwerken von einem einzigen Administrationspunkt aus, unabhängig von der verwendeten Netzwerkzugangsausrüstung. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch in heterogenen Umgebungen. Das RADIUS-Protokoll ist ein Client/Server-Protokoll, das es Netzwerkzugangsgeräten (die als RADIUS-Clients fungieren) ermöglicht, Authentifizierungs- und Abrechnungsanforderungen an einen RADIUS-Server zu senden.

Der RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann Anmeldeinformationen validieren, wenn er sich authentifiziert, um Netzwerkzugriff zu gewähren. Wenn die Anmeldeinformationen des Benutzers authentisch und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Zugriff dieses Benutzers basierend auf den angegebenen Bedingungen und protokolliert die Verbindungsinformationen. Die Verwendung des RADIUS-Protokolls ermöglicht das Sammeln und Verwalten von Authentifizierungs-, Autorisierungs- und Abrechnungsinformationen an einem einzigen Ort, anstatt auf jedem Zugriffsserver durchgeführt zu werden.

RADIUS-Proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Abrechnungsnachrichten an andere RADIUS-Server weiter.

Mit NPS können Unternehmen ihre Fernzugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über die Benutzerauthentifizierung, -autorisierung und -abrechnung behalten.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:

Kabelloser Zugang

Eine DFÜ- oder virtuelle private Netzwerkverbindung in einer Organisation.

Fernzugriff oder drahtloser Zugriff, der von einer externen Organisation bereitgestellt wird

Internet Zugang

Authentifizierter Zugriff auf externe Netzwerkressourcen für Geschäftspartner

Konfigurationsbeispiele für RADIUS-Server und RADIUS-Proxy

Die folgenden Konfigurationsbeispiele zeigen, wie NPS als RADIUS-Server und RADIUS-Proxy konfiguriert wird.

NPS als RADIUS-Server. In diesem Beispiel ist NPS als RADIUS-Server konfiguriert, die einzige konfigurierte Richtlinie ist die Standardrichtlinie für Verbindungsanforderungen, und alle Verbindungsanforderungen werden vom lokalen NPS verarbeitet. NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des Servers oder in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy. In diesem Beispiel ist NPS als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an Gruppen von Remote-RADIUS-Servern in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die standardmäßige Vwird entfernt und durch zwei neue Veersetzt, die Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen umleiten. In diesem Beispiel verarbeitet NPS keine Verbindungsanforderungen auf dem lokalen Server.

NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy. Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie, die Anforderungen lokal verarbeitet, wird eine neue Verstellt, um sie an NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne umzuleiten. Die zweite Richtlinie heißt Proxy. In diesem Beispiel wird die Proxy-Richtlinie zuerst in der geordneten Liste der Richtlinien angezeigt. Wenn die Verbindungsanforderung mit der „Proxy“-Richtlinie übereinstimmt, gestellte Anfrage auf der Verbindung wird an den RADIUS-Server in der Remote-RADIUS-Servergruppe umgeleitet. Wenn eine Verbindungsanforderung nicht mit der Proxyrichtlinie, aber mit der Standardrichtlinie für Verbindungsanforderungen übereinstimmt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Wenn eine Verbindungsanforderung keiner dieser Richtlinien entspricht, wird sie abgelehnt.

NPS als RADIUS-Server mit Remote-Accounting-Servern. In diesem Beispiel lokaler Server Die Netzwerkrichtlinie ist nicht auf Kontoführung festgelegt, und die Standardrichtlinie für Verbindungsanforderungen wird geändert, sodass RADIUS-Kontoführungsnachrichten an NPS oder einen anderen RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet werden. Obwohl Abrechnungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet, und die entsprechende Funktionalität für die lokale Domäne und alle vertrauenswürdigen Domänen wird vom lokalen NPS verarbeitet.

NPS mit Remote-RADIUS-zu-Windows-Benutzerzuordnung. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung und leitet die Authentifizierungsanforderung an einen Remote-RADIUS-Server um, während die Autorisierung über ein lokales Windows-Benutzerkonto erfolgt. Diese Konfiguration wird implementiert, indem das Remote-RADIUS-Server-Mapping zum Windows-Benutzerattribut als Bedingung der Vfestgelegt wird. (Außerdem müssen Sie auf dem RADIUS-Server ein lokales Benutzerkonto mit demselben Namen wie das Remote-Konto erstellen, gegen das sich der Remote-RADIUS-Server authentifiziert.)

Richtlinienserver für den Netzwerkzugriffsschutz

Der Netzwerkzugriffsschutz ist in Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2 enthalten. Es trägt zum Schutz des Zugriffs auf private Netzwerke bei, indem sichergestellt wird, dass Clientcomputer die im Netzwerk der Organisation geltenden Integritätsrichtlinien einhalten, wenn diesen Clients der Zugriff auf Netzwerkressourcen gewährt wird. Darüber hinaus wird die Einhaltung einer vom Administrator definierten Integritätsrichtlinie durch den Netzwerkzugriffsschutz überwacht, während der Clientcomputer mit dem Netzwerk verbunden ist. Mit der Möglichkeit, den Netzwerkzugriffsschutz automatisch zu aktualisieren, können nicht konforme Computer gemäß der Integritätsrichtlinie automatisch aktualisiert werden, sodass ihnen später Zugriff auf das Netzwerk gewährt werden kann.

Systemadministratoren definieren Netzwerkintegritätsrichtlinien und erstellen diese Richtlinien mithilfe von NAP-Komponenten, die von NPS erhältlich sind oder von anderen Unternehmen bereitgestellt werden (je nach NAP-Implementierung).

Integritätsrichtlinien können Eigenschaften wie Softwareanforderungen, Sicherheitsupdateanforderungen und Anforderungen an Konfigurationseinstellungen aufweisen. Der Netzwerkzugriffsschutz erzwingt Gesundheitsrichtlinien, indem er den Zustand von Clientcomputern überprüft und auswertet und einschränkt Netzwerkzugang für Computer, die diese Anforderungen nicht erfüllen, und die Behebung dieser Diskrepanz, um einen uneingeschränkten Zugriff auf das Netzwerk zu ermöglichen.