Перед разработкой сокетного сервера нужно создать сервер политики, сообщающий Silverlight, каким клиентам разрешено устанавливать соединение с сокетным сервером.
Как было показано выше, Silverlight не разрешает загружать содержимое или вызывать веб-службу, если в домене нет файла clientaccesspolicy .xml или crossdomain. xml, в котором эти операции явно разрешены. Аналогичное ограничение налбжено и на сокетный сервер. Если не предоставить клиентскому устройству возможность загрузить файл clientaccesspolicy .xml, разрешающий отдаленный доступ, Silverlight откажется устанавливать соединение.
К сожалению, предоставление файла clientaccesspolicy. cml сокетному приложению - более сложная задача, чем его предоставление посредством веб-сайта. При использовании веб-сайта программное обеспечение веб-сервера может предоставить файл clientaccesspolicy .xml, нужно лишь не забыть добавить его. В то же время при использовании сокетного приложения нужно открыть сокет, к которому клиентские приложения могут обращаться с запросами политики. Кроме того, нужно вручную создать код, обслуживающий сокет. Для решения этих задач необходимо создать сервер политики.
Далее будет показано, что сервер политики работает так же, как сервер сообщений, он лишь обслуживает немного более простые взаимодействия. Серверы сообщений и политики можно создать отдельно или объединить в одном приложении. Во втором случае они должны прослушивать запросы в разных потоках. В рассматриваемом примере мы создадим сервер политики, а затем объединим его с сервером сообщений.
Для создания сервера политики нужно сначала создать приложение.NET. В качестве сервера политики может служить приложение.NET любого типа. Проще всего применить консольное приложение. Отладив консольное приложение, можно переместить код в службу Windows, чтобы он постоянно выполнялся в фоновом режиме.
Файл политики
Ниже приведен файл политики, предоставляемый сервером политики.
Файл политики определяет три правила.
Разрешает доступ ко всем портам от 4502 до 4532 (это полный диапазон портов, поддерживаемых надстройкой Silverlight). Для изменения диапазона доступных портов нужно изменить значение атрибута port элемента
Разрешает доступ TCP (разрешение определено в атрибуте protocol элемента
Разрешает вызов из любого домена. Следовательно, приложение Silverlight, устанавливающее соединение, может хостироваться любым веб-сайтом. Для изменения этого правила нужно отредактировать атрибут uri элемента
Для облегчения задачи правила политики размещаются в файле clientaccess- ploi.cy.xml, добавляемом в проект. В Visual Studio параметру Copy to Output Directory (Копировать в выходную папку) файла политики нужно присвоить значение Сору Always (Всегда копировать). должен всего лишь найти файл на жестком диске, открыть его и вернуть содержимое клиентскому устройству.
Класс PolicyServer
Функциональность сервера политики основана на двух ключевых классах: PolicyServer и PolicyConnection. Класс PolicyServer обеспечивает ожидание соединений. Получив соединение, он передает управление новому экземпляру класса PoicyConnection, который передает файл политики клиенту. Такая процедура, состоящая из двух частей, часто встречается в сетевом программировании. Вы еще не раз увидите ее при работе с серверами сообщений.
Класс PolicyServer загружает файл политики с жесткого диска и сохраняет его в поле как массив байтов.
public class PolicyServer
private byte policy;
public PolicyServer(string policyFile) {
// Загрузка файла политики FileStream policyStream = new FileStream(policyFile, FileMode.Open); policy = new byte; policyStream.Read(policy, 0, policy.Length); policyStream.Close();
Чтобы начать прослушивание, серверное приложение должно вызвать метод PolicyServer. Start (). Он создает объект TcpListener, который ожидает запросы. Объект TcpListener сконфигурирован на прослушивание порта 943. В Silverlight этот порт зарезервирован для серверов политики. При создании запросов на файлы политики приложение Silverlight автоматически направляет их в порт 943.
private TcpListener listener;
public void Start ()
// Создание прослушивающего объекта
listener = new TcpListener(IPAddress.Any, 943);
// Начало прослушивания; метод Start () возвращается II немедленно после вызова listener.Start();
// Ожидание соединения; метод возвращается немедленно;
II ожидание выполняется в отдельном потоке
Чтобы принять предлагаемое соединение, сервер политики вызывает метод BeginAcceptTcpClient (). Как все методы Beginxxx () инфраструктуры.NET, он возвращается немедленно после вызова, выполняя необходимые операции в отдельном потоке. Для сетевых приложений это весьма существенный фактор, потому что благодаря ему возможна одновременная обработка многих запросов на файлы политики.
Примечание. Начинающие сетевые программисты часто удивляются, как можно обрабатывать более одного запроса одновременно, и думают, что для этого нужно несколько серверов. Однако это не так. При таком подходе клиентские приложений быстро исчерпали бы доступные порты. На практике серверные приложения обрабатывают многие запросы через один порт. Этот процесс невидим для приложений, потому что встроенная в Windows подсистема TCP автоматически идентифицирует сообщения и направляет их в соответствующие объекты в коде приложений. Каждое соединение уникально идентифицируется на основе четырех параметров: ІР-адрес клиента, номер порта клиента, ІР-адрес сервера и номер порта сервера.
При каждом запросе запускается метод обратного вызова OnAcceptTcpClient (). Он опять вызывает метод BeginAcceptTcpClient О, чтобы начать ожидание следующего запроса в другом потоке, и после этого начинает обрабатывать текущий запрос.
public void OnAcceptTcpClient(IAsyncResult аг) {
if (isStopped) return;
Console.WriteLine("Получен запрос политики."); // Ожидание следующего соединения.
listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);
// Обработка текущего соединения.
TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = new PolicyConnection(client, policy); policyConnection.HandleRequest() ;
catch (Exception err) {
Каждый раз при получении нового соединения создается новый объект PolicyConnection, чтобы обработать его. Кроме того, объект PolicyConnection обслуживает файл политики.
Последний компонент класса PolicyServer - метод Stop (), который останавливает ожидание запросов. Приложение вызывает его при завершении.
private bool isStopped;
public void StopO {
isStopped = true;
listener. Stop () ;
catch (Exception err) {
Console.WriteLine(err.Message);
Для запуска сервера политики в методе Main () сервера приложения используется следующий код.
static void Main(string args) {
PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();
Console.WriteLine("Запущен сервер политики."); Console.WriteLine("Нажмите клавишу Enter для выхода.");
// Ожидание нажатия клавиши
policyServer.Stop();
Console.WriteLine("Завершение сервера политики.");
Класс PolicyConnection
Класс PolicyConnection выполняет более простую задачу. Объект PolicyConnection сохраняет ссылку на данные файла политики. Затем, после вызова метода HandleRequest (), объект PolicyConnection извлекает из сетевого потока новое соединение и пытается прочитать его. Клиентское устройство должно передать строку, содержащую текст
public class PolicyConnection (
private TcpClient client; private byte policy;
public PolicyConnection(TcpClient client, byte policy) {
this.client = client; this.policy = policy;
// Создание запроса клиента private static string policyRequestString = "
public void HandleRequest () {
Stream s = client.GetStream(); // Чтение строки запроса политики
byte buffer = new byte;
// Ожидание выполняется только 5 секунд client.ReceiveTimeout = 5000;’
s.Read(buffer, 0, buffer.Length);
// Передача политики (можно также проверить, есть ли //в запросе политики необходимое содержимое) s.Write(policy, 0, policy.Length);
// Закрытие соединения client.Close ();
Console.WriteLine("Файл политики обслужен.");
Итак, у нас есть полностью работоспособный сервер политики. К сожалению, его пока что нельзя протестировать, потому что надстройка Silverlight не разрешает явно запрашивать файлы политики. Вместо этого она автоматически запрашивает их при попытке использовать сокетное приложение. Перед созданием клиентского приложения для данного сокетного приложения необходимо создать сервер.
В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.
В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.
Настройка политики проводной сети
Задать настройки политики проводных сетей вы можете непосредственно из оснастки . Для того чтобы настроить данные параметры, выполните следующие действия:
- Откройте оснастку «Редактор управления групповыми политиками»
и в дереве консоли выберите узел , нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий»
, как показано на следующей иллюстрации:
Рис. 1. Создание политики проводной сети - В открывшемся диалоговом окне «Новая политика для проводных сетей Properties»
, на вкладке «Общие»
, вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
- Имя политики . В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками» ;
- Описание . Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
- Использовать службу автонастройки проводных сетей Windows для клиентов . Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
- Запретить использование общих учетных данных пользователя для проверки подлинности сети . Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds ;
- Включить период блокировки . Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.
- На вкладке «Безопасность»
предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
- Включать проверку подлинности IEEE 802.1X для доступа к сети . Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;
- Выберите метод проверки подлинности сети
. При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:
- Microsoft: Защищенные EAP (PEAP) . Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
- Microsoft: смарт-карты или другой сертификат . Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.
По умолчанию выбран метод Microsoft: защищенные EAP (PEAP) ;
- Режим проверки подлинности
. Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:
- Проверка подлинности пользователя или компьютера . В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.
- Только для компьютера . В этом случае проверка подлинности выполняется только для учетных данных компьютера;
- Проверка подлинности пользователя . При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
- Проверка подлинности гостя . Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.
- Максимальное число ошибок проверки подлинности . Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию – 1;
- Кэшировать данные пользователя для последующих подключений к этой сети . При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.
«Общие» политики проводной сети:
Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети
На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна:
Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети
Свойства режимов проверки подлинности
Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства» . В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.
Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»
EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:
Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:
Рис. 5. Диалоговое окно свойств защищённого EAP
Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»
Для настройки данного метода проверки подлинности существуют следующие параметры:
- При подключении использовать мою смарт-карту . Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
- При подключении использовать сертификат на этом компьютере . При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
- Использовать выбор простого сертификата . Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
- Проверять сертификат сервера . Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
- Подключаться к серверам . Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
- Доверенные корневые центры сертификации . Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
- Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации . Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
- Использовать для подключения другое имя пользователя . Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.
Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:
Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов
Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:
Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации
Дополнительные параметры безопасности политики проводных сетей
Вы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:
В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:
- Применить дополнительные параметры 802.1X . Эта опция позволяет активировать следующие четыре настройки;
- Макс. EAPOL-сообщений . EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
- Период задержки (сек) . Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
- Start Period (период начала) . Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
- Период проверки (сек) . Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
- Сообщение EAPOL-Start
. При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
- Не передавать . При выборе данного параметра, EAPOL сообщения не будут передаваться;
- Передано . При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
- Передача по протоколу IEEE 802.1X . при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.
При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:
- Включить единую регистрацию для сети . При включении данной опции активируются настройки единого входа в систему;
- Включить непосредственно перед входом пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
- Включить сразу после входа пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
- Макс. задержка подключения . Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
- Разрешить отображение дополнительных диалоговых окон при едином входе . Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
- Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей . При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.
Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:
Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей
Заключение
В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.
Политики в Exchange Server 2003 предназначены для повышения гибкости администрирования при одновременном снижении нагрузки на администраторов. Политика – это набор параметров конфигурирования, которые применяются к одному или нескольким объектам одного класса в Exchange . Например, можно создать политику, которая воздействует на определенные параметры некоторых или всех серверов Exchange . Если потребуется изменить эти параметры, то достаточно модифицировать эту политику, и она будет применена к соответствующей организации сервера.
Существует два вида политик: системная политика ( system policy ) и политика получателей ( recipient policy ). Политики получателей применяются к объектам с доступом к почте и указывают, каким образом генерируются адреса электронной почты. Речь о политиках получателей идет в "Создание и управление получателями" . Системные политики применяются к серверам, хранилищам почтовых ящиков и хранилищам общих папок. Эти политики отображаются в контейнере Policies (Политики) внутри группы, ответственной за администрирование этой политики ( рис. 12.10).
Рис.
12.10.
Объект "системная политика"
Примечание . При установке Exchange Server 2003 не создается контейнер по умолчанию для системных политик. Его необходимо создать перед построением системных политик. Щелкните правой кнопкой мыши на группе администрирования, в которой требуется создать папку политики, наведите указатель мыши на пункт New (Создать) и выберите System Policy Container (Контейнер системной политики).
Создание системной политики
Для создания системной политики нужно перейти в соответствующий контейнер System Policies (Системные политики), щелкнуть правой кнопкой мыши на контейнере, после чего выбрать тип создаваемой политики: политика сервера, политика хранилища почтовых ящиков или политика хранилища общих папок.
При работе с системными политиками не забудьте создать объектполитику в группе, которая несет ответственность за администрирование этой политики. Иначе может произойти ошибка в выборе людей, которые осуществляют административный контроль за критически важными политиками. Рассмотрим, как создается каждый из трех типов политик, начиная с политик серверов.
Создание политики серверов
Политика серверов определяет параметры отслеживания сообщений и обслуживания файлов журналов. Она не применяется к параметрам безопасности или другим параметрам серверов в данной группе администрирования. Чтобы создать политику серверов, щелкните правой кнопкой мыши на контейнере System Policies (Системные политики), укажите на пункт New (Создать) и затем выберите вариант Server Policy (Политика серверов). Появится диалоговое окно New Policy (Создание политики), показанное на рис. 12.11 , в котором указываются вкладки, отображаемые на странице свойств данной политики. Для политики серверов имеется только одна опция: вкладка General (Общие). Отметьте опцию для этой вкладки и затем нажмите OK. Отобразится окно конфигурирования, в котором будет создана данная политика.
Рис. 12.11.
После этого нужно ввести имя политики в окне вкладки General страницы свойств данной политики. Как показано на рисунке 12.12 , на самом деле существует две вкладки General . Первая вкладка используется для ввода имени политики. Выберите имя для описания задачи, для выполнения которой предназначена данная политика, например Message Tracking Policy (Политика отслеживания сообщений) или Enable Subject Logging Policy (Политика "Активизировать регистрацию тем сообщений"). Подходящее имя, выбранное на этой стадии, сэкономит время работы, так как не будет необходимости открывать страницу свойств этой политики, чтобы определить ее назначение.
Вкладка General ( Policy ) (Общие [Политика]), показанная на рис. 12.13 , содержит реальные параметры политики, применяемые к серверам Exchange рассматриваемой организации. Вкладка называется General ( Policy ), так как потенциально осуществляется конфигурация вкладки General страниц свойств для всех имеющихся серверов. (Ниже в этой лекции мы рассмотрим, как применять эту политику ко всем серверам организации.) Если сравнить эту вкладку с вкладкой General на странице свойств какого-либо сервера, то станет видно, что эти вкладки совпадают, за исключением идентифицирующей информации вверху вкладки.
На вкладке General ( Policy ) активизируется регистрация и отображение на экране тем сообщений (Enable subject logging and display) для всех имеющихся серверов Exchange 2003. Эта установка действует в сочетании с опцией Enable Message Tracking (Активизировать отслеживание сообщений), что позволяет отслеживать сообщения, передаваемые в организации. Эти опции полезны для поиска и устранения источника проблем, возникающих, когда некоторые пользователи не получают сообщений от других пользователей. Существует возможность отслеживания прохождения сообщения через организацию для определения места, в котором имеются проблемы с передачей данных. Подробнее об отслеживании сообщений и регистрации тем сообщений рассказывается в лекции 6 "Функциональность, безопасность и поддержка Exchange Server 2003".
Рис. 12.12.
Рис. 12.13.
После того как политика начала действовать, ее нельзя изменить на уровне локальных серверов. Политика отслеживания сообщений, которую мы использовали в качестве примера, была сформирована на сервере EX-SRV1 в группе администрирования Arizona. На
Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 .
Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server.
Что такое «Роль сервера» в Windows Server?
Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » - это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ).
У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко.
В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию.
Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб.
В Windows Server также существуют и «Компоненты » сервера.
Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями.
Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты.
Описание серверных ролей Windows Server 2016
Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению.
Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » .
Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления.
DHCP-сервер
Эта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли.
Название для Windows PowerShell – DHCP.
DNS-сервер
Данная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли.
Название роли для PowerShell - DNS.
Hyper-V
С помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами.
Название роли для Windows PowerShell - Hyper-V.
Аттестация работоспособности устройств
Роль «» позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте.
Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент «», компонент «Функции.NET Framework 4.6 ».
Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет.
Название для PowerShell – DeviceHealthAttestationService.
Веб-сервер (IIS)
Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43).
Название для Windows PowerShell - Web-Server.
Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ):
Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:
- Безопасность (Web-Security)
- набор служб для обеспечения безопасности веб-сервера.
- Фильтрация запросов (Web-Filtering) – с помощью этих средств можно обрабатывать все запросы, поступающие на сервер, и фильтровать эти запросы на основе специальных правил, заданных администратором веб сервера;
- IP-адрес и ограничения домена (Web-IP-Security) – эти средства позволяют разрешать или запрещать доступ к содержимому на веб сервере с учетом IP-адреса или имени домена источника в запросе;
- Авторизация URL-адреса (Web-Url-Auth) - средства позволяют разрабатывать правила для ограничения доступа к веб-содержимому и связывать их с пользователями, группами или командами заголовка HTTP;
- Дайджест-проверка подлинности (Web-Digest-Auth) – данная проверка подлинности позволяет обеспечить более высокий уровень безопасности по сравнению с обычной проверкой подлинности. Дайджест-проверка для проверки подлинности пользователей действует по принципу передачи хэша пароля контроллеру домена Windows;
- Обычная проверка подлинности (Web-Basic-Auth) - этот метод проверки подлинности обеспечивает надежную совместимость веб-браузера. Рекомендуется использовать в небольших внутренних сетях. Основной недостаток этого метода состоит в том, что пароли, передающиеся по сети можно довольно просто перехватить и расшифровать, поэтому используйте этот метод в сочетании с SSL;
- Проверка подлинности Windows (Web-Windows-Auth) – представляет собой проверку подлинности, основанную на аутентификации в домене Windows. Другими словами, Вы можете использовать учетные записи Active Directory для проверки подлинности пользователей своих Web сайтов;
- Проверка подлинности с сопоставлением сертификата клиента (Web-Client-Auth) – данный метод проверки подлинности подразумевает использование сертификата клиента. Для обеспечения сопоставления сертификатов этот тип использует службы Active Directory;
- Проверка подлинности с сопоставлением сертификата клиента IIS (Web-Cert-Auth) – в данном методе для проверки подлинности также применяются сертификаты клиентов, но для обеспечения сопоставления сертификатов здесь используются службы IIS. Этот тип обеспечивают более высокую производительность;
- Централизованная поддержка SSL-сертификата (Web-CertProvider) – эти средства позволяет централизованно управлять сертификатами сервера SSL, что значительно упрощает процесс управления этими сертификатами;
- Исправность и диагностика (Web-Health)
– набор служб для обеспечения контроля, управления и устранения нарушений в работе веб-серверов, сайтов и приложений:
- Ведение журнала http (Web-Http-Logging) - средства обеспечивают ведение журнала активности веб-сайта на данном сервере, т.е. запись лога;
- Ведение журнала ODBC (Web-ODBC-Logging) – эти средства также обеспечивают ведение журнала активности веб-сайта, но они поддерживают регистрацию этой активности в базе данных, совместимой с ODBC;
- Монитор запросов (Web-Request-Monitor) – это инструмент который позволяет наблюдать за исправностью веб-приложения, перехватывая информацию о HTTP-запросах в рабочем процессе IIS;
- Настраиваемое ведение журнала (Web-Custom-Logging) – с помощью этих средств можно настроить ведение журнала активности веб-сервера в формате, значительно отличающегося от стандартного формата IIS. Другими словами, Вы можете создать собственный модуль ведения журнала;
- Средства ведения журнала (Web-Log-Libraries) – это инструменты для управления журналами веб-сервера и автоматизации задач ведения журнала;
- Трассировка (Web-Http-Tracing) – это средство для диагностирования и устранения нарушений в работе веб-приложений.
- Общие функции http (Web-Common-Http)
– набор служб, которые предоставляют основные функциональные возможности HTTP:
- Документ по умолчанию (Web-Default-Doc) – эта возможность позволяет настраивать веб-сервер для возврата документа, предусмотренного по умолчанию, для тех случаев, когда пользователи не указывают конкретный документ в URL-адресе запроса, за счет этого пользователям становится удобней обращаться к веб сайту, например, по домену, не указывая при этом файл;
- Обзор каталога (Web-Dir-Browsing) – с помощью этого средства можно настроить веб сервер так, чтобы пользователи могли просматривать список всех каталогов и файлов на веб сайте. Например, для случаев, когда пользователи не указывают файл в URL-адресе запроса, при этом документы по умолчанию либо запрещены, либо не настроены;
- Ошибки http (Web-Http-Errors) – данная возможность позволяет настраивать сообщения об ошибках, которые будут возвращаться на веб-браузеры пользователей в момент обнаружения веб-сервером ошибки. Это средство используется для более удобного представления пользователям сообщений об ошибках;
- Статическое содержимое (Web-Static-Content) – данное средство позволяет использовать на веб-сервере контент в виде статических форматов файлов, например, HTML файлы или файлы изображений;
- Перенаправление http (Web-Http-Redirect) – с помощью этой возможности можно перенаправить пользовательский запрос по конкретному назначению, т.е. это Redirect;
- Публикация WebDAV (Web-DAV-Publishing) – позволяет использовать технологию WebDAV на WEB сервер IIS. WebDAV (Web Distributed Authoring and Versioning ) – это технология позволяющая пользователям совместно работать (читать, редактировать, считывать свойства, копировать, перемещать ) над файлами на удаленных веб серверах, используя при этом протокол HTTP.
- Производительность (Web-Performance)
– набор служб для достижения более высокой производительности web сервера, за счет кэширования выходных данных и общих механизмов сжатия, таких как Gzip и Deflate:
- Сжатие статического содержимого (Web-Stat-Compression) – это средство для настройки сжатия статического содержимого http, оно позволяет более эффективно использовать пропускную способность, при этом без лишней нагрузки на ЦП;
- Сжатие динамического содержимого (Web-Dyn-Compression) - это средство для настройки сжатия динамического содержимого HTTP. Данное средство обеспечивает более эффективное использование пропускной способности, но в данном случае нагрузка на ЦП сервера, связанная с динамическим сжатием, может вызвать замедление работы сайта, если нагрузка на ЦП и без сжатия высока.
- Разработка приложений (Web-App-Dev)
– набор служб и средств для разработки и размещения веб-приложений, другими словами, технологии разработки сайтов:
- ASP (Web-ASP) – среда поддержки и разработки web сайтов и web приложений с использованием технологии ASP. На текущий момент существует более новая и продвинутая технология разработки сайтов - ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) - это объектно ориентированная среда разработки web сайтов и веб приложений с использованием технологии ASP.NET;
- ASP.NET 4.6 (Web-Asp-Net45) - это также объектно ориентированная среда разработки web сайтов и веб приложений с использованием новой версии ASP.NET;
- CGI (Web-CGI) – это возможность использования CGI для передачи веб-сервером информации во внешнюю программу. CGI – это некий стандарт интерфейса для связи внешней программы с web-сервером. Есть недостаток, применение CGI влияет на производительность;
- Включения на стороне сервера (SSI) (Web-Includes) – это поддержка языка сценариев SSI (включения на стороне сервера ), который используется для динамического формирования страниц HTML;
- Инициализация приложений (Web-AppInit) – данное средство выполняет задачи инициализации web приложений перед пересылкой веб-страницы;
- Протокол WebSocket (Web-WebSockets) - добавление возможности создания серверных приложений, которые взаимодействуют с помощью протокола WebSocket. WebSocket - это протокол, который может передавать и принимать одновременно данные между браузером и web сервером поверх TCP-соединения, своего рода расширение протокола HTTP;
- Расширения ISAPI (Web-ISAPI-Ext) – поддержка динамической разработки web содержимого с помощью прикладного программного интерфейса ISAPI. ISAPI – это API для web сервера IIS. Приложения ISAPI работают намного быстрее по сравнению с файлами ASP или файлами, вызывающими компоненты COM+;
- Расширяемость.NET 3.5 (Web-Net-Ext) – это средство расширяемости.NET 3.5, которое позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
- Расширяемость.NET 4.6 (Web-Net-Ext45) – это средство расширяемости.NET 4.6, которое также позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
- Фильтры ISAPI (Web-ISAPI-Filter) – добавление поддержки фильтров ISAPI. Фильтры интерфейса ISAPI представляют собой программы, которые вызываются при получении web сервером определенного запроса HTTP подлежащего обработке этим фильтром.
FTP - сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:
- Служба FTP (Web-Ftp-Service) – добавляет поддержку протокола FTP на веб сервере;
- Расширяемость FTP (Web-Ftp-Ext) – расширяет стандартные возможности FTP, например, добавляет поддержку таких функций как настраиваемые поставщики, пользователи ASP.NET или пользователи диспетчера IIS.
Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.
- Консоль управления службами IIS (Web-Mgmt-Console) – это пользовательский интерфейс управления службами IIS;
- Наборы символов и средства управления службами IIS (Web-Scripting-Tools) - это средства и скрипты управления службами IIS с помощью командной строки или скриптов. Их можно использовать, например, для автоматизации управления;
- Служба управления (Web-Mgmt-Service) – эта служба добавляет возможность управлять web сервером удаленно с другого компьютера с использованием диспетчера IIS;
- Управление совместимостью с IIS 6 (Web-Mgmt-Compat) - обеспечивает совместимость приложений и сценариев, использующих два API IIS. Существующие скрипты IIS 6 можно использовать для управления веб-сервером IIS 10:
- Метабаза совместимости с IIS 6 (Web-Metabase) - средство совместимости, которое позволяет запускать приложения и наборы символов, перенесенные с более ранних версий IIS;
- Инструменты скриптов IIS 6 (Web-Lgcy-Scripting) – эти инструменты позволяют использовать те же службы скриптов IIS 6, которые были созданы для управления IIS 6, в IIS 10;
- Консоль управления службами IIS 6 (Web-Lgcy-Mgmt-Console) – средство администрирования удаленных серверов IIS 6.0;
- Совместимость с WMI IIS 6 (Web-WMI) - это интерфейсы скриптов инструментария управления Windows (WMI) для программного контроля и автоматизации задач веб-сервера IIS 10.0 с помощью набора скриптов, созданного в поставщике WMI.
Доменные службы Active Directory
Роль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена.
Название роли для Windows PowerShell - AD-Domain-Services.
Режим Windows Server Essentials
Данная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ».
Название для PowerShell – ServerEssentialsRole.
Сетевой контроллер
Это роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами.
Название для Windows PowerShell – NetworkController.
Служба опекуна узла
Это роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие.
Название для PowerShell – HostGuardianServiceRole.
Службы Active Directory облегченного доступа к каталогам
Роль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами.
Название для PowerShell – ADLDS.
Службы MultiPoint
Это также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS.
Название роли для PowerShell – MultiPointServerRole.
Службы Windows Server Update Services
С помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows.
Название для Windows PowerShell – UpdateServices.
- WID Connectivity (UpdateServices-WidDB) – установка в WID (Windows Internal Database ) базы данных, используемой WSUS. Другими словами, свои служебные данные WSUS будет хранить в WID;
- WSUS Services (UpdateServices-Services) – это и есть службы роли WSUS, такие как служба обновления, веб-служба отчетов, веб-служба удаленного взаимодействия с API, веб-служба клиента, веб-служба простой проверки подлинности через Интернет, служба синхронизация сервера и веб-служба проверки подлинности DSS;
- SQL Server Connectivity (UpdateServices-DB) – это установка компонента, который позволяет службе WSUS подключаться к базе данных Microsoft SQL Server. Этот вариант предусматривает хранение служебных данных в БД Microsoft SQL Server. В данном случае у Вас уже должен быть установлен, по крайней мере, один экземпляр SQL Server.
Службы активации корпоративных лицензий
С помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями.
Название для PowerShell – VolumeActivation.
Службы печати и документов
Эта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services.
Название для PowerShell – Print-Services.
- Сервер печати (Print-Server) – данная служба роли включает оснастку «Управление печатью », которая используется для управления принтерами или серверами печати, а также для миграции принтеров и других серверов печати;
- Печать через Интернет (Print-Internet) - для реализации печати через Интернет создается веб-сайт, с помощью которого пользователи могут управлять заданиями печати на сервере. Для работы данной службы как Вы понимаете необходимо установить «Веб-сервер (IIS) ». Все необходимые компоненты будут выбраны автоматически, когда Вы отметите данный пункт во время процесса установки службы роли «Печать через Интернет »;
- Сервер распределенного сканирования (Print-Scan-Server) – это служба, которая позволяет принимать отсканированные документы с сетевых сканеров и отправлять их по месту назначения. Данная служба также содержит оснастку «Управление сканированием », которая используется для управления сетевыми сканерами и для настройки сканирования;
- Служба LPD (Print-LPD-Service) - служба LPD (Line Printer Daemon ) позволяет компьютерам на базе UNIX и другим компьютерам, использующим службу Line Printer Remote (LPR), печатать на общих принтерах сервера.
Службы политики сети и доступа
Роль «» (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети.
Название для Windows PowerShell – NPAS.
Службы развертывания Windows
С помощью этой роли можно удаленно устанавливать операционной системы Windows по сети.
Название роли для PowerShell – WDS.
- Сервер развертывания (WDS-Deployment) – данная служба роли предназначена для удаленного развертывания и настройки операционных систем Windows. Она также позволяет создавать и настраивать образы для повторного использования;
- Транспортный сервер (WDS-Transport) – это служба содержит основные сетевые компоненты, с помощью которых Вы можете передавать данные путем многоадресной рассылки на автономном сервере.
Службы сертификатов Active Directory
Эта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами.
Название для Windows PowerShell – AD-Certificate.
Включает следующие службы роли:
- Центр сертификации (ADCS-Cert-Authority) – с помощью данной службы роли можно выдавать сертификаты пользователям, компьютерам и службам, а также управлять действительностью сертификата;
- Веб-служба политик регистрации сертификатов (ADCS-Enroll-Web-Pol) – эта служба позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов с помощью веб-браузера, даже если компьютер не входит в домен. Для ее функционирования необходим «Веб-сервер (IIS) »;
- Веб-служба регистрации сертификатов (ADCS-Enroll-Web-Svc) – данная служба позволяет пользователям и компьютерам регистрировать и продлять сертификаты с помощью веб-браузера по протоколу HTTPS, даже если компьютер не входит в домен. Для ее функционирования также необходим «Веб-сервер (IIS) »;
- Сетевой ответчик (ADCS-Online-Cert) – служба предназначена для проверки отзыва сертификата для клиентов. Другими словами, она принимает запрос о состоянии отзыва для конкретных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, с информацией о статусе. Для функционирования службы необходим «Веб-сервер (IIS) »;
- Служба регистрации в центре сертификации через Интернет (ADCS-Web-Enrollment) – эта служба предоставляет пользователям веб-интерфейс для выполнения таких задач, как запросы и продление сертификатов, получение списков отзыва сертификатов и регистрация сертификатов смарт-карт. Для функционирования службы необходим «Веб-сервер (IIS) »;
- Служба регистрации на сетевых устройствах (ADCS-Device-Enrollment) – с помощью этой службы можно выдавать сертификаты для маршрутизаторов и других сетевых устройств, не имеющих сетевых учетных записей, а также управлять этими сертификатами. Для функционирования службы необходим «Веб-сервер (IIS) ».
Службы удаленных рабочих столов
Роль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp.
Название роли для Windows PowerShell – Remote-Desktop-Services.
Состоит из следующих служб:
- Веб-доступ к удаленным рабочим столам (RDS-Web-Access) - данная служба роли позволяет пользователям получить доступ к удаленным рабочим столам и приложениям RemoteApp через меню «Пуск » или с помощью веб-браузера;
- Лицензирование удаленных рабочих столов (RDS-Licensing) - служба предназначена для управления лицензиями, которые необходимы для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу. Ее можно использовать для установки, выдачи лицензий и отслеживания их доступности. Для работы данной службы необходим «Веб-сервер (IIS) »;
- Посредник подключений к удаленному рабочему столу (RDS-Connection-Broker) - служба роли, которая обеспечивает следующие возможности: повторное подключение пользователя к существующему виртуальному рабочему столу, приложению RemoteApp и рабочему столу на основе сеансов, а также равномерное распределение нагрузки между серверами узлов сеансов удаленных рабочих столов или между виртуальными рабочими столами в составе пула. Для работы данной службы необходим компонент «»;
- Узел виртуализации удаленных рабочих столов (DS-Virtualization) - служба позволяет пользователям подключаться к виртуальным рабочим столам с помощью подключения к удаленным рабочим столам и приложениям RemoteApp. Эта служба работает совместно с Hyper-V, т.е. данная роль должна быть установлена;
- Узел сеансов удаленных рабочих столов (RDS-RD-Server) – с помощью этой службы можно размещать на сервере удаленные приложения RemoteApp и основанные на сеансах рабочие столы. Для доступа используется клиент подключения к удаленному рабочему столу или удаленные приложения RemoteApp;
- Шлюз удаленных рабочих столов (RDS-Gateway) – служба позволяет авторизованным удаленным пользователям подключаться к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам, основанным на сеансах, в корпоративной сети или через Интернет. Для функционирования данной службы необходимы следующие дополнительные службы и компоненты: «Веб–сервер (IIS) », «Службы политики сети и доступа », «RPC через HTTP-прокси ».
Службы управления правами Active Directory
Это роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ».
Название для Windows PowerShell – ADRMS.
- Сервер управления правами Active Directory (ADRMS-Server) - основная служба роли, обязательна для установки;
- Поддержка федерации удостоверений (ADRMS-Identity) - это дополнительная служба роли, позволяющая федеративным удостоверениям использовать защищенное содержимое с помощью служб федерации Active Directory.
Службы федерации Active Directory
Данная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера.
Название для PowerShell – ADFS-Federation.
Удаленный доступ
Данная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ».
Название роли для Windows PowerShell – RemoteAccess.
- DirectAccess и VPN (RAS) (DirectAccess-VPN) - служба позволяет пользователям подключаться к корпоративной сети в любое время при наличии доступа к Интернету через DirectAccess, а также организовывать VPN подключения в сочетании с технологиями туннелирования и шифрования данных;
- Маршрутизация (Routing) - служба обеспечивает поддержку маршрутизаторов NAT, маршрутизаторов локальной сети с протоколами BGP, RIP и маршрутизаторов с поддержкой многоадресной рассылки (IGMP-прокси);
- Прокси-сервер веб-приложений (Web-Application-Proxy) - служба позволяет публиковать приложения на основе протоколов HTTP и HTTPS из корпоративной сети на клиентских устройствах, которые находятся за пределами корпоративной сети.
Файловые службы и службы хранилища
Это роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ».
Название для Windows PowerShell – FileAndStorage-Services.
Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена.
Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:
- Файловый сервер (FS-FileServer) – служба роли, которая управляет общими папками и предоставляет пользователям доступ к файлам на этом компьютере по сети;
- Дедупликация данных (FS-Data-Deduplication) – эта служба экономит место на диске за счет хранения на томе только одной копии идентичных данных;
- Диспетчер ресурсов файлового сервера (FS-Resource-Manager) – с помощью этой службы можно управлять файлами и папками на файловом сервере, создавать отчеты хранилища, классифицировать файлы и папки, настраивать квоты папок и определять политики блокировки файлов;
- Поставщик целевого хранилища iSCSI (аппаратные поставщики VDS и VSS) (iSCSITarget-VSS-VDS) – служба позволяет приложениям на сервере, подключенном к цели iSCSI, выполнять теневое копирование томов на виртуальных дисках iSCSI;
- Пространства имен DFS (FS-DFS-Namespace) – с помощью этой службы можно группировать общие папки, размещенные на разных серверах, в одно или несколько логически структурированных пространств имен;
- Рабочие папки (FS-SyncShareService) – служба позволяет использовать рабочие файлы на различных компьютерах, включая рабочие и личные. В рабочих папках можно хранить свои файлы, синхронизировать их и получать к ним доступ из локальной сети или Интернета. Для функционирования службы необходим компонент «Внутрипроцессное веб-ядро IIS »;
- Репликация DFS (FS-DFS-Replication) - это модуль репликации данных между несколькими серверами, позволяющий синхронизировать папки через подключение к локальной или глобальной сети. Данная технология использует протокол удаленного разностного сжатия (RDC) для обновления только той части файлов, которая была изменена с момента последней репликации. Репликацию DFS можно применять как вместе с пространствами имен DFS, так и отдельно;
- Сервер для NFS (FS-NFS-Service) – служба позволяет этому компьютеру совместно использовать файлы с компьютерами на базе UNIX и другим компьютерам, которые используют протокол сетевой файловой системы (NFS);
- Сервер цели iSCSI (FS-iSCSITarget-Server) – предоставляет службы и средства управления для целей iSCSI;
- Служба BranchCache для сетевых файлов (FS-BranchCache) - служба обеспечивает поддержку BranchCache на этом файловом сервере;
- Служба агента VSS файлового сервера (FS-VSS-Agent) - служба позволяет выполнять теневое копирование томов для приложений, которые хранят файлы данных на этом файловом сервере.
Факс-сервер
Роль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ».
Название роли для Windows PowerShell – Fax.
На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока!
Применение групповых политик (часть 3)
Обычно объекты групповой политики назначаются на контейнер (домен, сайт или OU) и применяются ко всем объектам в этом контейнере. При грамотно организованной структуре домена этого вполне достаточно, однако иногда требуется дополнительно ограничить применение политик определенной группой объектов. Для этого можно использовать два типа фильтров.
Фильтры безопасности
Фильтры безопасности позволяют ограничить применение политик определенной группой безопасности. Для примера возьмем GPO2, с помощью которого производится централизованная настройка меню Пуск на рабочих станциях с Windows 8.1\Windows 10. GPO2 назначен на OU Employees и применяется ко всем без исключения пользователям.
Теперь перейдем на вкладку «Scope», где в разделе «Security Filtering» указаны группы, к которым может быть применен данный GPO. По умолчанию здесь указывается группа Authenticated Users. Это означает, что политика может быть применена к любому пользователю или компьютеру, успешно прошедшему аутентификацию в домене.
На самом деле каждый GPO имеет свой список доступа, который можно увидеть на вкладке «Delegation».
Для применения политики объект должен иметь права на ее чтение (Read) и применение (Apply group policy), которые и есть у группы Authenticated Users. Соответственно для того, чтобы политика применялась не ко всем, а только к определенной группе, необходимо удалить из списка Authenticated Users, затем добавить нужную группу и выдать ей соответствующие права.
Так в нашем примере политика может применяться только к группе Accounting.
WMI фильтры
Windows Management Instrumentation (WMI) — один из наиболее мощных инструментов для управления операционной системой Windows. WMI содержит огромное количество классов, с помощью которых можно описать практически любые параметры пользователя и компьютера. Посмотреть все имеющиеся классы WMI в виде списка можно с помощью PowerShell, выполнив команду:
Get-WmiObject -List
Для примера возьмем класс Win32_OperatingSystem , который отвечает за свойства операционной системы. Предположим, что требуется отфильтровать все операционные системы кроме Windows 10. Заходим на компьютер с установленной Window 10, открываем консоль PowerShell и выводим имя, версию и тип операционной системы с помощью команды:
Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType
Для фильтра используем версию и тип ОС. Версия одинакова для клиентских и серверных ОС и определяется так:
Window Server 2016\Windows 10 — 10.0
Window Server 2012 R2\Windows 8.1 — 6.3
Window Server 2012\Windows 8 — 6.2
Window Server 2008 R2\Windows 7 — 6.1
Window Server 2008\Windows Vista — 6.0
Тип продукта отвечает за назначение компьютера и может иметь 3 значения:
1 — рабочая станция;
2 — контроллер домена;
3 — сервер.
Теперь переходим непосредственно к созданию фильтра. Для этого открываем оснастку «Group Policy Management» и переходим к разделу «WMI Filters». Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «New».
В открывшемся окне даем фильтру имя и описание. Затем жмем кнопку «Add» и поле «Query» вводим WQL запрос, который и является основой WMI фильтра. Нам необходимо отобрать ОС версии 10.0 с типом 1, соответственно запрос будет выглядеть так:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″
Примечание. Windows Query Language (WQL) — язык запросов WMI. Подробнее о нем можно узнать на MSDN .
Сохраняем получившийся фильтр.
Теперь осталось только назначить WMI фильтр на объект групповой политики, например на GPO3. Переходим к свойствам GPO, открываем вкладку «Scope» и в поле «WMI Filtering» выбираем из списка нужный фильтр.
Анализ применения групповых политик
При таком количестве способов фильтрации GPO необходимо иметь возможность диагностики и анализа их применения. Проще всего проверить действие групповых политик на компьютере можно с помощью утилиты командной строки gpresult .
Для примера зайдем на компьютер wks2, на котором установлена ОС Windows 7, и проверим, сработал ли WMI фильтр. Для этого открываем консоль cmd с правами администратора и выполняем команду gpresult /r , которая выводит суммарную информацию о групповых политиках, примененных к пользователю и компьютеру.
Примечание. Утилита gpresult имеет множество настроек, посмотреть которые можно командой gpresult /? .
Как видно из полученных данных, к компьютеру не применилась политика GPO3, поскольку она была отфильтрована с помощью фильтра WMI.
Также проверить действие GPO можно из оснастки «Group Policy Management», с помощью специального мастера. Для запуска мастера кликаем правой клавишей мыши на разделе «Group Policy Results» и в открывшемся меню выбираем пункт «Group Policy Results Wizard».
Указываем имя компьютера, для которого будет составлен отчет. Если требуется просмотреть только пользовательские настройки групповой политики, то настройки для компьютера можно не собирать. Для этого необходимо поставить галочку снизу (display user policy settings only).
Затем выбираем имя пользователя, для которого будут собираться данные, либо можно указать не включать в отчет настройки групповой политики для пользователя (display computer policy settings only).
Проверяем выбранные настройки, жмем «Next» и ждем, пока собираются данные и генерируется отчет.
Отчет содержит исчерпывающие данные об объектах групповых политик, примененных (или не примененных) к пользователю и компьютеру, а также об используемых фильтрах.
Для примера составим отчеты для двух разных пользователей и сравним их. Первым откроем отчет для пользователя Kirill и перейдем в раздел настроек пользователя. Как видите, к этому пользователю не применилась политика GPO2, поскольку у него нет прав на ее применение (Reason Denied — Inaсcessible).
А теперь откроем отчет для пользователя Oleg. Этот пользователь является членом группы Accounting, поэтому к нему политика была успешно применена. Это означает, что фильтр безопасности успешно отработал.
На этом, пожалуй, я закончу ″увлекательное″ повествование о применении групповых политик. Надеюсь эта информация будет полезной и поможет вам в нелегком деле системного администрирования 🙂
