İlişkiyle ilgili sunucu politikasının ayrıntılı bir açıklamasını verin. Sunucu politikasının ayrıntılı bir açıklamasını verin. GPResult komutu: sonuçtaki grup ilkelerinin teşhisi. Kablolu ağ ilkesi için ek güvenlik ayarları. Pow ile Rolleri Yükleme

Bir soket sunucusu geliştirmeden önce, Silverlight'a hangi istemcilerin soket sunucusuna bağlanmasına izin verildiğini bildiren bir ilke sunucusu oluşturmanız gerekir.

Yukarıda gösterildiği gibi, etki alanında clientaccesspolicy .xml veya alanlar arası dosya yoksa, Silverlight içeriğin yüklenmesine veya bir web hizmetinin çağrılmasına izin vermez. xml'de bu işlemlere açıkça izin verilir. Soket sunucusuna da benzer bir kısıtlama uygulanır. İstemci aygıtın uzaktan erişim sağlayan clientaccesspolicy .xml dosyasını indirmesine izin vermezseniz, Silverlight bağlantı kurmayı reddedecektir.

Ne yazık ki, bir clientaccesspolicy sağlamak. cml'yi bir soket uygulamasına dönüştürmek, onu bir web sitesi aracılığıyla sağlamaktan daha zordur. Bir web sitesini kullanırken, web sunucusu yazılımı bir clientaccesspolicy .xml dosyası sağlayabilir, eklemeyi unutmayın. Aynı zamanda bir soket uygulaması kullanırken, client uygulamaların da Policy istekleri ile erişebileceği bir soket açmalısınız. Ayrıca sokete hizmet eden kodu da manuel olarak oluşturmalısınız. Bu görevleri gerçekleştirmek için bir ilke sunucusu oluşturmanız gerekir.

Aşağıda, ilke sunucusunun ileti sunucusuyla aynı şekilde çalıştığını, yalnızca biraz daha basit etkileşimleri işlediğini göstereceğiz. Mesaj sunucuları ve politikaları ayrı ayrı oluşturulabilir veya tek bir uygulamada birleştirilebilir. İkinci durumda, farklı iş parçacıklarındaki istekleri dinlemeleri gerekir. Bu örnekte, bir ilke sunucusu oluşturacağız ve ardından bunu bir ileti sunucusuyla birleştireceğiz.

İlke sunucusu oluşturmak için önce bir .NET uygulaması oluşturmanız gerekir. Herhangi bir .NET uygulaması, bir ilke sunucusu olarak hizmet verebilir. En kolay yol, bir konsol uygulaması kullanmaktır. Konsol uygulamanızın hatalarını ayıkladıktan sonra, kodunuzu her zaman arka planda çalışması için bir Windows hizmetine taşıyabilirsiniz.

İlke dosyası

Aşağıda, ilke sunucusu tarafından sağlanan ilke dosyası bulunmaktadır.

İlke dosyası üç kural tanımlar.

4502'den 4532'ye kadar tüm bağlantı noktalarına erişim sağlar (bu, Silverlight eklentisi tarafından desteklenen tüm bağlantı noktalarıdır). Kullanılabilir bağlantı noktalarının aralığını değiştirmek için öğenin bağlantı noktası özniteliğinin değerini değiştirin.

TCP erişimine izin verir (izin, öğenin protokol özniteliğinde tanımlanır).

Herhangi bir etki alanından aramaya izin verir. Bu nedenle bağlantı kuran bir Silverlight uygulaması herhangi bir web sitesi tarafından barındırılabilir. Bu kuralı değiştirmek için öğenin uri özelliğini düzenlemeniz gerekir.

İşleri kolaylaştırmak için, ilke kuralları projeye eklenen clientaccess-ploi.cy.xml dosyasına yerleştirilir. Visual Studio'da, ilke dosyasının Çıktı Dizinine Kopyala parametresi Her Zaman Kopyala olarak ayarlanmalıdır. dosyayı sabit sürücüde bulmalı, açmalı ve içeriğini istemci cihaza geri vermelidir.

PolicyServer sınıfı

İlke sunucusu işlevi iki temel sınıfa dayalıdır: PolicyServer ve PolicyConnection. PolicyServer sınıfı, bağlantıları beklemeyi işler. Bir bağlantı aldığında, kontrolü istemciye ilke dosyasını ileten PoicyConnection sınıfının yeni bir örneğine geçirir. Bu iki parçalı prosedür, ağ programlamasında yaygındır. Mesaj sunucularıyla çalışırken bunu birden çok kez göreceksiniz.

PolicyServer sınıfı, ilke dosyasını sabit diskten yükler ve onu bir bayt dizisi olarak alanda depolar.

genel sınıf PolicyServer

özel bayt politikası;

genel PolicyServer(string PolicyFile) (

Dinlemeye başlamak için sunucu uygulamasının PolicyServer'ı araması gerekir. Başlangıç(). İstekleri dinleyen bir TcpListener nesnesi oluşturur. TcpListener nesnesi, 943 numaralı bağlantı noktasını dinlemek üzere yapılandırılmıştır. Silverlight'ta bu bağlantı noktası, ilke sunucuları için ayrılmıştır. İlke dosyaları için istekte bulunurken, Silverlight uygulaması bunları otomatik olarak 943 numaralı bağlantı noktasına yönlendirir.

özel TcpListener dinleyicisi;

genel geçersiz Başlat()

// bir dinleyici oluştur

dinleyici = yeni TcpListener(IPAddress.Any, 943);

// Dinlemeye başlayın; Start() yöntemi, listener.Start() çağrıldıktan hemen sonra II'yi döndürür;

// Bağlantı bekleniyor; yöntem hemen geri döner;

II bekleme ayrı bir iş parçacığında yapılır

İlke sunucusu, sunulan bağlantıyı kabul etmek için BeginAcceptTcpClient() yöntemini çağırır. .NET çerçevesinin tüm Beginxxx() yöntemleri gibi, çağrıldıktan hemen sonra geri döner ve gerekli işlemleri ayrı bir iş parçacığında gerçekleştirir. Ağ uygulamaları için bu çok önemli bir faktördür çünkü aynı anda birçok ilke dosyası talebinin işlenmesine izin verir.

Not. Acemi ağ programcıları genellikle birden fazla isteğin aynı anda nasıl işlenebileceğini merak eder ve bunun birkaç sunucu gerektirdiğini düşünür. Ancak öyle değil. Bu yaklaşımla, istemci uygulamalarının kullanılabilir bağlantı noktaları hızla tükenir. Uygulamada, sunucu uygulamaları birçok isteği tek bir bağlantı noktası üzerinden işler. Windows'taki yerleşik TCP alt sistemi iletileri otomatik olarak tanımlayıp bunları uygulama kodundaki uygun nesnelere yönlendirdiğinden, bu işlem uygulamalar tarafından görülmez. Her bağlantı, dört parametreye göre benzersiz bir şekilde tanımlanır: istemci IP adresi, istemci bağlantı noktası numarası, sunucu IP adresi ve sunucu bağlantı noktası numarası.

Her istekte, OnAcceptTcpClient() geri arama yöntemi tetiklenir. Başka bir iş parçacığında sonraki isteği beklemeye başlamak için BeginAcceptTcpClient O yöntemini yeniden çağırır ve ardından geçerli isteği işlemeye başlar.

genel geçersiz OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) dönüş;

Console.WriteLine("Politika isteği alındı."); // Bir sonraki bağlantı bekleniyor.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Mevcut bağlantıyı yönetiyoruz.

TcpClient istemcisi = dinleyici.EndAcceptTcpClient(ar); PolicyConnection PolicyConnection = yeni PolicyConnection(istemci, ilke); PolicyConnection.HandleRequest() ;

catch (İstisna hatası) (

Her yeni bağlantı alındığında, onu işlemek için yeni bir PolicyConnection nesnesi oluşturulur. Ayrıca, PolicyConnection nesnesi bir ilke dosyası tutar.

PolicyServer sınıfının son bileşeni, istekleri beklemeyi durduran Stop() yöntemidir. Uygulama sonlandırıldığında onu çağırır.

özel bool durduruldu;

genel geçersiz StopO(

isStopped = doğru;

dinleyici durmak();

catch (İstisna hatası) (

Console.WriteLine(hata.Mesaj);

İlke sunucusunu başlatmak için uygulama sunucusunun Main() yönteminde aşağıdaki kod kullanılır.

static void Main(string args) (

PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("İlke sunucusu başlatıldı."); Console.WriteLine("Çıkmak için Enter tuşuna basın.");

// Bir tuşa basılması bekleniyor; // Console.ReadKey() yöntemini kullanarak, onu belirli bir // satırı bekleyecek şekilde ayarlayabilir (örneğin, çık) veya herhangi bir tuşa basabilirsiniz Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Politika sunucusunu sonlandırın.");

PolicyConnection sınıfı

PolicyConnection sınıfı daha basit bir görev gerçekleştirir. PolicyConnection nesnesi, ilke dosyası verilerine bir başvuru depolar. Ardından, HandleRequest() yöntemi çağrıldıktan sonra, PolicyConnection nesnesi ağ akışından yeni bir bağlantı getirir ve onu okumaya çalışır. İstemci cihaz, metin içeren bir dizi göndermelidir. Bu metni okuduktan sonra, istemci cihaz ilke verilerini akışa yazar ve bağlantıyı kapatır. PolicyConnection sınıfının kodu aşağıdadır.

genel sınıf PolicyConnection(

özel TcpClient istemcisi; özel bayt politikası;

public PolicyConnection(TcpClient istemcisi, bayt ilkesi) (

this.client = müşteri; this.policy = ilke;

// Bir istemci isteği oluşturun özel statik dizi PolicyRequestString = "

genel geçersiz HandleRequest()(

Akış s = client.GetStream(); // İlke sorgu dizesini oku

bayt tamponu = yeni bayt;

// Sadece 5 saniye bekleyin client.ReceiveTimeout = 5000;'

s.Oku(arabellek, 0, arabellek.Uzunluk);

// Politikayı ilet (ilke isteğinin // gerekli içeriğe sahip olup olmadığını da kontrol edebilirsiniz) s.Write(policy, 0, policy.Length);

// Bağlantı istemcisini kapatın.Close();

Console.WriteLine("İlke dosyası sunuldu.");

Yani, tamamen işlevsel bir politika sunucumuz var. Ne yazık ki henüz test edilemiyor çünkü Silverlight eklentisi ilke dosyalarının açıkça istenmesine izin vermiyor. Bunun yerine, bir soket uygulamasını kullanmaya çalışırken bunları otomatik olarak ister. Bu soket uygulaması için bir istemci uygulaması oluşturmadan önce bir sunucu oluşturmanız gerekir.

Bu dizinin önceki makalelerinde, kuruluşunuzun altyapısını dışarıdan gelen kötü niyetli kişilerin saldırılarından ve yetersiz çalışanların çoğu eyleminden maksimum düzeyde korumanıza olanak tanıyan yerel güvenlik politikalarının işlevselliğini nasıl etkili bir şekilde kullanacağınızı öğrendiniz. . Kullanıcılarınızın şifrelerinin karmaşıklığını yönetmenize izin veren hesap politikalarını etkili bir şekilde nasıl ayarlayabileceğinizi, güvenlik günlüğünde kullanıcılarınızın kimlik doğrulamasını daha fazla analiz etmek için denetim politikaları oluşturabileceğinizi zaten biliyorsunuz. Ayrıca, sisteminize ve hatta intranetinizdeki bilgisayarlara zarar vermemek için kullanıcılarınıza nasıl hak atayacağınızı ve olay günlüklerini, kısıtlanmış grupları, sistem hizmetlerini, kayıt defterini ve dosya sistemini nasıl etkin bir şekilde yapılandırabileceğinizi öğrendiniz. Bu yazıda, yerel güvenlik politikaları çalışmamıza devam edeceğiz ve işletmeniz için kablolu ağ güvenlik ayarlarını öğreneceksiniz.

Microsoft'un sunucu işletim sistemleri, Windows Server 2008'den başlayarak, Ethernet 802.3 ağ istemcileri için IEEE 802.1X kimlik doğrulamasıyla kablolu erişim hizmetlerini dağıtmak için otomatik yapılandırma sağlayan Kablolu Ağ İlkeleri (IEEE 802.3) bileşenini tanıttı. Grup ilkelerini kullanan kablolu ağlar için güvenlik ayarlarını uygulamak için işletim sistemleri Kablolu Otomatik Yapılandırma hizmetini (Kablolu Otomatik Yapılandırma - DOT3SVC) kullanır. Geçerli hizmet, uyumlu 802.1X anahtarları kullanılarak Ethernet ağlarına bağlanırken IEEE 802.1X kimlik doğrulamasından sorumludur ve ayrıca kimliği doğrulanmış erişim için bir ağ istemcisini yapılandırmak için kullanılan profili yönetir. Ayrıca, bu politikaları kullanırsanız, alanınızdaki kullanıcıların bu hizmetin başlangıç ​​​​modunu değiştirmesini önlemenin istendiğini belirtmekte fayda var.

Kablolu ağ ilkesi yapılandırma

Kablolu ağ ilkesi ayarlarını doğrudan ek bileşenden belirleyebilirsiniz. Bu ayarları yapılandırmak için şu adımları izleyin:

1. Ek bileşeni açın ve konsol ağacındaki düğümü seçin, üzerine sağ tıklayın ve içerik menüsünden komutu seçin "Windows Vista ve Sonrası için Yeni Bir Kablolu Ağ İlkesi Oluşturma" aşağıdaki çizimde gösterildiği gibi:

   Pirinç. 1. Bir kablolu ağ politikası oluşturun

2. Açılan iletişim kutusunda "Kablolu Ağ Özellikleri için Yeni Politika", sekmesinde "Yaygındır", LAN adaptörlerini kablolu bir ağa bağlanacak şekilde yapılandırmak için Kablolu Otomatik Yapılandırma hizmetini kullanmayı belirtebilirsiniz. Windows Vista ve sonraki işletim sistemleri için geçerli olan ilke ayarlarına ek olarak, yalnızca Windows 7 ve Windows Server 2008 R2 işletim sistemleri için geçerli olacak bazı ilke ayarları vardır. Bu sekmede şunları yapabilirsiniz:
   • Poliçe ismi. Bu metin kutusunda kablolu ağ politikanıza bir isim verebilirsiniz. İlkenin adını düğümün ayrıntılar bölmesinde görebilirsiniz. "Kablolu Ağ İlkeleri (IEEE 802.3)" patlatmak Grup İlkesi Yönetimi Düzenleyicisi;
   • Tanım. Bu metin kutusu, kablolu ağ ilkesinin amacının ayrıntılı bir açıklamasını doldurmak içindir;
   • İstemciler için Windows Kablolu Otomatik Yapılandırma hizmetini kullanın. Bu seçenek gerçek yapılandırmayı yapar ve istemcileri kablolu bir 802.3 ağına bağlar. Bu seçeneği devre dışı bırakırsanız, Windows işletim sistemi kablolu ağ bağlantısını kontrol etmeyecek ve ilke ayarları geçerli olmayacaktır;
   • Ağ kimlik doğrulaması için paylaşılan kullanıcı kimlik bilgilerinin kullanılmasını engelle. Bu ayar, kullanıcının ağ kimlik doğrulaması için paylaşılan kullanıcı kimlik bilgilerini saklamasının engellenip engellenmeyeceğini belirler. Bu ayarı yerel olarak komutla değiştirebilirsiniz. netsh lan allowexplicitcreds'i ayarla;
   • Engelleme süresini etkinleştir. Bu ayar, belirttiğiniz dakika sayısı kadar bilgisayarın kablolu bir ağa otomatik olarak bağlanmasının engellenip engellenmeyeceğini belirler. Varsayılan 20 dakikadır. Engelleme süresi 1 ila 60 dakika arasında ayarlanabilir.

"Yaygındır" kablolu ağ politikaları:

Pirinç. 2. Kablolu ağ ilkesi ayarları iletişim kutusunun genel sekmesi

3. sekmesinde "Emniyet" kimlik doğrulama yöntemi ve kablolu bağlantı modu için yapılandırma seçenekleri sağlar. Aşağıdaki güvenlik ayarlarını yapılandırabilirsiniz:
   • Ağ erişimi için IEEE 802.1X kimlik doğrulamasını etkinleştirin. Bu seçenek doğrudan 802.1X ağ erişimi kimlik doğrulamasını etkinleştirmek veya devre dışı bırakmak için kullanılır. Bu seçenek varsayılan olarak etkindir;
   • Bir ağ kimlik doğrulama yöntemi seçin. Bu açılır listeyi kullanarak, kablolu ağ politikanıza uygulanacak ağ istemcisi kimlik doğrulama yöntemlerinden birini belirtebilirsiniz. Seçim için aşağıdaki iki seçenek mevcuttur:
     • Microsoft: Korumalı EAP'ler (PEAP). Bu kimlik doğrulama yöntemi için, pencere "Özellikler" kullanılacak kimlik doğrulama yöntemi için yapılandırma ayarlarını içerir;
     • Microsoft: akıllı kartlar veya diğer sertifikalar. Bu kimlik doğrulama yöntemi için, pencerede "Özellikler" güvenilen kök CA'ların bir listesinin yanı sıra bağlanmak için bir akıllı kart veya sertifika belirtmenize izin veren yapılandırma seçenekleri sağlar.

   Varsayılan olarak seçilen yöntem Microsoft: Korumalı EAP'ler (PEAP);

4. Kimlik Doğrulama Modu. Bu açılır liste, ağ kimlik doğrulaması gerçekleştirmek için kullanılır. Seçim için aşağıdaki dört seçenek mevcuttur:
   • Kullanıcı veya bilgisayar kimlik doğrulaması. Bu seçenek seçilirse, bilgisayarın mevcut durumuna göre güvenlik kimlik bilgileri kullanılacaktır. Hiçbir kullanıcı oturum açmamış olsa bile, bilgisayarın kimlik bilgileri kullanılarak kimlik doğrulama yapılacaktır. Bir kullanıcı oturum açtığında, oturum açmış kullanıcının kimlik bilgileri kullanılacaktır. Microsoft, çoğu durumda bu kimlik doğrulama modu ayarının kullanılmasını önerir.
   • sadece bilgisayar için. Bu durumda, yalnızca bilgisayar kimlik bilgileri doğrulanır;
   • Kullanıcı doğrulama. Bu seçeneği belirlemek, kullanıcı kimlik doğrulamasını yalnızca yeni bir 802.1X cihazına bağlanırken zorunlu kılar. Diğer tüm durumlarda, kimlik doğrulama yalnızca bilgisayar için gerçekleştirilir;
   • Konuk Kimlik Doğrulaması. Bu ayar, bir konuk hesabına dayalı olarak ağa bağlanmanızı sağlar.
5. Maksimum kimlik doğrulama hatası sayısı. Bu ayar, maksimum kimlik doğrulama hatası sayısını belirlemenizi sağlar. Varsayılan değer 1'dir;
6. Bu ağa sonraki bağlantılar için kullanıcı verilerini önbelleğe al. Bu ayar etkinleştirildiğinde, kullanıcı kimlik bilgileri sistem kayıt defterinde saklanır ve kullanıcı oturumu kapatıp açtığında kimlik bilgileri istenmez.

Aşağıdaki şekilde sekme gösterilmektedir "Emniyet" bu iletişim kutusu:

Pirinç. 3. Kablolu Ağ İlkesi Ayarları İletişim Kutusunun Güvenlik Sekmesi

Kimlik doğrulama modlarının özellikleri

Bir önceki bölümde bahsedildiği gibi, her iki kimlik doğrulama yöntemi için de düğmeye tıklanarak çağrılan ek ayarlar vardır. "Özellikler". Bu bölümde, kimlik doğrulama yöntemleri için olası tüm ayarları ele alacağız.

"Microsoft: Güvenli EAP (PEAP)" kimlik doğrulama yöntemi ayarları

EAP (Genişletilebilir Kimlik Doğrulama Protokolü, Genişletilebilir Kimlik Doğrulama Protokolü), paketin biçimini tanımlayan genişletilebilir bir kimlik doğrulama altyapısıdır. Bu kimlik doğrulama yöntemini yapılandırmak için aşağıdaki seçenekler mevcuttur:

Güvenli EAP Özellikleri iletişim kutusu aşağıdaki çizimde gösterilmektedir:

Pirinç. 5. Güvenli EAP Özellikleri İletişim Kutusu

Kimlik doğrulama yöntemi ayarları "Akıllı kart veya diğer sertifika - EAP-TLS ayarları"

Bu kimlik doğrulama yöntemini yapılandırmak için aşağıdaki seçenekler mevcuttur:

• Bağlanırken akıllı kartımı kullan. Radyo düğmesini bu konuma ayarlarsanız, kimlik doğrulama talebinde bulunan istemciler, ağ kimlik doğrulaması için bir akıllı kart sertifikası sunacaktır;
• Bağlanırken, bu bilgisayardaki sertifikayı kullanın. Bu seçenek seçildiğinde, istemci bağlantı doğrulaması geçerli kullanıcıda veya yerel bilgisayar deposunda bulunan sertifikayı kullanacaktır;
• Basit sertifika seçimini kullanın. Bu seçenek, Windows işletim sisteminin kimlik doğrulama gereksinimlerini karşılamayan sertifikaları filtrelemesine olanak tanır;
• Sunucu sertifikasını kontrol edin. Bu seçenek, istemci bilgisayarlara sağlanan sunucu sertifikasının doğrulamasını geçerli, süresi dolmamış bir imza için ve ayrıca bu sunucuya sertifika veren güvenilir bir kök sertifika yetkilisinin varlığını ayarlamanıza olanak tanır.
• sunuculara bağlan. Bu seçenek, önceki bölümde açıklanan aynı adlı seçenekle aynıdır;
• Güvenilen Kök Sertifika Yetkilileri. Tıpkı güvenli EAP özellikleri iletişim kutusunda olduğu gibi, bu listede kullanıcı ve bilgisayar sertifika depolarında yüklü olan tüm güvenilir kök sertifika yetkililerini bulabilirsiniz;
• Kullanıcıdan yeni sunucuları veya güvenilir Sertifika Yetkililerini yetkilendirmesini istemeyin. Bu seçeneği işaretleyerek, yanlış yapılandırılmış bir sunucu sertifikası varsa veya kullanıcı için listede varsa, sizden böyle bir sertifikayı yetkilendirmenizi isteyen bir iletişim kutusu görüntülenmez. Bu seçenek varsayılan olarak devre dışıdır;
• Bağlanmak için farklı bir kullanıcı adı kullanın. Bu ayar, kimlik doğrulama için sertifikadaki kullanıcı adından farklı bir kullanıcı adının kullanılıp kullanılmayacağını belirler. Farklı bir kullanıcı adı kullanma seçeneği etkinleştirildiğinde, güvenilir kök CA'lar listesinden en az bir sertifika seçmelisiniz.

Akıllı kartları veya diğer sertifikaları ayarlamak için kullanılan iletişim kutusu aşağıdaki resimde gösterilmektedir:

Pirinç. 6. Akıllı kartları veya diğer sertifikaları ayarlamak için iletişim kutusu

Seçtiğiniz sertifikadan emin değilseniz, düğmesine tıklayarak "Sertifikayı Görüntüle" seçilen sertifikanın tüm ayrıntılarını aşağıda gösterildiği gibi görüntüleyebilecektir:

Pirinç. 7. Güvenilir kök sertifika yetkilileri listesinden bir sertifika görüntüleyin

Gelişmiş Kablolu İlke Güvenlik Seçenekleri

Muhtemelen sekmede bunu fark etmişsinizdir. "Emniyet" Kablolu Ağ İlkesi Ayarları iletişim kutusunda, 802.1X kimlik doğrulaması ile erişim talep eden ağ istemcilerinin davranışını değiştirmek için ek güvenlik seçenekleri vardır. Gelişmiş kablolu ilke ayarları iki gruba ayrılabilir - IEEE 802.1X ayarları ve çoklu oturum açma ayarları. Bu grupların her birine bakalım:

IEEE 802.1X ayarlar grubunda, 802.1X kimlik doğrulaması ile kablolu ağ isteklerinin özelliklerini belirleyebilirsiniz. Aşağıdaki seçenekler düzenleme için kullanılabilir:

• Gelişmiş 802.1X ayarlarını uygulayın. Bu seçenek, aşağıdaki dört ayarı etkinleştirmenizi sağlar;
• Maks. EAPOL mesajları. EAPOL, bilgisayarın kimlik doğrulaması için zaman bulamadan kullanılan bir EAP protokolüdür ve yalnızca başarılı bir "oturum açma" işleminden sonra diğer tüm trafik bu bilgisayarın bağlı olduğu anahtar bağlantı noktasından geçebilir. Bu parametre, gönderilen maksimum EAPOL-Start mesajı sayısını kontrol eder;
• Gecikme süresi (sn). Bu ayar, bir kimlik doğrulama hatası bildirimi aldıktan sonra bir sonraki 802.1X kimlik doğrulama isteği yapılmadan önceki gecikmeyi saniye cinsinden kontrol eder;
• Başlangıç ​​Dönemi (başlangıç ​​dönemi). Bu parametre, art arda gelen EAPOL-Start mesajlarını yeniden göndermeden önce beklenecek süreyi kontrol eder;
• Kontrol süresi (sn). Bu parametre, 802.1X geçiş erişim kontrolünü başlattıktan sonra, birbirini izleyen ilk EAPOL mesajlarının yeniden iletimi arasındaki saniye sayısını belirtir;
• EAPOL-Başlangıç ​​mesajı. Bu parametre ile, ilk EAPOL mesajlarının aşağıdaki aktarım özelliklerini belirleyebilirsiniz:
  • aktarma. Bu seçenek seçilirse, EAPOL mesajları iletilmez;
  • aktarıldı. Bu seçenek seçilirse, istemcinin ilk EAPOL mesajlarını manuel olarak göndermesi gerekecektir;
  • IEEE 802.1X iletimi. Bu seçenek seçilirse (varsayılan), EAPOL mesajları otomatik olarak gönderilir ve 802.1X kimlik doğrulamasının başlaması beklenir.

Çoklu oturum açma kullanılırken, işletim sisteminde kullanıcı oturum açma işlemi sırasında ağ güvenlik yapılandırmasına göre kimlik doğrulama gerçekleştirilmelidir. SSO profillerini tam olarak yapılandırmak için aşağıdaki seçenekler mevcuttur:

• Ağ için çoklu oturum açmayı etkinleştir. Bu seçeneğin etkinleştirilmesi çoklu oturum açma ayarlarını etkinleştirir;
• Kullanıcı oturum açmadan hemen önce etkinleştir. Bu seçeneği işaretlerseniz, kullanıcı oturum açmayı tamamlamadan önce 802.1X kimlik doğrulaması gerçekleştirilecektir;
• Kullanıcı oturum açtıktan hemen sonra etkinleştir. Bu seçeneği işaretlerseniz, kullanıcı oturum açtıktan sonra 802.1X kimlik doğrulaması gerçekleştirilecektir;
• Maks. bağlantı gecikmesi. Bu parametre, kimlik doğrulamanın tamamlanması gereken maksimum süreyi ve buna bağlı olarak kullanıcının, kullanıcı oturum açma penceresinin görüntülenmesinden önce ne kadar bekleyeceğini belirtir;
• Çoklu oturum açmada ek iletişim kutularının gösterilmesine izin ver. Bu ayar, kullanıcının oturum açma iletişim kutusunun görüntülenmesinden sorumludur;
• Bu ağ, makine ve kullanıcı kimlik doğrulaması için farklı VLAN'lar kullanır. Bu ayarı belirtirseniz, başlangıçta tüm bilgisayarlar tek bir sanal ağa yerleştirilecek ve başarılı bir kullanıcı oturumunun ardından izinlere bağlı olarak farklı sanal ağlara aktarılacaktır. Bu seçeneği yalnızca kuruluşunuzda birkaç VLAN varsa etkinleştirmek mantıklıdır.

Kablolu ağ ilkesi gelişmiş güvenlik ayarları iletişim kutusu aşağıdaki çizimde gösterilmektedir:

Pirinç. Şekil 8. Kablolu Ağ Politikası Gelişmiş Güvenlik Ayarları İletişim Kutusu

Çözüm

Bu makalede, tüm IEE 802.1X kablolu ağ ilkesi ayarlarını öğrendiniz. Böyle bir ilkeyi nasıl oluşturabileceğinizi öğrendiniz ve EAP kimlik doğrulama yöntemlerini ve akıllı kartları veya diğer sertifikaları kullanarak kimlik doğrulamayı öğrendiniz. Bir sonraki makalede, Ağ Listesi Yöneticisi yerel güvenlik ilkelerini öğreneceksiniz.

Exchange Server 2003'teki ilkeler, yöneticiler üzerindeki yükü azaltırken yönetim esnekliğini artırmak için tasarlanmıştır. İlke, Exchange'de aynı sınıfa ait bir veya daha fazla nesneye uygulanan bir dizi yapılandırma ayarıdır. Örneğin, Exchange sunucularının bazılarında veya tümünde belirli ayarları etkileyen bir ilke oluşturabilirsiniz. Bu ayarları değiştirmeniz gerekirse, bu ilkeyi değiştirmeniz yeterlidir ve ilgili sunucu kuruluşuna uygulanacaktır.

İki tür ilke vardır: sistem ilkesi ve alıcı ilkesi. Alıcı ilkeleri, posta erişim nesneleri için geçerlidir ve e-posta adreslerinin nasıl oluşturulacağını belirtir. Alıcı ilkeleri, "Alıcıları Oluşturma ve Yönetme" bölümünde ele alınmıştır. Sistem ilkeleri sunucular, posta kutusu depoları ve ortak klasör depoları için geçerlidir. Bu ilkeler, sorumlu grup içindeki İlkeler kapsayıcısında görünür. yönetim bu politika (Şekil 12.10).

Pirinç. 12.10. Sistem ilkesi nesnesi

Not. Exchange Server 2003 yüklemesi, sistem ilkeleri için varsayılan bir kapsayıcı oluşturmaz. Sistem ilkeleri oluşturulmadan önce oluşturulmalıdır. İçinde bir ilke klasörü oluşturmak istediğiniz yönetim grubuna sağ tıklayın, Yeni'nin üzerine gelin ve Sistem İlkesi Kabı'nı seçin.

Bir sistem politikası oluşturun

Bir sistem ilkesi oluşturmak için uygun Sistem İlkeleri kabına gidin, kapsayıcıya sağ tıklayın ve ardından oluşturulacak ilke türünü seçin: sunucu ilkesi, posta kutusu depolama ilkesi veya ortak klasör depolama ilkesi.

Sistem ilkeleriyle çalışırken, grupta o ilkeyi yönetmekten sorumlu bir ilke nesnesi oluşturduğunuzdan emin olun. Aksi takdirde, kritik politikalar üzerinde idari kontrol uygulayan kişilerin seçiminde bir hata meydana gelebilir. Sunucu ilkelerinden başlayarak, üç ilke türünün her birinin nasıl oluşturulduğuna bakalım.

Bir sunucu politikası oluşturun

Sunucu ilkesi, ileti izleme ve günlük dosyası bakımı için ayarları tanımlar. Bu yönetim grubundaki sunucuların güvenlik ayarları veya diğer ayarları için geçerli değildir. Bir sunucu ilkesi oluşturmak için, Sistem İlkeleri kapsayıcısını sağ tıklatın, Yeni'nin üzerine gelin ve ardından Sunucu İlkesi seçeneğini belirleyin. Şekil 1'de gösterilen Yeni İlke iletişim kutusu görünecektir. 12.11 , ilkenin özellik sayfasında görünen sekmeleri belirtir. Sunucu ilkesi için yalnızca bir seçenek vardır: Genel sekmesi. Bu sekme için seçeneği işaretleyin ve ardından Tamam'a tıklayın. İlkenin oluşturulacağı bir yapılandırma penceresi görüntülenecektir.

Bundan sonra, politikanın özellikler sayfasındaki Genel sekmesi penceresinde politika için bir ad girmeniz gerekir. Şekil 12.12'de gösterildiği gibi, aslında iki Genel sekmesi vardır. İlk sekme, politikanın adını girmek için kullanılır. Bu ilkenin gerçekleştirmeyi amaçladığı görevi açıklamak için, İleti İzleme İlkesi veya Konu Günlüğe Kaydetme İlkesini Etkinleştir gibi bir ad seçin. Bu aşamada seçilen uygun bir isim, amacını belirlemek için poliçenin özellik sayfasının açılmasına gerek kalmayacağından zaman kazandıracaktır.

Şek. 12.13, söz konusu kuruluşun Exchange sunucularına uygulanan gerçek ilke ayarlarını içerir. Sekmeye Genel (İlke) adı verilir, çünkü kullanılabilir tüm sunucular için özellik sayfalarının Genel sekmesini potansiyel olarak yapılandırır. (Bu bölümün ilerleyen kısımlarında, bu ilkenin bir kuruluştaki tüm sunuculara nasıl uygulanacağını göreceğiz.) Bu sekmeyi bir sunucunun özellikler sayfasındaki Genel sekmesiyle karşılaştırırsanız, sekmelerin aynı olduğunu göreceksiniz. sekmenin üstündeki tanımlayıcı bilgiler.

Genel (İlke) sekmesi, tüm mevcut Exchange 2003 sunucuları için günlüğe kaydetmeyi ve konu günlüğünü ve görüntülemeyi etkinleştirir.Bu ayar, kuruluşta gönderilen iletileri izlemenizi sağlayan İleti İzlemeyi Etkinleştir seçeneğiyle birlikte çalışır. Bu seçenekler, bazı kullanıcılar diğer kullanıcılardan mesaj almadığında ortaya çıkan sorunların kaynağını gidermek için kullanışlıdır. Veri iletimiyle ilgili sorunların nerede olduğunu belirlemek için bir kuruluş aracılığıyla bir mesajın geçişini izlemek mümkündür. İleti izleme ve ileti konusunu günlüğe kaydetme hakkında daha fazla bilgi için bkz. Bölüm 6, Exchange Server 2003 İşlevselliği, Güvenliği ve Desteği.

Bir ilke yürürlüğe girdikten sonra, yerel sunucu düzeyinde değiştirilemez. Örnek olarak kullandığımız mesaj izleme politikası, Arizona yönetici grubundaki EX-SRV1 sunucusunda oluşturulmuştur. Açık

Windows Server işletim sistemindeki işlevsellik hesaplanır ve sürümden sürüme geliştirilir, giderek daha fazla rol ve bileşen vardır, bu nedenle bugünün makalesinde kısaca açıklamaya çalışacağım Windows Server 2016'daki her rolün tanımı ve amacı.

Windows Server sunucu rollerinin açıklamasına geçmeden önce tam olarak ne olduğunu öğrenelim" sunucu rolü» Windows Server işletim sisteminde.

Windows Server'da "Sunucu Rolü" nedir?

Sunucu Rolü- bu, sunucu tarafından belirli bir işlevin yerine getirilmesini sağlayan bir yazılım paketidir ve bu işlev ana işlevdir. Başka bir deyişle, " sunucu rolü' sunucunun hedefi, yani bu ne için. Böylece sunucu ana işlevini yerine getirebilir, yani. belirli bir rol sunucu rolü» bunun için gerekli tüm yazılımları içerir ( programlar, hizmetler).

Sunucu, aktif olarak kullanılıyorsa bir role veya her biri sunucuyu ağır bir şekilde yüklemiyorsa ve nadiren kullanılıyorsa birkaç role sahip olabilir.

Bir sunucu rolü, rolün işlevselliğini sağlayan birden çok rol hizmeti içerebilir. Örneğin, sunucu rolünde " Web sunucusu (IIS)” oldukça fazla sayıda hizmeti içerir ve “ rolü Dns sunucusu» rol hizmetlerini içermez, çünkü bu rol yalnızca bir işlevi yerine getirir.

Rol Hizmetleri, ihtiyaçlarınıza bağlı olarak hep birlikte veya ayrı ayrı kurulabilir. Temel olarak, bir rol yüklemek, hizmetlerinden birini veya daha fazlasını yüklemek anlamına gelir.

Windows Server ayrıca " Bileşenler» sunucu.

Sunucu Bileşenleri (Özellik) bir sunucu rolü olmayan, ancak bir veya daha fazla rolün yeteneklerini genişleten veya bir veya daha fazla rolü yöneten yazılım araçlarıdır.

Sunucu, rollerin çalışması için gerekli olan gerekli hizmetlere veya bileşenlere sahip değilse, bazı roller yüklenemez. Bu nedenle, bu tür rollerin kurulumu sırasında " Rol ve Özellik Ekleme Sihirbazı» kendisi, sizden gerekli ek rol hizmetlerini veya bileşenlerini yüklemenizi otomatik olarak isteyecektir.

Windows Server 2016 sunucu rollerinin açıklaması

Muhtemelen Windows Server 2016'daki rollerin çoğuna zaten aşinasınızdır, çünkü bunlar oldukça uzun bir süredir ortalıkta dolaşmaktadır, ancak dediğim gibi, Windows Server'ın her yeni sürümünde, çalışmamış olabileceğiniz yeni roller eklenir. ile, ama ne için olduklarını bilmek isteriz, o yüzden onlara bakmaya başlayalım.

Not! Windows Server 2016 işletim sisteminin yeni özelliklerini "Windows Server 2016 Kurulumu ve yeni özelliklere genel bakış" materyalinde okuyabilirsiniz..

Rollerin, hizmetlerin ve bileşenlerin kurulumu ve yönetimi sıklıkla Windows PowerShell kullanılarak gerçekleştiğinden, her rol ve hizmeti için sırasıyla kurulumu veya yönetimi için PowerShell'de kullanılabilecek bir ad belirteceğim.

DHCP Sunucusu

Bu rol, ağınızdaki bilgisayarlar ve aygıtlar için dinamik IP adreslerini ve ilgili ayarları merkezi olarak yapılandırmanıza olanak tanır. DHCP Sunucusu rolünün rol hizmetleri yoktur.

Windows PowerShell'in adı DHCP'dir.

Dns sunucusu

Bu rol, TCP/IP ağlarında ad çözümlemesi için tasarlanmıştır. DNS Sunucusu rolü, DNS'yi sağlar ve sürdürür. Bir DNS sunucusunun yönetimini basitleştirmek için genellikle Active Directory Etki Alanı Hizmetleri ile aynı sunucuya kurulur. DNS Sunucusu rolünün rol hizmetleri yoktur.

PowerShell için rol adı DNS'dir.

Hyper-V

Hyper-V rolü ile sanallaştırılmış bir ortam oluşturabilir ve yönetebilirsiniz. Başka bir deyişle, sanal makineler oluşturmaya ve yönetmeye yarayan bir araçtır.

Windows PowerShell için rol adı Hyper-V'dir.

Cihaz sağlığı onayı

rol " » güvenli önyükleme ve istemcideki Bitlocker durumu göstergeleri gibi ölçülen güvenlik parametreleri göstergelerine dayalı olarak cihazın sağlığını değerlendirmenize olanak tanır.

Bu rolün çalışması için birçok rol hizmeti ve bileşeni gereklidir, örneğin: " rolünden birkaç hizmet Web sunucusu (IIS)", bileşen " ", bileşen " .NET Framework 4.6 özellikleri».

Yükleme sırasında gerekli tüm rol hizmetleri ve özellikler otomatik olarak seçilecektir. rol" Cihaz sağlığı onayı» Rol hizmeti yoktur.

PowerShell'in adı DeviceHealthAttestationService'dir.

Web sunucusu (IIS)

Güvenilir, yönetilebilir ve ölçeklenebilir bir web uygulama altyapısı sağlar. Oldukça fazla sayıda hizmetten oluşur (43).

Windows PowerShell'in adı Web Sunucusudur.

Aşağıdaki rol hizmetlerini içerir ( parantez içinde Windows PowerShell'in adını belirteceğim):

Web sunucusu (Web-WebSunucusu)- HTML web siteleri, ASP.NET uzantıları, ASP ve web sunucusu için destek sağlayan bir grup rol hizmeti. Aşağıdaki hizmetlerden oluşur:

• Güvenlik (Web Güvenliği)- web sunucusunun güvenliğini sağlamak için bir dizi hizmet.
  • İstek filtreleme (Web Filtreleme) - bu araçları kullanarak sunucuya gelen tüm istekleri işleyebilir ve bu istekleri web sunucusu yöneticisi tarafından belirlenen özel kurallara göre filtreleyebilirsiniz;
  • IP adresi ve etki alanı kısıtlamaları (Web-IP-Security) - bu araçlar, istekteki kaynağın IP adresine veya alan adına bağlı olarak bir web sunucusundaki içeriğe erişime izin vermenizi veya erişimi reddetmenizi sağlar;
  • URL Yetkilendirmesi (Web-Url-Auth) - araçlar, web içeriğine erişimi kısıtlamak ve bunları kullanıcılar, gruplar veya HTTP başlık komutlarıyla ilişkilendirmek için kurallar geliştirmenize olanak tanır;
  • Özet Kimlik Doğrulaması (Web-Digest-Auth) - Bu kimlik doğrulama, temel kimlik doğrulamasından daha yüksek düzeyde güvenlik sağlar. Kullanıcı kimlik doğrulaması için özet kimlik doğrulaması, bir Windows etki alanı denetleyicisine bir parola karması geçirmek gibi çalışır;
  • Temel Kimlik Doğrulama (Web-Basic-Auth) - Bu kimlik doğrulama yöntemi, güçlü web tarayıcısı uyumluluğu sağlar. Küçük dahili ağlarda kullanılması tavsiye edilir. Bu yöntemin ana dezavantajı, ağ üzerinden iletilen parolaların oldukça kolay bir şekilde ele geçirilip şifresinin çözülebilmesidir, bu nedenle bu yöntemi SSL ile birlikte kullanın;
  • Windows Kimlik Doğrulaması (Web-Windows-Auth), Windows etki alanı kimlik doğrulamasına dayalı bir kimlik doğrulamadır. Başka bir deyişle, Web sitelerinizin kullanıcılarının kimliğini doğrulamak için Active Directory hesaplarını kullanabilirsiniz;
  • İstemci Sertifika Eşleme Kimlik Doğrulaması (Web-Client-Auth) - Bu kimlik doğrulama yöntemi, bir istemci sertifikası kullanır. Bu tür, sertifika eşlemesi sağlamak için Active Directory hizmetlerini kullanır;
  • IIS İstemci Sertifikası Eşleme Kimlik Doğrulaması (Web-Cert-Auth) - Bu yöntem ayrıca kimlik doğrulama için istemci sertifikalarını kullanır, ancak sertifika eşlemesi sağlamak için IIS'yi kullanır. Bu tip daha iyi performans sağlar;
  • Merkezileştirilmiş SSL sertifika desteği (Web-CertProvider) - bu araçlar, SSL sunucu sertifikalarını merkezi olarak yönetmenize izin vererek, bu sertifikaları yönetme sürecini büyük ölçüde basitleştirir;
• Servis verilebilirlik ve tanılama (Web-Health)– web sunucularını, siteleri ve uygulamaları izlemek, yönetmek ve sorun gidermek için bir dizi hizmet:
  • http günlüğü (Web-Http-Logging) - araçlar, belirli bir sunucuda web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, örn. günlük girişi;
  • ODBC Günlüğü (Web-ODBC-Günlüğü) – Bu araçlar ayrıca web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, ancak bu etkinliğin ODBC uyumlu bir veritabanına kaydedilmesini destekler;
  • İstek İzleme (Web-Request-Monitor), IIS çalışan sürecindeki HTTP istekleri hakkındaki bilgileri yakalayarak bir web uygulamasının durumunu izlemenize olanak sağlayan bir araçtır;
  • Özel Günlüğe Kaydetme (Web-Custom-Logging) - Bu araçları kullanarak, standart IIS biçiminden önemli ölçüde farklı bir biçimde web sunucusu etkinliğinin günlüğe kaydedilmesini yapılandırabilirsiniz. Başka bir deyişle, kendi kayıt modülünüzü oluşturabilirsiniz;
  • Günlük tutma araçları (Web-Log-Libraries), web sunucusu günlüklerini yönetmeye ve günlük tutma görevlerini otomatikleştirmeye yönelik araçlardır;
  • Tracing (Web-Http-Tracing), web uygulamalarındaki ihlalleri teşhis etmek ve çözmek için kullanılan bir araçtır.
• http Ortak İşlevler (Web-Ortak-Http)– temel HTTP işlevselliği sağlayan bir dizi hizmet:
  • Varsayılan Belge (Web-Default-Doc) - Bu özellik, kullanıcılar istek URL'sinde belirli bir belge belirtmediğinde web sunucusunu varsayılan bir belge döndürecek şekilde yapılandırmanıza olanak tanır ve kullanıcıların web sitesine erişmesini kolaylaştırır, örneğin, etki alanı, bir dosya belirtmeden;
  • Dizin Tarama (Web-Dir-Browsing) - Bu araç, kullanıcıların bir web sitesindeki tüm dizinlerin ve dosyaların bir listesini görüntüleyebilmesi için bir web sunucusunu yapılandırmak için kullanılabilir. Örneğin, kullanıcıların istek URL'sinde bir dosya belirtmediği ve varsayılan belgelerin devre dışı bırakıldığı veya yapılandırılmadığı durumlar için;
  • http hataları (Web-Http-Hataları) - bu özellik, web sunucusu tarafından bir hata algılandığında kullanıcıların web tarayıcılarına döndürülecek hata mesajlarını yapılandırmanıza olanak tanır. Bu araç, kullanıcılara hata mesajlarını daha kolay sunmak için kullanılır;
  • Statik içerik (Web-Static-Content) - bu araç, bir web sunucusundaki içeriği HTML dosyaları veya görüntü dosyaları gibi statik dosya biçimleri biçiminde kullanmanıza olanak tanır;
  • http yönlendirme (Web-Http-Yönlendirme) - bu özelliği kullanarak, bir kullanıcı isteğini belirli bir hedefe yönlendirebilirsiniz, örn. bu Yönlendirme;
  • WebDAV Yayınlama (Web-DAV-Yayınlama) - WebDAV teknolojisini IIS WEB sunucusunda kullanmanızı sağlar. WebDAV ( Web Dağıtılmış Yazma ve Sürüm Oluşturma) kullanıcıların birlikte çalışmasına izin veren bir teknolojidir ( okuma, düzenleme, okuma özellikleri, kopyalama, taşıma) HTTP protokolünü kullanan uzak web sunucularındaki dosyalar üzerinden.
• Performans (Web Performansı)- çıktı önbelleğe alma ve Gzip ve Deflate gibi yaygın sıkıştırma mekanizmaları aracılığıyla daha yüksek web sunucusu performansı elde etmeye yönelik bir dizi hizmet:
  • Statik İçerik Sıkıştırma (Web-Stat-Sıkıştırma), http statik içeriğinin sıkıştırılmasını özelleştirmek için bir araçtır, gereksiz CPU yükü olmadan bant genişliğinin daha verimli kullanılmasına olanak tanır;
  • Dynamic Content Compression (Web-Dyn-Compression), HTTP dinamik içerik sıkıştırmasını yapılandırmak için bir araçtır. Bu araç, bant genişliğinin daha verimli kullanılmasını sağlar, ancak bu durumda, dinamik sıkıştırma ile ilişkili sunucu CPU yükü, sıkıştırma olmadan bile CPU yükü yüksekse siteyi yavaşlatabilir.
• Uygulama Geliştirme (Web-App-Dev)- web uygulamalarını, başka bir deyişle web sitesi geliştirme teknolojilerini geliştirmek ve barındırmak için bir dizi hizmet ve araç:
  • ASP (Web-ASP), ASP teknolojisini kullanarak web sitelerini ve web uygulamalarını desteklemek ve geliştirmek için kullanılan bir ortamdır. Şu anda daha yeni ve daha gelişmiş bir web sitesi geliştirme teknolojisi var - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net), ASP.NET teknolojisini kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • ASP.NET 4.6 (Web-Asp-Net45), ASP.NET'in yeni sürümünü kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • CGI (Web-CGI), bilgileri bir web sunucusundan harici bir programa aktarmak için CGI kullanma yeteneğidir. CGI, harici bir programı bir web sunucusuna bağlamak için kullanılan bir tür arayüz standardıdır. Bir dezavantajı var, CGI kullanımı performansı etkiliyor;
  • Sunucu Tarafı Kapsamaları (SSI) (Web İçeriği), SSI betik dili ( sunucu tarafı etkinleştir), HTML sayfalarını dinamik olarak oluşturmak için kullanılır;
  • Uygulama başlatma (Web-AppInit) - bu araç, bir web sayfasını göndermeden önce web uygulamalarını başlatma görevlerini yerine getirir;
  • WebSocket protokolü (Web-WebSockets) - WebSocket protokolünü kullanarak iletişim kuran sunucu uygulamaları oluşturma yeteneği eklendi. WebSocket, HTTP protokolünün bir tür uzantısı olan TCP bağlantısı üzerinden bir tarayıcı ve bir web sunucusu arasında aynı anda veri gönderip alabilen bir protokoldür;
  • ISAPI uzantıları (Web-ISAPI-Ext) - ISAPI uygulama programlama arabirimini kullanarak web içeriğinin dinamik olarak geliştirilmesi için destek. ISAPI, IIS web sunucusu için bir API'dir. ISAPI uygulamaları, ASP dosyalarından veya COM+ bileşenlerini çağıran dosyalardan çok daha hızlıdır;
  • .NET 3.5 Genişletilebilirliği (Web-Net-Ext), istek işleme ardışık düzeni, yapılandırması ve kullanıcı arabirimi boyunca web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize izin veren bir .NET 3.5 genişletilebilirlik özelliğidir;
  • .NET 4.6 Genişletilebilirliği (Web-Net-Ext45), tüm istek işleme boru hattı, yapılandırma ve kullanıcı arabirimi genelinde web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize de izin veren bir .NET 4.6 genişletilebilirlik özelliğidir;
  • ISAPI Filtreleri (Web-ISAPI-Filter) - ISAPI filtreleri için destek ekleyin. ISAPI filtreleri, bir web sunucusu bu filtre tarafından işlenmek üzere belirli bir HTTP isteği aldığında çağrılan programlardır.

FTP - sunucu (Web-Ftp-Sunucu)– FTP protokolü için destek sağlayan hizmetler. FTP sunucusu hakkında daha ayrıntılı olarak "Windows Server 2016'da bir FTP sunucusu kurma ve yapılandırma" materyalinde konuştuk. Aşağıdaki hizmetleri içerir:

• FTP Hizmeti (Web-Ftp-Service) - web sunucusunda FTP protokolü için destek ekler;
• FTP Genişletilebilirliği (Web-Ftp-Ext) - Özel sağlayıcılar, ASP.NET kullanıcıları veya IIS yöneticisi kullanıcıları gibi özellikler için destek eklemek gibi standart FTP yeteneklerini genişletir.

Yönetim Araçları (Web-Yönetim-Araçları) IIS 10 web sunucusu için yönetim araçlarıdır. Bunlar şunları içerir: IIS kullanıcı arabirimi, komut satırı araçları ve betikler.

• IIS Yönetim Konsolu (Web-Mgmt-Console), IIS'yi yönetmek için kullanılan kullanıcı arabirimidir;
• Karakter kümeleri ve IIS yönetim araçları (Web-Scripting-Tools), komut satırını veya komut dosyalarını kullanarak IIS'yi yönetmek için kullanılan araçlar ve komut dosyalarıdır. Örneğin kontrolü otomatikleştirmek için kullanılabilirler;
• Yönetim Hizmeti (Web-Mgmt-Service) - bu hizmet, IIS Yöneticisini kullanarak bir web sunucusunu başka bir bilgisayardan uzaktan yönetme yeteneği ekler;
• IIS 6 Uyumluluk Yönetimi (Web-Mgmt-Compat) - İki IIS API'sini kullanan uygulamalar ve betikler için uyumluluk sağlar. Mevcut IIS 6 betikleri, IIS 10 web sunucusunu yönetmek için kullanılabilir:
  • IIS 6 Uyumluluk Metatabanı (Web-Metatabanı), IIS'nin önceki sürümlerinden taşınan uygulamaları ve karakter kümelerini çalıştırmanıza izin veren bir uyumluluk aracıdır;
  • IIS 6 Komut Dosyası Araçları (Web-Lgcy-Scripting) - Bu araçlar, IIS 10'da IIS 6'yı yönetmek için oluşturulan aynı IIS 6 Komut Dosyası Hizmetlerini kullanmanıza olanak tanır;
  • IIS 6 Yönetim Konsolu (Web-Lgcy-Mgmt-Console), uzak IIS 6.0 sunucularını yönetmek için bir araçtır;
  • IIS 6 WMI Uyumluluğu (Web-WMI), bir WMI sağlayıcısında oluşturulan bir dizi komut dosyası kullanarak IIS 10.0 Web sunucusu görevlerini programlı olarak kontrol etmek ve otomatikleştirmek için Windows Yönetim Araçları (WMI) komut dosyası arabirimleridir.

Aktif Dizin Etki Alanı Hizmetleri

rol " Aktif Dizin Etki Alanı Hizmetleri» (AD DS), ağ kaynakları hakkındaki bilgileri depolayan ve işleyen dağıtılmış bir veritabanı sağlar. Bu rol, kullanıcılar, bilgisayarlar ve diğer aygıtlar gibi ağ öğelerini hiyerarşik bir kapsama yapısında düzenlemek için kullanılır. Hiyerarşik yapı, ormanları, bir orman içindeki etki alanlarını ve her etki alanı içindeki kuruluş birimlerini (OU'lar) içerir. AD DS'yi çalıştıran sunucuya etki alanı denetleyicisi denir.

Windows PowerShell için rol adı AD-Domain-Services'tir.

Windows Server Essentials Modu

Bu rol bir bilgisayar altyapısıdır ve kullanışlı ve verimli özellikler sağlar, örneğin: istemci verilerini merkezi bir konumda depolamak ve sunucu ve istemci bilgisayarları yedekleyerek bu verileri korumak, neredeyse her cihazdan verilere erişmenizi sağlayan uzak web erişimi . Bu rol, birkaç rol hizmeti ve özelliği gerektirir, örneğin: BranchCache Özellikleri, Windows Server Yedekleme, Grup İlkesi Yönetimi, Rol Hizmeti " DFS Ad Alanları».

PowerShell'in adı ServerEssentialsRole'dur.

Ağ denetleyicisi

Windows Server 2016'da tanıtılan bu rol, veri merkezindeki fiziksel ve sanal ağ altyapısını yönetmek, izlemek ve teşhis etmek için tek bir otomasyon noktası sağlar. Bu rolü kullanarak, Hyper-V ana bilgisayarlarının IP alt ağlarını, VLAN'larını, fiziksel ağ adaptörlerini tek bir noktadan yapılandırabilir, sanal anahtarları, fiziksel yönlendiricileri, güvenlik duvarı ayarlarını ve VPN ağ geçitlerini yönetebilirsiniz.

Windows PowerShell'in adı NetworkController'dır.

Düğüm Koruma Hizmeti

Bu, Barındırılan Koruma Hizmeti (HGS) sunucu rolüdür ve korumalı ana bilgisayarların korumalı sanal makineler çalıştırmasına izin veren doğrulama ve anahtar koruma hizmetleri sağlar. Bu rolün çalışması için birkaç ek rol ve bileşen gereklidir, örneğin: Active Directory Etki Alanı Hizmetleri, Web Sunucusu (IIS), " Yük Devretme Kümelemesi" ve diğerleri.

PowerShell'in adı HostGuardianServiceRole'dur.

Active Directory Basit Dizin Hizmetleri

rol " Active Directory Basit Dizin Hizmetleri» (AD LDS), AD DS'nin daha az işlevselliğe sahip, ancak etki alanlarının veya etki alanı denetleyicilerinin dağıtımını gerektirmeyen ve AD DS'nin gerektirdiği bağımlılıklara ve etki alanı kısıtlamalarına sahip olmayan hafif bir sürümüdür. AD LDS, LDAP protokolü üzerinden çalışır ( Basit Dizin Erişim Protokolü). Bağımsız olarak yönetilen şemalarla aynı sunucuda birden fazla AD LDS örneği dağıtabilirsiniz.

PowerShell'in adı ADLDS'dir.

Çoklu Nokta Hizmetleri

Ayrıca, Windows Server 2016'da yeni olan yeni bir roldür. MultiPoint Services (MPS), birden çok kullanıcının aynı bilgisayarda aynı anda ve bağımsız olarak çalışmasına izin veren temel uzak masaüstü işlevselliği sağlar. Bu rolü yüklemek ve çalıştırmak için birkaç ek hizmet ve bileşen yüklemeniz gerekir, örneğin: Yazdırma Sunucusu, Windows Arama Hizmeti, XPS Görüntüleyici ve diğerleri, bunların tümü MPS yüklemesi sırasında otomatik olarak seçilecektir.

PowerShell için rolün adı MultiPointServerRole'dur.

Windows Sunucu Güncelleme Hizmetleri

Bu rolle (WSUS), sistem yöneticileri Microsoft güncellemelerini yönetebilir. Örneğin, farklı güncelleme grupları için ayrı bilgisayar grupları oluşturun ve bilgisayarların gereksinimlere uygunluğu ve yüklenmesi gereken güncellemeler hakkında raporlar alın. Çalışmak için" Windows Sunucu Güncelleme Hizmetleri» Web Sunucusu (IIS), Windows Dahili Veritabanı, Windows İşlem Etkinleştirme Hizmeti gibi rol hizmetlerine ve bileşenlerine ihtiyacınız vardır.

Windows PowerShell'in adı UpdateServices'tir.

• WID Bağlantısı (UpdateServices-WidDB) - WID olarak ayarlayın ( Windows Dahili Veritabanı) WSUS tarafından kullanılan veritabanı. Başka bir deyişle, WSUS, hizmet verilerini WID'de saklayacaktır;
• WSUS Hizmetleri (UpdateServices-Services), Güncelleme Hizmeti, Raporlama Web Hizmeti, API Uzaktan Erişim Web Hizmeti, İstemci Web Hizmeti, Web Basit Kimlik Doğrulama Web Hizmeti, Sunucu Eşitleme Hizmeti ve DSS Kimlik Doğrulama Web Hizmeti gibi WSUS rol hizmetleridir;
• SQL Server Connectivity (UpdateServices-DB), WSUS hizmetinin bir Microsoft SQL Server veritabanına bağlanmasına izin veren bir bileşen kurulumudur. Bu seçenek, hizmet verilerinin bir Microsoft SQL Server veritabanında depolanmasını sağlar. Bu durumda, en az bir SQL Server örneğinin kurulu olması gerekir.

Toplu Lisans Etkinleştirme Hizmetleri

Bu sunucu rolüyle, Microsoft'tan yazılımlar için toplu lisans verilmesini otomatikleştirip basitleştirebilir ve ayrıca bu lisansları yönetmenize olanak tanır.

PowerShell'in adı VolumeActivation'dır.

Baskı ve Doküman Hizmetleri

Bu sunucu rolü, yazıcıları ve tarayıcıları bir ağ üzerinde paylaşmak, yazdırma ve tarama sunucularını merkezi olarak yapılandırmak ve yönetmek ve ağ yazıcılarını ve tarayıcıları yönetmek için tasarlanmıştır. Yazdırma ve Belge Hizmetleri, taranan belgeleri e-posta yoluyla, ağ paylaşımlarına veya Windows SharePoint Services sitelerine göndermenize de olanak tanır.

PowerShell'in adı Print-Services'tir.

• Yazdırma Sunucusu (Baskı Sunucusu) - Bu rol hizmeti " Baskı Yönetimi”, yazıcıları veya baskı sunucularını yönetmek ve ayrıca yazıcıları ve diğer baskı sunucularını taşımak için kullanılır;
• İnternet üzerinden yazdırma (Print-Internet) - İnternet üzerinden yazdırmayı gerçekleştirmek için, kullanıcıların sunucudaki yazdırma işlerini yönetebilecekleri bir web sitesi oluşturulur. Bu hizmetin çalışması için anladığınız gibi yüklemeniz gerekiyor " Web sunucusu (IIS)". Rol hizmetinin kurulum işlemi sırasında bu kutuyu işaretlediğinizde gerekli tüm bileşenler otomatik olarak seçilecektir " İnternetten Yazdırma»;
• Dağıtılmış Tarama Sunucusu (Baskı-Tarama-Sunucusu), taranan belgeleri ağ tarayıcılarından alıp bir hedefe göndermenizi sağlayan bir hizmettir. Bu hizmet aynı zamanda " Tarama Yönetimi”, ağ tarayıcılarını yönetmek ve taramayı yapılandırmak için kullanılır;
• LPD Hizmeti (Print-LPD-Service) - LPD hizmeti ( Satır Yazıcısı Arka Plan Programı), UNIX tabanlı bilgisayarların ve Line Printer Remote (LPR) hizmetini kullanan diğer bilgisayarların sunucunun paylaşılan yazıcılarına yazdırmasına izin verir.

Ağ Politikası ve Erişim Hizmetleri

rol " » (NPAS), Ağ İlkesi Sunucusunun (NPS) ağ erişimini, kimlik doğrulamasını ve yetkilendirmesini ve istemci sağlığı ilkelerini belirlemesine ve uygulamasına, başka bir deyişle ağın güvenliğini sağlamasına olanak tanır.

Windows PowerShell'in adı NPAS'tır.

Windows Dağıtım Hizmetleri

Bu rolle, Windows işletim sistemini bir ağ üzerinden uzaktan kurabilirsiniz.

PowerShell için rol adı WDS'dir.

• Dağıtım Sunucusu (WDS-Dağıtım) - bu rol hizmeti, Windows işletim sistemlerinin uzaktan dağıtımı ve yapılandırılması için tasarlanmıştır. Ayrıca yeniden kullanım için görüntüler oluşturmanıza ve özelleştirmenize olanak tanır;
• Aktarım Sunucusu (WDS-Transport) - Bu hizmet, bağımsız bir sunucuda çok noktaya yayın yaparak verileri aktarabileceğiniz temel ağ bileşenlerini içerir.

Active Directory Sertifika Hizmetleri

Bu rolün amacı, çeşitli uygulamalar için sertifikalar vermenize ve yönetmenize olanak tanıyan sertifika yetkilileri ve ilgili rol hizmetleri oluşturmaktır.

Windows PowerShell'in adı AD-Certificate'dir.

Aşağıdaki rol hizmetlerini içerir:

• Sertifika Yetkilisi (ADCS-Cert-Authority) - bu rol hizmetini kullanarak kullanıcılara, bilgisayarlara ve hizmetlere sertifika verebilir ve sertifikanın geçerliliğini yönetebilirsiniz;
• Sertifika Kayıt İlkesi Web Hizmeti (ADCS-Enroll-Web-Pol) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların bir web tarayıcısından sertifika kayıt ilkesi bilgilerini almalarını sağlar. İşleyişi için gerekli Web sunucusu (IIS)»;
• Sertifika Kaydı Web Hizmeti (ADCS-Enroll-Web-Svc) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların HTTPS üzerinden bir web tarayıcı kullanarak sertifika kaydetmesine ve yenilemesine olanak tanır. Ayrıca çalışması gerekiyor Web sunucusu (IIS)»;
• Çevrimiçi Yanıtlayıcı (ADCS-Online-Cert) - Hizmet, istemciler için bir sertifikanın iptalini kontrol etmek üzere tasarlanmıştır. Başka bir deyişle, belirli sertifikalar için iptal durum talebini kabul eder, bu sertifikaların durumunu değerlendirir ve durumla ilgili bilgileri içeren imzalı bir yanıt gönderir. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Sertifika Yetkilisi Web Kayıt Hizmeti (ADCS-Web-Kayıt) - Bu hizmet, kullanıcıların sertifika isteme ve yenileme, CRL alma ve akıllı kart sertifikalarını kaydetme gibi görevleri gerçekleştirmesi için bir web arayüzü sağlar. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Ağ Aygıtı Kayıt Hizmeti (ADCS-Device-Enrollment)—Bu hizmeti kullanarak, ağ hesapları olmayan yönlendiriciler ve diğer ağ aygıtları için sertifikalar verebilir ve yönetebilirsiniz. Hizmetin çalışması için gerekli Web sunucusu (IIS)».

Uzak Masaüstü Hizmetleri

Sanal masaüstlerine, oturum tabanlı masaüstlerine ve RemoteApp'lere erişim sağlamak için kullanılabilecek bir sunucu rolü.

Windows PowerShell'in rol adı Uzak Masaüstü Hizmetleri'dir.

Aşağıdaki hizmetlerden oluşur:

• Uzak Masaüstü Web Erişimi (RDS-Web-Erişimi) - Bu rol hizmeti, kullanıcıların uzak masaüstlerine ve RemoteApp uygulamalarına " Başlangıç» veya bir web tarayıcı kullanarak;
• Uzak Masaüstü Lisansı (RDS-Licensing) - Hizmet, Uzak Masaüstü Oturum Ana Bilgisayarı sunucusuna veya sanal masaüstüne bağlanmak için gereken lisansları yönetmek üzere tasarlanmıştır. Yüklemek, lisans vermek ve kullanılabilirliklerini izlemek için kullanılabilir. Bu hizmet gerektirir " Web sunucusu (IIS)»;
• Uzak Masaüstü Bağlantı Aracısı (RDS-Connection-Broker), şu yetenekleri sağlayan bir rol hizmetidir: bir kullanıcıyı mevcut bir sanal masaüstüne, RemoteApp uygulamasına ve oturum tabanlı masaüstüne yeniden bağlamanın yanı sıra uzak oturum ana bilgisayar sunucuları masaüstleri arasında yük dengeleme veya havuzlanmış sanal masaüstleri arasında. Bu hizmet, " »;
• Uzak Masaüstü Sanallaştırma Ana Bilgisayarı (DS-Sanallaştırma) - Hizmet, kullanıcıların RemoteApp ve Masaüstü Bağlantısı kullanarak sanal masaüstlerine bağlanmasına olanak tanır. Bu hizmet Hyper-V ile birlikte çalışır, örn. bu rolün yüklenmesi gerekir;
• Uzak Masaüstü Oturum Ana Bilgisayarı (RDS-RD-Sunucusu) - Bu hizmet, RemoteApp uygulamalarını ve oturum tabanlı masaüstlerini bir sunucuda barındırabilir. Erişim, Uzak Masaüstü Bağlantısı istemcisi veya RemoteApps aracılığıyla sağlanır;
• Uzak Masaüstü Ağ Geçidi (RDS-Gateway) - Hizmet, yetkili uzak kullanıcıların bir şirket ağındaki veya İnternet üzerinden sanal masaüstlerine, RemoteApp'lere ve oturum tabanlı masaüstlerine bağlanmasına olanak tanır. Bu hizmet, aşağıdaki ek hizmetleri ve bileşenleri gerektirir: Web sunucusu (IIS)», « Ağ Politikası ve Erişim Hizmetleri», « HTTP proxy üzerinden RPC».

AD RMS'si

Bu, bilgileri yetkisiz kullanıma karşı korumanıza izin verecek bir sunucu rolüdür. Kullanıcı kimliklerini doğrular ve yetkili kullanıcılara korunan verilere erişmeleri için lisans verir. Bu rol, ek hizmetler ve bileşenler gerektirir: Web sunucusu (IIS)», « Windows İşlem Etkinleştirme Hizmeti», « .NET Framework 4.6 özellikleri».

Windows PowerShell'in adı ADRMS'dir.

• Active Directory Rights Management Server (ADRMS-Server) - kurulum için gerekli olan ana rol hizmeti;
• Kimlik Federasyon Desteği (ADRMS-Kimlik), birleşik kimliklerin Active Directory Federasyon Hizmetlerini kullanarak korunan içeriği kullanmasını sağlayan isteğe bağlı bir rol hizmetidir.

AD FS

Bu rol, bir tarayıcı kullanan web sitelerine basitleştirilmiş ve güvenli kimlik federasyonu ve çoklu oturum açma (SSO) işlevselliği sağlar.

PowerShell'in adı ADFS-Federation'dır.

Uzaktan erişim

Bu rol, DirectAccess, VPN ve Web Uygulama Proxy'si aracılığıyla bağlantı sağlar. ayrıca rol Uzaktan erişim"ağ adresi çevirisi (NAT) ve diğer bağlantı seçenekleri dahil olmak üzere geleneksel yönlendirme yetenekleri sağlar. Bu rol, ek hizmetler ve özellikler gerektirir: Web sunucusu (IIS)», « Windows Dahili Veritabanı».

Windows PowerShell için rol adı RemoteAccess'tir.

• DirectAccess ve VPN (RAS) (DirectAccess-VPN) - hizmet, kullanıcıların herhangi bir zamanda DirectAccess aracılığıyla İnternet erişimi ile kurumsal ağa bağlanmasına ve ayrıca tünel oluşturma ve veri şifreleme teknolojileriyle birlikte VPN bağlantılarını düzenlemesine olanak tanır;
• Yönlendirme (Yönlendirme) - hizmet, NAT yönlendiricileri, BGP protokollerine sahip LAN yönlendiricileri, RIP protokolleri ve çok noktaya yayın destekli yönlendiriciler (IGMP proxy) için destek sağlar;
• Web Uygulama Proxy'si (Web-Application-Proxy) - Hizmet, kurumsal ağdan kurumsal ağ dışındaki istemci cihazlara HTTP ve HTTPS protokollerine dayalı uygulamaları yayınlamanıza olanak tanır.

Dosya ve depolama hizmetleri

Bu, dosya ve klasörleri paylaşmak, paylaşımları yönetmek ve kontrol etmek, dosyaları çoğaltmak, hızlı dosya aramaları sağlamak ve UNIX istemci bilgisayarlarına erişim vermek için kullanılabilen bir sunucu rolüdür. Dosya hizmetlerini ve özellikle dosya sunucusunu "Windows Server 2016'da bir dosya sunucusu (Dosya Sunucusu) kurma" materyalinde daha ayrıntılı olarak ele aldık.

Windows PowerShell'in adı FileAndStorage-Services'dir.

Depolama Hizmetleri- Bu hizmet, her zaman kurulu olan ve kaldırılamayan depolama yönetimi işlevselliği sağlar.

Dosya Hizmetleri ve iSCSI Hizmetleri (Dosya Hizmetleri) dosya sunucularının ve depolarının yönetimini basitleştiren, disk alanından tasarruf sağlayan, şubelerdeki dosyaların replikasyonunu ve önbelleğe alınmasını sağlayan, aynı zamanda NFS protokolü üzerinden dosya paylaşımını sağlayan teknolojilerdir. Aşağıdaki rol hizmetlerini içerir:

• Dosya Sunucusu (FS-FileServer) - paylaşılan klasörleri yöneten ve kullanıcılara ağ üzerinden bu bilgisayardaki dosyalara erişim sağlayan bir rol hizmeti;
• Veri Tekilleştirme (FS-Veri-Tekilleştirme) - bu hizmet, aynı verilerin yalnızca bir kopyasını bir birimde depolayarak disk alanından tasarruf sağlar;
• Dosya Sunucusu Kaynak Yöneticisi (FS-Resource-Manager) - bu hizmeti kullanarak, bir dosya sunucusundaki dosya ve klasörleri yönetebilir, depolama raporları oluşturabilir, dosya ve klasörleri sınıflandırabilir, klasör kotalarını yapılandırabilir ve dosya engelleme ilkeleri tanımlayabilirsiniz;
• iSCSI Hedef Depolama Sağlayıcısı (VDS ve VSS Donanım Sağlayıcıları) (iSCSITarget-VSS-VDS) - Hizmet, iSCSI hedefine bağlı bir sunucudaki uygulamaların iSCSI sanal disklerindeki gölge kopya birimlerine izin verir;
• DFS ad alanları (FS-DFS-Ad Alanı) - bu hizmeti kullanarak, farklı sunucularda barındırılan paylaşılan klasörleri mantıksal olarak yapılandırılmış bir veya daha fazla ad alanında gruplandırabilirsiniz;
• Çalışma klasörleri (FS-SyncShareService) - hizmet, çalışma dosyalarını iş ve kişisel dahil olmak üzere farklı bilgisayarlarda kullanmanıza olanak tanır. Dosyalarınızı Çalışma Klasörlerinde saklayabilir, senkronize edebilir ve yerel ağınızdan veya İnternetten erişebilirsiniz. Hizmetin çalışması için " bileşeni IIS İşlem İçi Web Çekirdeği»;
• DFS Çoğaltma (FS-DFS-Çoğaltma), LAN veya WAN bağlantısı üzerinden klasörleri senkronize etmenize izin veren çok sunuculu bir veri çoğaltma motorudur. Bu teknoloji, dosyaların yalnızca son çoğaltmadan bu yana değişen kısmını güncellemek için Uzaktan Farklı Sıkıştırma (RDC) protokolünü kullanır. DFS Çoğaltma, DFS Ad Alanları ile veya DFS Ad Alanları olmadan kullanılabilir;
• NFS Sunucusu (FS-NFS Hizmeti) - Hizmet, bu bilgisayarın UNIX tabanlı bilgisayarlarla ve Ağ Dosya Sistemi (NFS) protokolünü kullanan diğer bilgisayarlarla dosya paylaşmasına olanak tanır;
• iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI hedefleri için hizmetler ve yönetim sağlar;
• Ağ Dosyaları için BranchCache Hizmeti (FS-BranchCache) - Hizmet, bu dosya sunucusunda BranchCache desteği sağlar;
• Dosya Sunucusu VSS Aracı Hizmeti (FS-VSS-Agent) - Hizmet, bu dosya sunucusunda veri dosyalarını depolayan uygulamalar için birim gölge kopyalarına izin verir.

faks sunucusu

Rol, faks gönderip alır ve bu bilgisayardaki veya ağdaki işler, ayarlar, raporlar ve faks aygıtları gibi faks kaynaklarını yönetmenize olanak tanır. iş için gerekli Yazdırma sunucusu».

Windows PowerShell için rol adı Faks'tır.

Bu, Windows Server 2016 sunucu rollerinin incelemesini tamamlıyor, umarım malzeme şimdilik sizin için yararlı olmuştur!

Grup İlkelerini Uygulama (3. Bölüm)

Tipik olarak, GPO'lar bir kapsayıcıya (etki alanı, site veya OU) atanır ve bu kapsayıcıdaki tüm nesnelere uygulanır. İyi organize edilmiş bir etki alanı yapısıyla bu oldukça yeterlidir, ancak bazen ilkelerin uygulanmasını belirli bir nesne grubuyla daha da kısıtlamak gerekir. Bunun için iki tip filtre kullanılabilir.

Güvenlik filtreleri

Güvenlik filtreleri, ilkelerin uygulanmasını belirli bir güvenlik grubuyla sınırlamanıza olanak tanır. Örneğin, Windows 8.1\Windows 10 işletim sistemine sahip iş istasyonlarında Başlat menüsünü merkezi olarak yapılandırmak için kullanılan GPO2'yi ele alalım. GPO2, Çalışanlar OU'ya atanır ve istisnasız tüm kullanıcılar için geçerlidir.

Şimdi "Güvenlik Filtreleme" bölümünde bu GPO'nun uygulanabileceği grupların belirtildiği "Kapsam" sekmesine geçelim. Varsayılan olarak, Kimliği Doğrulanmış Kullanıcılar grubu burada belirtilir. Bu, politikanın uygulanabileceği anlamına gelir. herhangi biri etki alanında kimliği başarıyla doğrulanmış bir kullanıcı veya bilgisayar.

Aslında, her GPO'nun, Delegasyon sekmesinde görülebilen kendi erişim listesi vardır.

İlkeyi uygulamak için nesnenin, Authenticated Users grubunun sahip olduğu okuma (Oku) ve uygulama (Grup ilkesini uygula) haklarına sahip olması gerekir. Buna göre, ilkenin herkese değil, yalnızca belirli bir gruba uygulanabilmesi için, Kimliği Doğrulanmış Kullanıcıları listeden çıkarmak, ardından istenen grubu eklemek ve ona uygun hakları vermek gerekir.

Bu nedenle, örneğimizde, ilke yalnızca Muhasebe grubuna uygulanabilir.

WMI filtreleri

Windows Yönetim Araçları (WMI), Windows işletim sistemini yönetmek için en güçlü araçlardan biridir. WMI, hemen hemen tüm kullanıcı ve bilgisayar ayarlarını tanımlayabileceğiniz çok sayıda sınıf içerir. Kullanılabilir tüm WMI sınıflarını, şu komutu çalıştırarak PowerShell'i kullanarak bir liste olarak görüntüleyebilirsiniz:

Get-WmiObject -List

Örneğin, sınıfa git Win32_İşletim Sistemi, işletim sistemi özelliklerinden sorumludur. Diyelim ki Windows 10 dışındaki tüm işletim sistemlerini filtrelemek istiyorsunuz. Windows 10 kurulu bir bilgisayara gidiyoruz, PowerShell konsolunu açıyoruz ve şu komutu kullanarak işletim sisteminin adını, sürümünü ve türünü gösteriyoruz:

Get-WmiObject -Class Win32_OperatingSystem | fl Ad, Sürüm, ÜrünTürü

Filtre için işletim sistemi sürümünü ve türünü kullanıyoruz. Sürüm, istemci ve sunucu işletim sistemi için aynıdır ve aşağıdaki şekilde tanımlanır:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Ürün tipi, bilgisayarın amacından sorumludur ve 3 değere sahip olabilir:

1 - iş istasyonu;
2 - etki alanı denetleyicisi;
3 - sunucu.

Şimdi filtre oluşturmaya geçelim. Bunu yapmak için Grup İlkesi Yönetimi ek bileşenini açın ve WMI Filtreleri bölümüne gidin. Üzerine sağ tıklayın ve içerik menüsünden Yeni'yi seçin.

Açılan pencerede filtreye bir ad ve açıklama verin. Ardından "Add" butonuna basıyoruz ve "Query" alanına WMI filtresinin temeli olan WQL sorgusunu giriyoruz. Tip 1 ile OS sürüm 10.0'ı seçmemiz gerekiyor, böylece istek şöyle görünecek:

* Win32_OperatingSystem FROM Sürüm ″%10.0″ VE ÜrünTürü = ″1″ GİBİ SEÇİN

Not. Windows Sorgu Dili (WQL) - WMI sorgulama dili. Bununla ilgili daha fazla bilgiyi MSDN'de bulabilirsiniz.

Ortaya çıkan filtreyi kaydedin.

Şimdi geriye kalan tek şey WMI filtresini GPO3 gibi bir GPO'ya atamak. GPO'nun özelliklerine gidin, "Kapsam" sekmesini açın ve "WMI Filtreleme" alanında listeden istediğiniz filtreyi seçin.

Grup ilkeleri uygulamasının analizi

Bu kadar çok GPO filtreleme yöntemiyle, uygulamalarını teşhis edebilmek ve analiz edebilmek gerekir. Grup ilkelerinin bir bilgisayar üzerindeki etkisini kontrol etmenin en kolay yolu, komut satırı yardımcı programını kullanmaktır. gpresult.

Örneğin Windows 7 kurulu olan wks2 bilgisayarına gidelim ve WMI filtresinin çalışıp çalışmadığını kontrol edelim. Bunu yapmak için cmd konsolunu yönetici haklarıyla açın ve komutu çalıştırın. gpresult / r, kullanıcıya ve bilgisayara uygulanan grup ilkeleri hakkında özet bilgileri görüntüler.

Not. gpresult yardımcı programı, komutla görüntülenebilen birçok ayara sahiptir. sonuç /?.

Alınan verilerden de görebileceğiniz gibi, WMI filtresi tarafından filtrelendiği için GPO3 ilkesi bilgisayara uygulanmadı.

GPO eylemini, özel bir sihirbaz kullanarak Grup İlkesi Yönetimi ek bileşeninden de kontrol edebilirsiniz. Sihirbazı başlatmak için "Group Policy Results" bölümüne sağ tıklayın ve açılan menüden "Group Policy Results Wizard" öğesini seçin.

Raporun oluşturulacağı bilgisayarın adını belirtin. Yalnızca kullanıcıya özel Grup İlkesi ayarlarını görüntülemek istiyorsanız, bilgisayar için ayarları toplamamayı seçebilirsiniz. Bunu yapmak için aşağıdaki kutuyu işaretleyin (yalnızca kullanıcı politikası ayarlarını görüntüleyin).

Ardından, verilerin toplanacağı kullanıcı adını seçiyoruz veya kullanıcı için grup ilkesi ayarlarının rapora dahil edilmeyeceğini belirtebilirsiniz (yalnızca bilgisayar ilkesi ayarlarını görüntüle).

Seçilen ayarları kontrol ediyoruz, "İleri" yi tıklıyoruz ve veriler toplanırken ve rapor oluşturulurken bekleriz.

Rapor, kullanıcıya ve bilgisayara uygulanan (veya uygulanmayan) GPO'lar ve kullanılan filtreler hakkında kapsamlı veriler içerir.

Örneğin iki farklı kullanıcı için raporlar oluşturalım ve karşılaştıralım. Öncelikle Kirill kullanıcısı için raporu açalım ve kullanıcı ayarları bölümüne gidelim. Gördüğünüz gibi, GPO2 politikası bu kullanıcıya uygulanmadı, çünkü uygulama hakkına sahip değil (Reason Reddedildi - Kabul Edilemez).

Şimdi Oleg kullanıcısı için raporu açalım. Bu kullanıcı, Accounting grubunun bir üyesi olduğundan, ilke kendisine başarıyla uygulandı. Bu, güvenlik filtresinin başarıyla tamamlandığı anlamına gelir.

Bu konuda belki de grup politikalarının uygulanmasıyla ilgili "büyüleyici" hikayeyi bitireceğim. Umarım bu bilgiler faydalı olur ve sistem yönetiminin zor görevinde size yardımcı olur 🙂

Windows'u kurduğunuzda, gerekli olmayan alt sistemlerin çoğu etkinleştirilmez veya kurulmaz. Bu güvenlik nedeniyle yapılır. Sistem varsayılan olarak güvenli olduğu için, sistem yöneticileri sadece yaptığı şeyi yapan bir sistem tasarlamaya odaklanabilir, daha fazlasını değil. İstediğiniz özellikleri etkinleştirmenize yardımcı olmak için Windows sizden bir Sunucu Rolü seçmenizi ister.

Roller

Sunucu rolü, düzgün bir şekilde kurulduğunda ve yapılandırıldığında, bir bilgisayarın birden çok kullanıcı veya ağdaki diğer bilgisayarlar için belirli bir işlevi gerçekleştirmesini sağlayan bir dizi programdır. Genel olarak, tüm roller aşağıdaki özelliklere sahiptir.

• Bilgisayar kullanmanın ana işlevini, amacını veya amacını tanımlarlar. Kuruluşta yoğun olarak kullanılan bir rolü veya her rolün yalnızca ara sıra kullanıldığı birden çok rolü oynaması için bir bilgisayar atayabilirsiniz.
• Roller, kuruluştaki kullanıcılara web siteleri, yazıcılar veya farklı bilgisayarlarda depolanan dosyalar gibi diğer bilgisayarlar tarafından yönetilen kaynaklara erişim sağlar.
• Genellikle, kullanıcı veya bilgisayar isteklerini kuyruğa sokan veya bir rolle ilişkili ağ kullanıcıları ve bilgisayarlar hakkındaki bilgileri kaydeden kendi veritabanlarına sahiptirler. Örneğin, Active Directory Etki Alanı Hizmetleri, bir ağ üzerindeki tüm bilgisayarların adlarını ve hiyerarşik ilişkilerini depolamak için bir veritabanı içerir.
• Düzgün bir şekilde kurulup yapılandırıldıktan sonra roller otomatik olarak çalışır. Bu, yüklü oldukları bilgisayarların, sınırlı kullanıcı etkileşimi ile atanmış görevleri gerçekleştirmesine olanak tanır.

Rol Hizmetleri

Rol hizmetleri, bir rolün işlevselliğini sağlayan programlardır. Bir rol yüklediğinizde, kuruluştaki diğer kullanıcılara ve bilgisayarlara hangi hizmetleri sağlayacağını seçebilirsiniz. DNS sunucusu gibi bazı roller yalnızca bir işlevi yerine getirir, bu nedenle onlar için rol hizmeti yoktur. Uzak Masaüstü Hizmetleri gibi diğer roller, kuruluşunuzun uzaktan erişim gereksinimlerine göre yükleyebileceğiniz çeşitli hizmetlere sahiptir. Rol, yakından ilişkili, tamamlayıcı rol hizmetlerinin bir koleksiyonu olarak düşünülebilir. Çoğu durumda, bir rol yüklemek, hizmetlerinden birini veya daha fazlasını yüklemek anlamına gelir.

Bileşenler

Bileşenler, doğrudan rollerin parçası olmayan, ancak hangi rollerin kurulu olduğuna bakılmaksızın bir veya daha fazla rolün veya sunucunun tamamının işlevselliğini destekleyen veya genişleten programlardır. Örneğin Yük Devretme Kümesi Aracı, Dosya Hizmetleri ve DHCP Sunucusu gibi diğer rolleri, daha fazla artıklık ve performans sağlayan sunucu kümelerine katılmalarına izin vererek genişletir. Diğer bileşen olan Telnet İstemcisi, bir ağ bağlantısı üzerinden Telnet sunucusuyla uzaktan iletişime izin verir. Bu özellik, sunucu için iletişim seçeneklerini geliştirir.

Windows Server, Sunucu Çekirdeği modunda çalışırken aşağıdaki sunucu rolleri desteklenir:

• Aktif Dizin Sertifika Hizmetleri;
• Aktif Dizin Etki Alanı Hizmetleri;
• DHCP Sunucusu
• Dns sunucusu;
• dosya hizmetleri (dosya sunucusu kaynak yöneticisi dahil);
• Aktif Dizin Hafif Dizin Hizmetleri;
• Hyper-V
• basım ve belge hizmetleri;
• akışlı medya hizmetleri;
• web sunucusu (ASP.NET'in bir alt kümesi dahil);
• Windows Sunucu Güncelleme Sunucusu;
• Active Directory hakları yönetim sunucusu;
• Yönlendirme ve Uzaktan Erişim Sunucusu ve aşağıdaki alt roller:
  • Uzak Masaüstü Bağlantı Aracısı;
  • lisanslama;
  • sanallaştırma.

Windows Server, Sunucu Çekirdeği modunda çalışırken aşağıdaki sunucu özellikleri desteklenir:

• Microsoft .NET Çerçevesi 3.5;
• Microsoft .NET Çerçevesi 4.5;
• Windows PowerShell'i;
• Arka Plan Akıllı Aktarım Hizmeti (BITS);
• Bitlocker sürücü şifreleme;
• BitLocker Ağ Kilit Açma;
• BranchCache
• veri merkezi köprüsü;
• Gelişmiş Depolama;
• yük devretme kümelemesi;
• Çok Yollu G/Ç;
• ağ yükü dengeleme;
• PNRP protokolü;
• qDalga;
• uzak diferansiyel sıkıştırma;
• basit TCP/IP hizmetleri;
• HTTP proxy üzerinden RPC;
• SMTP sunucusu;
• SNMP hizmeti;
• telnet istemcisi;
• telnet sunucusu;
• TFTP istemcisi;
• Windows dahili veritabanı;
• Windows PowerShell Web Erişimi;
• Windows Aktivasyon Hizmeti;
• standartlaştırılmış Windows depolama yönetimi;
• IIS WinRM uzantısı;
• WINS sunucusu;
• WoW64 desteği.

Sunucu Yöneticisini kullanarak sunucu rollerini yükleme

Eklemek için Sunucu Yöneticisi'ni açın ve Yönet menüsünde Rol ve özellik ekle'ye tıklayın:

Rol ve Özellik Ekleme Sihirbazı açılır. Sonrakine tıkla

Kurulum Türü, Rol tabanlı veya özellik tabanlı kurulumu seçin. Sonraki:

Sunucu Seçimi - sunucumuzu seçin. Sonraki Sunucu Rolleri'ne tıklayın - Gerekirse rolleri seçin, rol hizmetlerini seçin ve bileşenleri seçmek için İleri'ye tıklayın. Bu prosedür sırasında, Rol ve Özellik Ekleme Sihirbazı, hedef sunucuda seçilen rollerin veya özelliklerin yüklenmesini veya normal çalışmasını engelleyebilecek çakışmaları size otomatik olarak bildirir. Ayrıca, seçilen rollerin veya özelliklerin gerektirdiği rolleri, rol hizmetlerini ve özellikleri eklemeniz istenir.

PowerShell ile rolleri yükleme

Windows PowerShell'i açın Yerel sunucudaki kullanılabilir ve yüklü rollerin ve özelliklerin listesini görüntülemek için Get-WindowsFeature komutunu girin. Bu cmdlet'in çıktısı, yüklenen ve kurulmaya hazır olan roller ve özellikler için komut adlarını içerir.

Install-WindowsFeature (MAN) cmdlet'inin sözdizimini ve geçerli parametrelerini görüntülemek için Get-Help Install-WindowsFeature yazın.

Aşağıdaki komutu girin (-Yeniden başlatma, rol kurulumu yeniden başlatma gerektiriyorsa sunucuyu yeniden başlatır).

Install-WindowsFeature –Ad -Yeniden Başlat

Rollerin ve rol hizmetlerinin açıklaması

Tüm roller ve rol hizmetleri aşağıda açıklanmıştır. Uygulamamızdaki en yaygın Web Sunucusu Rolü ve Uzak Masaüstü Hizmetleri için gelişmiş ayarlara bakalım.

IIS'nin ayrıntılı açıklaması

• Ortak HTTP Özellikleri - Temel HTTP Bileşenleri
  • Varsayılan Belge - site için dizin sayfasını ayarlamanıza olanak tanır.
  • Dizin Tarama - Kullanıcıların bir web sunucusundaki bir dizinin içeriğini görüntülemesine izin verir. Kullanıcılar URL'de bir dosya belirtmediğinde ve dizin sayfası devre dışı bırakıldığında veya yapılandırılmadığında, bir dizindeki tüm dizinlerin ve dosyaların bir listesini otomatik olarak oluşturmak için Dizin Taramayı kullanın
  • HTTP Hataları - tarayıcıda istemcilere döndürülen hata mesajlarını özelleştirmenizi sağlar.
  • Statik İçerik - resimler veya html dosyaları gibi statik içerik göndermenize olanak tanır.
  • HTTP Yeniden Yönlendirme - Kullanıcı isteklerinin yeniden yönlendirilmesi için destek sağlar.
  • WebDAV Yayınlama, HTTP protokolünü kullanarak bir web sunucusundan dosya yayınlamanıza olanak tanır.
• Sağlık ve Tanılama Özellikleri - Tanılama bileşenleri
  • HTTP Günlüğü, belirli bir sunucu için web sitesi etkinliğinin günlüğe kaydedilmesini sağlar.
  • Özel Günlüğe Kaydetme, "geleneksel" günlüklerden farklı özel günlüklerin oluşturulması için destek sağlar.
  • Günlük Araçları, web sunucusu günlüklerini yönetmek ve ortak günlük görevlerini otomatikleştirmek için bir çerçeve sağlar.
  • ODBC Günlüğü, web sunucusu etkinliğinin ODBC uyumlu bir veritabanına kaydedilmesini destekleyen bir çerçeve sağlar.
  • İstek İzleyici, bir IIS çalışan işleminde HTTP istekleri hakkında bilgi toplayarak web uygulamalarının durumunu izlemek için bir çerçeve sağlar.
  • İzleme, web uygulamalarında tanılama ve sorun giderme için bir çerçeve sağlar. Başarısız istek izlemeyi kullanarak, düşük performans veya kimlik doğrulama hataları gibi bulunması zor olayları izleyebilirsiniz.
• Web sunucusunun performansını artırmak için performans bileşenleri.
  • Statik İçerik Sıkıştırma, statik içeriğin HTTP sıkıştırmasını yapılandırmak için bir çerçeve sağlar
  • Dinamik İçerik Sıkıştırma, dinamik içeriğin HTTP sıkıştırmasını yapılandırmak için bir çerçeve sağlar.
• Güvenlik bileşenleri
  • İstek Filtreleme, gelen tüm istekleri yakalamanıza ve bunları yönetici tarafından belirlenen kurallara göre filtrelemenize olanak tanır.
  • Temel Kimlik Doğrulama, ek yetki belirlemenizi sağlar
  • Merkezi SSL Sertifika Desteği, sertifikaları dosya paylaşımı gibi merkezi bir yerde saklamanıza olanak sağlayan bir özelliktir.
  • İstemci Sertifika Eşleme Kimlik Doğrulaması, kullanıcıların kimliğini doğrulamak için istemci sertifikalarını kullanır.
  • Özet Kimlik Doğrulaması, kullanıcıların kimliğini doğrulamak için bir Windows etki alanı denetleyicisine bir parola karması göndererek çalışır. Temel kimlik doğrulamasından daha fazla güvenliğe ihtiyacınız varsa Özet kimlik doğrulamayı kullanmayı düşünün
  • IIS İstemci Sertifika Eşleme Kimlik Doğrulaması, kullanıcıların kimliğini doğrulamak için istemci sertifikalarını kullanır. İstemci sertifikası, güvenilir bir kaynaktan alınan bir dijital kimliktir.
  • IP ve Etki Alanı Kısıtlamaları, istenen IP adresine veya etki alanı adına göre erişime izin vermenize/reddetmenize olanak tanır.
  • URL Yetkilendirmesi, web içeriğine erişimi kısıtlayan kurallar oluşturmanıza olanak tanır.
  • Windows Kimlik Doğrulaması Bu kimlik doğrulama şeması, Windows etki alanı yöneticilerinin, kullanıcı kimlik doğrulaması için etki alanı altyapısından yararlanmasına olanak tanır.
• Uygulama Geliştirme Özellikleri
• Ftp sunucusu
  • FTP Hizmeti FTP'nin bir web sunucusuna yayınlanmasını sağlar.
  • FTP Genişletilebilirliği FTP'nin işlevselliğini artıran FTP özellikleri için desteği etkinleştirir.
• Yönetim araçları
  • IIS Yönetim Konsolu, Web Sunucusunu bir GUI aracılığıyla yönetmenize izin veren IIS Yöneticisini yükler.
  • IIS 6.0 Yönetim Uyumluluğu, Admin Base Object (ABO) ve Directory Service Interface (ADSI) Active Directory API'sini kullanan uygulamalar ve betikler için ileri uyumluluk sağlar. Bu, mevcut IIS 6.0 komut dosyalarının IIS 8.0 web sunucusu tarafından kullanılmasına izin verir.
  • IIS Yönetim Komut Dosyaları ve Araçları, bir komut istemi penceresindeki komutları kullanarak veya komut dosyalarını çalıştırarak IIS web sunucusunu programlı olarak yönetmek için altyapı sağlar.
  • Yönetim Hizmeti, kullanıcı arabirimi IIS Yöneticisi'ni özelleştirmek için altyapı sağlar.

RDS'nin ayrıntılı açıklaması

• Uzak Masaüstü Bağlantı Aracısı - İstemci aygıtının, masaüstü ve sanal masaüstü oturumlarına dayalı olarak programlara yeniden bağlanmasını sağlar.
• Uzak Masaüstü Ağ Geçidi - Yetkili kullanıcıların bir şirket ağındaki veya İnternet üzerinden sanal masaüstlerine, RemoteApp programlarına ve oturum tabanlı masaüstlerine bağlanmasına izin verir.
• Uzak Masaüstü Lisansı - RDP Lisans Yönetim Aracı
• Uzak Masaüstü Oturum Ana Bilgisayarı - RemoteApp programlarını veya masaüstü tabanlı bir oturumu barındırmak için bir sunucu içerir.
• Uzak Masaüstü Sanallaştırma Ana Bilgisayarı - sanal makinelerde RDP'yi yapılandırmanıza olanak tanır
• Uzak Masaüstü Web Erişimi - Kullanıcıların Başlat menüsünü veya web tarayıcısını kullanarak masaüstü kaynaklarına bağlanmasına izin verir.

Bir terminal lisans sunucusu kurmayı ve yapılandırmayı düşünün. Yukarıda rollerin nasıl kurulacağı açıklanmaktadır, RDS kurulumu diğer rollerin kurulumundan farklı değildir, Rol Servislerinde Uzak Masaüstü Lisansı ve Uzak Masaüstü Oturum Ana Bilgisayarı'nı seçmemiz gerekir. Yüklemeden sonra, Sunucu Yöneticisi-Araçlar'da Terminal Hizmetleri öğesi görünecektir. Terminal Hizmetleri RD Lisans Teşhis Aracı'nda iki öğe vardır; bu, uzak masaüstü lisanslama işleminin tanılanması için bir araçtır ve Uzak Masaüstü Lisans Yöneticisi, bu bir lisans yönetim aracıdır.

RD Lisans Teşhis Aracını Çalıştırın

Burada, RD Oturum Ana Bilgisayarı sunucusu için lisanslama modu ayarlanmadığından henüz kullanılabilir lisans olmadığını görebiliriz. Lisans sunucusu, yerel grup ilkelerinde belirtilir. Düzenleyiciyi başlatmak için gpedit.msc komutunu çalıştırın. Yerel Grup İlkesi Düzenleyicisi açılır. Soldaki ağaçta sekmeleri genişletin:

• Bilgisayar Yapılandırması
• Yönetim Şablonları
• Windows Bileşenleri
• Uzak Masaüstü Hizmetleri
• Uzak Masaüstü Oturum Ana Bilgisayarı
• "Lisanslama" (Lisanslama)

Belirtilen Uzak Masaüstü lisans sunucularını kullan seçeneklerini açın

İlke ayarları düzenleme penceresinde, lisanslama sunucusunu etkinleştirin (Etkin). Ardından, Uzak Masaüstü Hizmetleri için bir lisans sunucusu tanımlamanız gerekir. Benim örneğimde, lisans sunucusu aynı fiziksel sunucuda bulunuyor. Lisans sunucusunun ağ adını veya IP adresini belirtin ve Tamam'a tıklayın. Sunucu adı, lisans sunucusu ileride değişecekse, aynı bölümde değiştirmeniz gerekecektir.

Bundan sonra, RD Licensing Diagnoser'da terminal lisans sunucusunun yapılandırıldığını ancak etkinleştirilmediğini görebilirsiniz. Etkinleştirmek için Uzak Masaüstü Lisans Yöneticisini çalıştırın

Etkin Değil durumundaki lisans sunucusunu seçin. Etkinleştirmek için, üzerine sağ tıklayın ve Sunucuyu Etkinleştir'i seçin. Sunucu Aktivasyon Sihirbazı başlayacaktır. Bağlantı Yöntemi sekmesinde Otomatik Bağlantı'yı seçin. Ardından, lisans sunucusu etkinleştirildikten sonra kuruluşla ilgili bilgileri doldurun.

Active Directory Sertifika Hizmetleri

AD CS, ortak anahtar teknolojilerini kullanan yazılım güvenlik sistemlerinde kullanılan dijital sertifikaların verilmesi ve yönetilmesi için yapılandırılabilir hizmetler sağlar. AD CS tarafından sağlanan dijital sertifikalar, elektronik belgeleri ve mesajları şifrelemek ve dijital olarak imzalamak için kullanılabilir. Bu dijital sertifikalar, ağdaki bilgisayar, kullanıcı ve cihaz hesaplarının kimliğini doğrulamak için kullanılabilir. Dijital sertifikalar şunları sağlamak için kullanılır:

• şifreleme yoluyla gizlilik;
• dijital imzalar aracılığıyla bütünlük;
• sertifika anahtarlarını ağdaki bilgisayar, kullanıcı ve cihaz hesaplarına bağlayarak kimlik doğrulama.

AD CS, bir kullanıcının, cihazın veya hizmetin kimliğini karşılık gelen özel anahtara bağlayarak güvenliği artırmak için kullanılabilir. AD CS tarafından desteklenen uygulamalar arasında güvenli çok amaçlı İnternet Posta Standardı Uzantıları (S/MIME), güvenli kablosuz ağlar, sanal özel ağlar (VPN'ler), IPsec, Şifreleme Dosya Sistemi (EFS), akıllı kartla oturum açma, güvenlik ve taşıma katmanı güvenlik protokolü bulunur (SSL/TLS) ve dijital imzalar.

Aktif Dizin Etki Alanı Hizmetleri

Active Directory Etki Alanı Hizmetleri (AD DS) sunucu rolünü kullanarak, kullanıcıları ve kaynakları yönetmek için ölçeklenebilir, güvenli ve yönetilebilir bir altyapı oluşturabilirsiniz; Microsoft Exchange Server gibi dizin etkin uygulamalar da sağlayabilirsiniz. Active Directory Etki Alanı Hizmetleri, ağ kaynakları ve dizin özellikli uygulama verileri hakkındaki bilgileri depolayan ve yöneten dağıtılmış bir veritabanı sağlar. AD DS'yi çalıştıran sunucuya etki alanı denetleyicisi denir. Yöneticiler, kullanıcılar, bilgisayarlar ve diğer aygıtlar gibi ağ öğelerini hiyerarşik iç içe geçmiş bir yapıda düzenlemek için AD DS'yi kullanabilir. Hiyerarşik iç içe yapı, Active Directory ormanını, ormandaki etki alanlarını ve her etki alanındaki kuruluş birimlerini içerir. Güvenlik özellikleri, dizindeki kaynaklara kimlik doğrulama ve erişim denetimi şeklinde AD DS'ye entegre edilmiştir. Çoklu oturum açma ile yöneticiler ağ üzerinden dizin bilgilerini ve organizasyonu yönetebilir. Yetkili ağ kullanıcıları, ağ üzerinde herhangi bir yerde bulunan kaynaklara erişmek için ağ çoklu oturum açmayı da kullanabilir. Active Directory Etki Alanı Hizmetleri aşağıdaki ek özellikleri sağlar.

• Bir dizi kural, bir dizinde bulunan nesne ve öznitelik sınıflarını, bu nesnelerin örnekleri üzerindeki kısıtlamaları ve sınırları ve adlarının biçimini tanımlayan bir şemadır.
• Katalogdaki her nesne hakkında bilgi içeren genel bir katalog. Kullanıcılar ve yöneticiler, katalogdaki hangi etki alanının aranan verileri gerçekten içerdiğinden bağımsız olarak, katalog verilerini aramak için genel kataloğu kullanabilir.
• Nesnelerin ve özelliklerinin ağ kullanıcıları ve uygulamaları tarafından yayınlanabileceği ve bulunabileceği bir sorgulama ve indeksleme mekanizması.
• Dizin verilerini bir ağ üzerinde dağıtan bir çoğaltma hizmeti. Etki alanındaki tüm yazılabilir etki alanı denetleyicileri çoğaltmaya katılır ve etki alanları için tüm dizin verilerinin eksiksiz bir kopyasını içerir. Dizin verilerinde yapılan herhangi bir değişiklik, etki alanında tüm etki alanı denetleyicilerine çoğaltılır.
• Operasyon yöneticisi rolleri (esnek tek yöneticili işlemler veya FSMO'lar olarak da bilinir). Operasyon yöneticisi olarak hareket eden etki alanı denetleyicileri, veri tutarlılığını sağlamak ve çakışan dizin girişlerini önlemek için özel görevleri gerçekleştirmek üzere tasarlanmıştır.

Active Directory Federasyon Hizmetleri

AD FS, basitleştirilmiş ve güvenli kimlik federasyonu ve çoklu oturum açma (SSO) web hizmetleri ile AD FS güvenli bir kuruluşta, federasyon ortak kuruluşlarında veya bulutta uygulamalara erişmesi gereken son kullanıcılara sağlar. rol hizmeti Federasyon Hizmeti, kimlik sağlayıcı (kullanıcıların AD FS'ye güvenen uygulamalara güvenlik belirteçleri sağlamak için kimliğini doğrular) veya bir federasyon sağlayıcı (diğer kimlik sağlayıcılardan gelen belirteçleri uygular ve ardından AD FS'ye güvenen uygulamalara güvenlik belirteçleri sağlar) olarak hareket eder.

Active Directory Basit Dizin Hizmetleri

Active Directory Basit Dizin Hizmetleri (AD LDS), Active Directory Etki Alanı Hizmetlerinin bağımlılıkları ve etki alanına özgü kısıtlamaları olmaksızın dizin uygulamaları için esnek destek sağlayan bir LDAP protokolüdür. AD LDS, üye veya bağımsız sunucularda çalıştırılabilir. Aynı sunucuda bağımsız olarak yönetilen şemalarla birden fazla AD LDS örneği çalıştırabilirsiniz. AD LDS hizmet rolüyle, etki alanı ve orman hizmeti verilerini kullanmadan ve orman çapında tek bir şema gerektirmeden dizin etkin uygulamalara dizin hizmetleri sağlayabilirsiniz.

Aktif Dizin Hakları Yönetim Hizmetleri

Bilgi Hakları Yönetimi'ni (IRM) kullanarak belgeleri güvenceye alarak kuruluşunuzun güvenlik stratejisini genişletmek için AD RMS'yi kullanabilirsiniz. AD RMS, kullanıcıların ve yöneticilerin IRM ilkelerini kullanarak belgelere, çalışma kitaplarına ve sunumlara erişim izinleri atamasına olanak tanır. Bu, gizli bilgilerin yetkisiz kullanıcılar tarafından yazdırılmasını, iletilmesini veya kopyalanmasını önlemenizi sağlar. Bir dosyanın izinleri IRM kullanılarak kısıtlandığında, dosyanın izni belge dosyasının kendisinde saklandığından, bilginin konumuna bakılmaksızın erişim ve kullanım kısıtlamaları uygulanır. AD RMS ve IRM ile bireysel kullanıcılar, kişisel ve gizli bilgilerin aktarımına ilişkin kendi tercihlerini uygulayabilir. Ayrıca bir kuruluşun hassas ve kişisel bilgilerin kullanımını ve dağıtımını kontrol etmek için kurumsal politikaları uygulamasına yardımcı olurlar. AD RMS tarafından desteklenen IRM çözümleri, aşağıdaki yetenekleri sağlamak için kullanılır.

• Taşınmış, gönderilmiş veya iletilmiş olsun, bilgilerle birlikte kalan kalıcı kullanım ilkeleri.
• Raporlar, ürün özellikleri, müşteri bilgileri ve e-posta mesajları gibi hassas verilerin kasıtlı veya kazara yanlış ellere geçmesini önlemek için ek bir gizlilik katmanı.
• Kısıtlanmış içeriğin yetkili alıcılar tarafından izinsiz olarak gönderilmesini, kopyalanmasını, düzenlenmesini, yazdırılmasını, fakslanmasını veya yapıştırılmasını önleyin.
• Microsoft Windows'daki PRINT SCREEN özelliğini kullanarak kısıtlanmış içeriğin kopyalanmasını önleyin.
• Belge içeriğinin belirli bir süre sonra görüntülenmesini önleyen dosya sona erme desteği.
• Kuruluş içinde içeriğin kullanımını ve dağıtımını yöneten kurumsal politikaları uygulayın

Uygulama sunucusu

Uygulama Sunucusu, özel sunucu tabanlı iş uygulamalarının devreye alınması ve çalıştırılması için entegre bir ortam sağlar.

DHCP Sunucusu

DHCP, DHCP sunucularının DHCP istemcisi olan bilgisayarlara ve diğer cihazlara IP adresleri atamasına veya kiralamasına izin veren bir istemci-sunucu teknolojisidir. ve bu istemciler ve aygıtlar için gereken ek yapılandırma ayarları Windows Server'daki DHCP Sunucusu hizmeti, ilke tabanlı atamalar ve DHCP yerine çalışma desteği içerir.

Dns sunucusu

DNS hizmeti, DNS etki alanı adlarının IP adresleri gibi çeşitli veri türleriyle eşlemelerini içeren hiyerarşik olarak dağıtılmış bir veritabanıdır. DNS hizmeti, TCP/IP tabanlı ağlardaki bilgisayarları ve diğer kaynakları bulmanıza yardımcı olması için www.microsoft.com gibi kolay adlar kullanmanıza olanak tanır. Windows Server'daki DNS hizmeti, ağ kaydı ve otomatikleştirilmiş ayar yönetimi dahil olmak üzere DNS Güvenlik Modülleri (DNSSEC) için daha fazla gelişmiş destek sağlar.

FAKS Sunucusu

Faks Sunucusu, faks gönderir ve alır ve faks sunucunuzdaki işler, ayarlar, raporlar ve faks aygıtları gibi faks kaynaklarını yönetmenize olanak tanır.

Dosya ve Depolama Hizmetleri

Yöneticiler, Dosya ve Depolama Hizmetleri rolünü birden fazla dosya sunucusu ve bunların depolarını ayarlamak ve bu sunucuları Sunucu Yöneticisi veya Windows PowerShell kullanarak yönetmek için kullanabilir. Bazı özel uygulamalar aşağıdaki özellikleri içerir.

• çalışan klasörler Kullanıcıların iş dosyalarını kişisel bilgisayarlarda ve şirket bilgisayarları dışındaki cihazlarda depolamasına ve bunlara erişmesine izin vermek için kullanın. Kullanıcılar, iş dosyalarını depolamak ve bunlara her yerden erişmek için uygun bir yere sahip olur. Kuruluşlar, dosyaları merkezi olarak yönetilen dosya sunucularında depolayarak ve isteğe bağlı olarak kullanıcı cihaz politikaları (şifreleme ve ekran kilidi parolaları gibi) belirleyerek kurumsal verileri kontrol eder.
• Veri tekilleştirme. Dosyaları depolamak için disk alanı gereksinimlerini azaltmak ve depolama alanından tasarruf etmek için kullanın.
• iSCSI hedef sunucusu. Depolama alanı ağlarında (SAN'lar) merkezi, yazılım ve aygıttan bağımsız iSCSI disk alt sistemleri oluşturmak için kullanın.
• Disk boşlukları. Uygun maliyetli, endüstri standardı sürücülerle yüksek oranda kullanılabilir, dayanıklı ve ölçeklenebilir depolamayı devreye almak için kullanın.
• Sunucu Yöneticisi. Birden çok dosya sunucusunu tek bir pencereden uzaktan yönetmek için kullanın.
• Windows PowerShell'i. Çoğu dosya sunucusu yönetim görevinin yönetimini otomatikleştirmek için kullanın.

Hyper-V

Hyper-V rolü, Windows Server'da yerleşik sanallaştırma teknolojisini kullanarak sanallaştırılmış bir bilgi işlem ortamı oluşturmanıza ve yönetmenize olanak tanır. Hyper-V rolünü yüklemek, ön koşulları ve isteğe bağlı yönetim araçlarını yükler. Önkoşullar arasında Windows hypervisor, Hyper-V Virtual Machine Management Service, WMI sanallaştırma sağlayıcısı ve VMbus, Virtualization Service Provider (VSP) ve Virtual Infrastructure Driver (VID) gibi sanallaştırma bileşenleri yer alır.

Ağ Politikası ve Erişim Hizmetleri

Ağ İlkesi ve Erişim Hizmetleri aşağıdaki ağ bağlantısı çözümlerini sağlar:

• Ağ Erişim Koruması, müşteri sağlığı ilkeleri oluşturmaya, uygulamaya ve düzeltmeye yönelik bir teknolojidir. Ağ Erişim Koruması ile sistem yöneticileri, yazılım, güvenlik güncellemeleri ve diğer ayarlar için gereksinimleri içeren sağlık ilkelerini ayarlayabilir ve otomatik olarak uygulayabilir. Sistem durumu ilkesine uymayan istemci bilgisayarlar için, yapılandırmaları ilkenin gereksinimlerine uyacak şekilde güncellenene kadar ağa erişimi kısıtlayabilirsiniz.
• 802.1X etkin kablosuz erişim noktaları dağıtılırsa, parola tabanlı kimlik doğrulamadan daha güvenli olan sertifika tabanlı kimlik doğrulama yöntemlerini dağıtmak için Ağ İlkesi Sunucusu'nu (NPS) kullanabilirsiniz. 802.1X özellikli donanımın bir NPS sunucusuyla dağıtılması, intranet kullanıcılarının ağa bağlanmadan veya bir DHCP sunucusundan IP adresi almadan önce kimliklerinin doğrulanmasına olanak tanır.
• Her ağ erişim sunucusunda bir ağ erişim ilkesi yapılandırmak yerine, ağ bağlantısı isteklerinin tüm yönlerini (kim bağlanabilir, bir bağlantıya izin verildiğinde, ağa bağlanmak için kullanılması gereken güvenlik düzeyi) tanımlayan tüm ilkeleri merkezi olarak oluşturabilirsiniz. ).

Baskı ve Doküman Hizmetleri

Yazdırma ve Belge Hizmetleri, yazdırma sunucusu ve ağ yazıcısı görevlerini merkezileştirmenizi sağlar. Bu rol ayrıca ağ tarayıcılarından taranan belgeleri almanıza ve belgeleri ağ paylaşımlarına - bir Windows SharePoint Services sitesine veya e-posta yoluyla yüklemenize olanak tanır.

uzaktan erişim

Uzaktan Erişim Sunucusu rolü, aşağıdaki ağ erişim teknolojilerinin mantıksal bir gruplandırmasıdır.

• Doğrudan Erişim
• Yönlendirme ve uzaktan erişim
• Web Uygulama Proxy'si

Bu teknolojiler rol hizmetleri uzaktan erişim sunucusu rolü. Uzaktan Erişim Sunucusu rolünü yüklediğinizde, Rol ve Özellik Ekleme Sihirbazını çalıştırarak bir veya daha fazla rol hizmeti yükleyebilirsiniz.

Windows Server'da Uzaktan Erişim Sunucusu rolü, Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) uzaktan erişim hizmetleriyle DirectAccess ve VPN'yi merkezi olarak yönetme, yapılandırma ve izleme yeteneği sağlar. DirectAccess ve RRAS, aynı Uç Sunucuya dağıtılabilir ve Windows PowerShell komutları ve Uzaktan Erişim Yönetim Konsolu (MMC) kullanılarak yönetilebilir.

Uzak Masaüstü Hizmetleri

Uzak Masaüstü Hizmetleri, masaüstlerinin ve uygulamaların herhangi bir cihaza dağıtımını hızlandırıp genişleterek, kritik fikri mülkiyeti güvence altına alırken ve uyumluluğu basitleştirirken uzak çalışanı daha verimli hale getirir. Uzak Masaüstü Hizmetleri, kullanıcılara her yerden çalışma yeteneği sağlayan Sanal Masaüstü Altyapısı (VDI), oturum tabanlı masaüstleri ve uygulamaları içerir.

Toplu Aktivasyon Hizmetleri

Toplu Lisans Etkinleştirme Hizmetleri, çeşitli senaryolar ve ortamlarda Microsoft yazılımları için toplu lisansların verilmesini ve yönetimini otomatikleştiren ve basitleştiren, Windows Server 2012 ile başlayan bir Windows Server sunucu rolüdür. Toplu Lisans Aktivasyon Hizmetleri ile birlikte, Anahtar Yönetim Hizmeti (KMS) ve Active Directory aktivasyonunu kurabilir ve yapılandırabilirsiniz.

Web Sunucusu (IIS)

Windows Server'daki Web Sunucusu (IIS) rolü, Web sitelerini, hizmetleri ve uygulamaları barındırmak için bir platform sağlar. Bir web sunucusunun kullanılması, kullanıcılara İnternet, intranet ve extranet üzerindeki bilgilere erişim sağlar. Yöneticiler, birden çok web sitesi, web uygulaması ve FTP sitesi kurmak ve yönetmek için Web Sunucusu (IIS) rolünü kullanabilir. Özel özellikler aşağıdakileri içerir.

• IIS bileşenlerini yapılandırmak ve web sitelerini yönetmek için İnternet Bilgi Hizmetleri (IIS) Yöneticisini kullanın.
• Web sitesi sahiplerinin dosya yüklemesine ve indirmesine izin vermek için FTP protokolünü kullanma.
• Sunucudaki bir web sitesinin diğerlerini etkilemesini önlemek için web sitesi yalıtımını kullanma.
• Klasik ASP, ASP.NET ve PHP gibi çeşitli teknolojiler kullanılarak geliştirilen web uygulamalarının özelleştirilmesi.
• Çoğu web sunucusu yönetim görevini otomatik olarak yönetmek için Windows PowerShell'i kullanın.
• Birden çok web sunucusunu, IIS kullanılarak yönetilebilen bir sunucu grubunda birleştirin.

Windows Dağıtım Hizmetleri

Windows Dağıtım Hizmetleri, Windows işletim sistemlerini bir ağ üzerinden dağıtmanıza olanak tanır; bu, her işletim sistemini doğrudan bir CD veya DVD'den yüklemeniz gerekmediği anlamına gelir.

Windows Server Essentials Deneyimi

Bu rol, aşağıdaki görevleri gerçekleştirmenizi sağlar:

• sunucuyu ve ağdaki tüm istemci bilgisayarları yedekleyerek sunucu ve istemci verilerini koruyun;
• basitleştirilmiş bir sunucu panosundan kullanıcıları ve kullanıcı gruplarını yönetin. Ayrıca, Windows Azure Active Directory* ile entegrasyon, kullanıcıların etki alanı kimlik bilgilerini kullanarak çevrimiçi Microsoft Çevrimiçi Hizmetlerine (Office 365, Exchange Online ve SharePoint Online gibi) kolay erişim sağlar;
• şirket verilerini merkezi bir yerde saklayın;
• sunucuyu Microsoft Online Services (Office 365, Exchange Online, SharePoint Online ve Windows Intune gibi) ile entegre edin:
• sunucuya, ağ bilgisayarlarına ve yüksek düzeyde güvenli uzak konumlardan gelen verilere erişmek için sunucudaki her yerde bulunan erişim özelliklerini (uzak web erişimi ve sanal özel ağlar gibi) kullanın;
• kuruluşun kendi web portalını kullanarak (uzak web erişimi yoluyla) verilere her yerden ve herhangi bir cihazdan erişin;
• Active Sync protokolü aracılığıyla Office 365 ile kuruluşunuzun e-postasına panodan erişen mobil cihazları yönetin;
• ağ sağlığını izleyin ve özelleştirilebilir sağlık raporları alın; raporlar talep üzerine oluşturulabilir, özelleştirilebilir ve belirli alıcılara e-posta ile gönderilebilir.

Windows Sunucu Güncelleme Hizmetleri

WSUS sunucusu, yöneticilerin güncellemeleri yönetim konsolu aracılığıyla yönetmesi ve dağıtması için ihtiyaç duyduğu bileşenleri sağlar. Ayrıca WSUS sunucusu, kuruluştaki diğer WSUS sunucuları için güncelleme kaynağı olabilir. WSUS'yi uygularken, mevcut güncellemeler hakkında bilgi almak için ağdaki en az bir WSUS sunucusunun Microsoft Update'e bağlı olması gerekir. Ağın güvenliğine ve yapılandırmasına bağlı olarak bir yönetici, kaç sunucunun doğrudan Microsoft Update'e bağlı olduğunu belirleyebilir.

giriiş

İşletmedeki bilgisayar sayısındaki artışla birlikte, yönetim ve bakım maliyeti sorunu giderek daha şiddetli hale geliyor. Bilgisayarların manuel olarak yapılandırılması personelin çok zamanını alır ve bilgisayar sayısındaki artışla birlikte onlara hizmet veren personeli de artırmaya zorlar. Ayrıca çok sayıda makine ile işletmenin benimsediği standartlara uygunluğun izlenmesi giderek zorlaşmaktadır. Grup İlkesi (Grup İlkesi), bir Active Directory etki alanında Windows 2000 ve sonraki sürümleri çalıştıran bilgisayarların merkezi yönetimi için kapsamlı bir araçtır. Grup ilkeleri, Windows NT4/9x çalıştıran bilgisayarlara uygulanmaz: Bunlar, bu makalede ele alınmayacak olan Sistem İlkesi tarafından denetlenir.

GPO'lar

Grup İlkeleri içinde oluşturduğunuz tüm ayarlar, Grup İlkesi Nesnelerinde (GPO'lar) saklanır. GPO'lar iki türdendir: yerel GPO ve Active Directory GPO'ları. Yerel GPO, Windows 2000 ve sonraki sürümleri çalıştıran bilgisayarlarda kullanılabilir. Yalnızca bir tane olabilir ve etki alanı olmayan bir makinede bulunabilen tek GPO'dur.

Grup İlkesi Nesnesi, Active Directory veritabanındaki (yerel bir nesne değilse) ayarlarınızı depolayan ve Grup İlkelerini kullanarak başka hangi ayarları değiştirebileceğinizi belirleyen bir dizi dosya, dizin ve giriş için genel bir addır. Bir ilke oluşturarak, aslında bir GPO oluşturuyor ve değiştiriyorsunuz. Yerel GPO, %SystemRoot%\System32\GroupPolicy konumunda depolanır. Active Directory GPO'ları bir etki alanı denetleyicisinde depolanır ve bir site, etki alanı veya OU (Kuruluş Birimi, kuruluş birimi veya kuruluş birimi) ile ilişkilendirilebilir. Bir nesnenin bağlaması, kapsamını tanımlar. Varsayılan olarak, bir etki alanında iki GPO oluşturulur: Varsayılan Etki Alanı İlkesi ve Varsayılan Etki Alanı Denetleyici İlkesi. İlki, etki alanındaki parolalar ve hesaplar için varsayılan ilkeyi tanımlar. İkincisi, OU Etki Alanı Denetleyicileri ile iletişim kurar ve etki alanı denetleyicileri için güvenlik ayarlarını artırır.

GPO oluştur

İlke oluşturmak (yani aslında yeni bir GPO oluşturmak) için, Active Directory Kullanıcıları ve Bilgisayarları'nı açın ve yeni nesnenin nerede oluşturulacağını seçin. Yalnızca bir GPO oluşturabilir ve bir siteye, etki alanına veya OU nesnesine bağlayabilirsiniz.

Pirinç. 1. Bir GPO oluşturun.

Bir GPO oluşturmak ve onu örneğin OU test cihazlarına bağlamak için bu OU'ya sağ tıklayın ve içerik menüsünden özellikleri seçin. Açılan özellikler penceresinde Grup İlkesi sekmesini açın ve Yeni'ye tıklayın.

Pirinç. 2. Bir GPO oluşturun.

Adı GP nesnesine veriyoruz, ardından nesne oluşturuluyor ve politikayı yapılandırmaya başlayabilirsiniz. Oluşturulan nesneye çift tıklayın veya Düzenle düğmesine basın, nesnenin belirli parametrelerini yapılandırabileceğiniz GPO düzenleyici penceresi açılacaktır.

Pirinç. 3. Genişletilmiş sekmesindeki ayarların açıklaması.

Ana ayarların çoğu sezgiseldir (Genişletilmiş sekmesini açarsanız bir açıklamaları da vardır) ve her biri üzerinde ayrıntılı olarak durmayacağız. Olarak Şekil l'de görülebilir. 3'te, GPO iki bölümden oluşur: Bilgisayar Yapılandırması ve Kullanıcı Yapılandırması. İlk bölümdeki ayarlar, bu kapsayıcıdaki ve altındaki bilgisayarlara Windows önyükleme sırasında uygulanır (devralma geçersiz kılınmadıkça) ve hangi kullanıcının oturum açtığından bağımsızdır. İkinci bölümün ayarları, kullanıcı girişi sırasında uygulanır.

GPO uygulama sırası

Bilgisayar başladığında, aşağıdaki işlemler gerçekleşir:

1. Kayıt defteri okunur ve bilgisayarın hangi siteye ait olduğu belirlenir. Bu sitede yer alan etki alanı denetleyicilerinin IP adreslerini elde etmek için DNS sunucusuna bir sorgulama yapılır.
2. Adresleri alan bilgisayar, etki alanı denetleyicisine bağlanır.
3. İstemci, etki alanı denetleyicisinden GP nesnelerinin bir listesini ister ve bunları uygular. İkincisi, uygulanmaları gereken sırada GP nesnelerinin bir listesini gönderir.
4. Kullanıcı oturum açtığında, bilgisayar tekrar kullanıcıya uygulanacak GP nesnelerinin bir listesini ister, alır ve uygular.

Grup ilkeleri, OC önyüklendiğinde ve kullanıcı oturum açtığında uygulanır. Daha sonra, aynı anda çok sayıda istemci istekte bulunuyorsa, etki alanı denetleyicisinin aşırı yüklenmesini önlemek için 30 dakikalık bir değişiklikle her 90 dakikada bir uygulanırlar. Etki alanı denetleyicileri için güncelleme aralığı 5 dakikadır. Bu davranışı Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\Grup İlkesi'nde değiştirebilirsiniz. Bir GPO yalnızca Bilgisayar ve Kullanıcı nesneleri üzerinde işlem yapabilir. İlke yalnızca GPO'nun ilişkilendirildiği dizin nesnesinde (site, etki alanı, kuruluş birimi) ve ağacın daha aşağısında bulunan nesneler için geçerlidir (kalıtım devre dışı bırakılmadığı sürece). Örneğin: OU test cihazlarında bir GPO oluşturulur (yukarıda yaptığımız gibi).

Pirinç. 4. Ayarların devralınması.

Bu GPO'da yapılan tüm ayarlar, yalnızca OU test edicilerinde ve OU InTester'larında bulunan kullanıcıları ve bilgisayarları etkileyecektir. Bir örnek kullanarak politikaların nasıl uygulandığına bir göz atalım. OU test cihazlarında bulunan kullanıcı testi, OU bileşeninde bulunan bilgisayar kompozisyonunda oturum açar (bkz. Şekil 5).

Pirinç. 5. Politikaların uygulanma sırası.

Etki alanında dört GPO vardır:

1. Site kapsayıcısı ile ilişkili SitePolicy;
2. Etki alanı kapsayıcısı ile ilişkili Varsayılan Etki Alanı Politikası;
3. OU test edicileriyle ilişkili Policy1;
4. OU compOU ile ilişkili Policy2.

Windows'u bir bilgisayar iş istasyonunda önyüklerken, Bilgisayar Yapılandırması bölümlerinde tanımlanan ayarlar şu sırayla uygulanır:

1. Yerel GPO ayarları;
2. GPO SitePolicy ayarları;

4. GPO Policy2 ayarları.

Test kullanıcısı bilgisayar bilgisayarında oturum açtığında, Kullanıcı Yapılandırması bölümlerinde tanımlanan parametreler şunlardır:

1. Yerel GPO ayarları;
2. GPO SitePolicy ayarları;
3. GPO Varsayılan Etki Alanı İlkesi ayarları;
4. GPO Policy1 ayarları.

Yani, GPO'lar şu sırayla uygulanır: yerel ilkeler, site düzeyindeki ilkeler, etki alanı düzeyindeki ilkeler, OU düzeyindeki ilkeler.

Grup ilkeleri, Windows XP istemcilerine eşzamansız olarak ve Windows 2000 istemcilerine eşzamanlı olarak uygulanır, yani kullanıcı oturum açma ekranı yalnızca tüm bilgisayar ilkeleri uygulandıktan sonra görünür ve kullanıcı ilkeleri masaüstü görünmeden önce uygulanır. Eşzamansız ilke uygulaması, kullanıcının oturum açma ekranının bilgisayarın tüm ilkeleri uygulanmadan önce ve masaüstünün tüm kullanıcı ilkeleri uygulanmadan önce görünmesi anlamına gelir, bu da daha hızlı kullanıcı yükleme ve oturum açma sağlar.
Yukarıda açıklanan davranış iki durumda değişir. İlk olarak, istemci bilgisayar yavaş bir ağ bağlantısı algıladı. Varsayılan olarak, bu durumda yalnızca güvenlik ayarları ve yönetim şablonları uygulanır. 500 Kb/sn'den daha az bant genişliğine sahip bir bağlantının yavaş olduğu kabul edilir. Bu değeri Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\Grup İlkesi\Grup İlkesi yavaş bağlantı algılama bölümünden değiştirebilirsiniz. Ayrıca Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\Grup İlkesi bölümünde, diğer bazı ilke ayarlarını da yavaş bir bağlantı üzerinden işlenecek şekilde yapılandırabilirsiniz. İlkelerin uygulanma sırasını değiştirmenin ikinci yolu, Kullanıcı Grubu ilkesi geri döngü işleme seçeneğidir. Bu seçenek, varsayılan ilkelerin uygulanma sırasını değiştirir, kullanıcı ilkeleri bilgisayar ilkelerinden sonra uygulanır ve ikincisini geçersiz kılar. Geridöngü seçeneğini, bilgisayar ilkelerinin kullanıcı ilkelerinden sonra uygulanmasını sağlayacak şekilde ayarlayabilir ve bilgisayar ilkeleriyle çakışan tüm kullanıcı ilkelerinin üzerine yazabilirsiniz. Geridöngü parametresinin 2 modu vardır:

1. Birleştir (bağlanmak için) - önce bilgisayar ilkesi uygulanır, ardından kullanıcı ve tekrar bilgisayar. Bu durumda bilgisayar ilkesi, kullanıcı ilkesinin kendisiyle çelişen ayarlarını kendisininkiyle değiştirir.
2. Değiştir (değiştir) - kullanıcı politikası işlenmez.

Kullanıcı Grubu ilkesi geri döngü işleme ayarının, örneğin, hangi kullanıcının kullandığından bağımsız olarak aynı sınırlı ayarlara sahip olmanız gereken ortak bir bilgisayarda kullanımını göstermek için.

Öncelik, Kalıtım ve Çatışma Çözümü

Fark ettiğiniz gibi, tüm seviyelerde GPO'lar aynı ayarları içerir ve aynı ayar birkaç seviyede farklı şekilde tanımlanabilir. Bu durumda, son uygulanan değer etkin değer olacaktır (GPO'ların uygulanma sırası yukarıda tartışılmıştır). Bu kural, yapılandırılmamış olarak tanımlananlar dışındaki tüm ayarlar için geçerlidir. Bu ayarlar için Windows herhangi bir işlem yapmaz. Ancak bir istisna vardır: tüm hesap ve parola ayarları yalnızca etki alanı düzeyinde tanımlanabilir, diğer düzeylerde bu ayarlar dikkate alınmaz.

Pirinç. 6. Active Directory Kullanıcıları ve Bilgisayarları.

Aynı seviyede birden fazla GPO varsa, bunlar aşağıdan yukarıya doğru uygulanır. İlke nesnesinin listedeki konumunu değiştirerek (Yukarı ve Aşağı düğmelerini kullanarak), istediğiniz uygulama sırasını seçebilirsiniz.

Pirinç. 7. Politikaların uygulanma sırası.

Bazen belirli bir OU'nun yukarı akış kapsayıcılarıyla ilişkili GPO'lardan ilke ayarları almamasını istersiniz. Bu durumda, İlke devralmayı Engelle onay kutusunu işaretleyerek ilke devralmayı devre dışı bırakmanız gerekir. Devralınan tüm ilke ayarları engellenir ve bireysel ayarları engellemenin bir yolu yoktur. Parola ilkesini ve hesap ilkesini tanımlayan etki alanı düzeyindeki ayarlar kilitlenemez.

Pirinç. 9. Engelleme ilkesi devralma.

Belirli bir GPO'daki belirli ayarların üzerine yazılmamasını istiyorsanız, istediğiniz GPO'yu seçin, Seçenekler düğmesine basın ve Geçersiz Kılma Yok'u seçin. Bu seçenek, ilke devralmanın engellendiği yerlerde GPO ayarlarının uygulanmasını zorunlu kılar. GPO'nun kendisinde değil, dizin nesnesiyle ilişkilendirildiği konumda Geçersiz Kılma ayarlanmamıştır. GPO bir etki alanındaki birden çok kapsayıcıya bağlıysa, bu ayar bağlantıların geri kalanı için otomatik olarak yapılandırılmaz. Aynı düzeyde birden çok bağlantı için Geçersiz Kılma Yok ayarı yapılandırılırsa, listenin en üstündeki GPO ayarları öncelikli olacaktır (ve etkili olacaktır). Farklı düzeylerde birden fazla GPO için Geçersiz Kılma Yok ayarları yapılandırılırsa, dizin hiyerarşisinde daha yüksek olan GPO ayarları geçerli olacaktır. Yani, Geçersiz kılma yok ayarları bir GPO'yu bir etki alanı nesnesine ve bir GPO'yu bir OU'ya bağlayacak şekilde yapılandırılmışsa, etki alanı düzeyinde tanımlanan ayarlar geçerli olacaktır. Devre Dışı onay kutusu, bu GPO'nun bu kapsayıcı üzerindeki etkisini iptal eder.

Pirinç. 10. Seçenekler Geçersiz Kılma Yok ve Devre Dışı.

Yukarıda bahsedildiği gibi, politikalar yalnızca kullanıcıları ve bilgisayarları etkiler. Sıklıkla şu soru ortaya çıkar: "Belirli bir politikanın, belirli bir güvenlik grubuna dahil olan tüm kullanıcıları etkilemesi nasıl sağlanır?". Bunu yapmak için, GPO bir etki alanı nesnesine (veya istenen gruptaki tüm kullanıcı nesnelerinin bulunduğu kapların veya OU'nun üzerinde bulunan herhangi bir kapsayıcıya) bağlanır ve erişim ayarları yapılandırılır. Özellikler'e tıklayın, Güvenlik sekmesinde, Kimliği Doğrulanmış Kullanıcılar grubunu silin ve Grup İlkesini Oku ve Uygula haklarına sahip gerekli grubu ekleyin.

Kullanıcının bilgisayarını etkileyen ayarların belirlenmesi

Nihai yapılandırmayı belirlemek ve sorunları belirlemek için belirli bir kullanıcı veya bilgisayar için hangi ilke ayarlarının geçerli olduğunu bilmeniz gerekir. Bunu yapmak için, İlke Sonuç Kümesi (sonuçta ortaya çıkan ilke kümesi, RSoP) aracı vardır. RSoP hem kayıt modunda hem de planlama modunda çalışabilir. RSoP'yi çağırmak için kullanıcı veya bilgisayar nesnesine sağ tıklayın ve Tüm Görevler'i seçin.

Pirinç. 11. İlke Sonuç Kümesi aracını çağırma.

Başlattıktan sonra (günlük modunda), sonuç kümesini hangi bilgisayar ve kullanıcı için tanımlayacağınız sorulacak ve hangi GPO'nun hangi ayarı uyguladığını gösteren bir sonuç ayarları penceresi görünecektir.

Pirinç. 12. Sonuç İlkesi Kümesi.

Diğer Grup İlkesi Yönetim Araçları

GPResult, bazı RSoP işlevlerini sağlayan bir komut satırı aracıdır. GPResult, Windows XP ve Windows Server 2003 çalıştıran tüm bilgisayarlarda varsayılan olarak mevcuttur.

GPUpdate, hem yerel hem de Active Directory tabanlı grup politikalarının uygulanmasını zorlar. Windows XP/2003'te, Windows 2000 için secedit aracındaki /refreshpolicy seçeneğinin yerini almıştır.

/? tuşuyla çalıştırdığınızda, komut sözdiziminin bir açıklaması mevcuttur.

Bir sonuç yerine

Bu makale, grup ilkeleriyle çalışmanın tüm yönlerini açıklamayı amaçlamaz, deneyimli sistem yöneticilerini hedeflemez. Bence yukarıdakilerin tümü, politikacılarla çalışmanın temel ilkelerini, onlarla hiç çalışmamış veya yeni yeni öğrenmeye başlayanlar için anlamaya ancak bir şekilde yardımcı olmalıdır.

GPResult Yardımcı Programı.exe– Active Directory etki alanındaki bir bilgisayara ve/veya kullanıcıya uygulanan ayarları analiz etmek ve grup ilkelerini tanılamak için tasarlanmış bir konsol uygulamasıdır. GPResult özellikle, sonuçtaki ilke kümesinden (Resultant Set of Policy, RSOP), uygulanan etki alanı ilkelerinin (GPO'lar), ayarlarından ve işleme hatalarıyla ilgili ayrıntılı bilgilerden veri almanıza olanak tanır. Yardımcı program, Windows XP günlerinden beri Windows işletim sisteminin bir parçası olmuştur. GPResult yardımcı programı, belirli bir ilkenin bir bilgisayar için geçerli olup olmadığı, hangi GPO'nun belirli bir Windows ayarını değiştirdiği gibi soruları yanıtlamanıza ve nedenlerini anlamanıza olanak tanır.

Bu makalede, bir Active Directory etki alanındaki grup ilkeleri uygulamasında tanılama yapmak ve hata ayıklamak için GPResult komutunu kullanmanın ayrıntılarına bakacağız.

Başlangıçta, Windows'ta grup politikalarının uygulanmasını teşhis etmek için, bilgisayara ve kullanıcıya uygulanan sonuçtaki politikaların (etki alanı + yerel) ayarlarının benzer bir grafik biçimde elde edilmesini mümkün kılan RSOP.msc grafik konsolu kullanıldı. GPO editör konsolu (aşağıda, RSOP.msc konsol görünümü örneğinde, güncelleme ayarlarının yapıldığını görebilirsiniz).

Ancak, Windows'un modern sürümlerinde RSOP.msc konsolunun kullanımı pratik değildir, çünkü GPP (Grup İlkesi Tercihleri) gibi çeşitli istemci tarafı uzantıları (CSE) tarafından uygulanan ayarları yansıtmaz, aramaya izin vermez, çok az teşhis bilgisi sağlar. Bu nedenle, şu anda Windows'ta GPO kullanımını teşhis etmek için ana araç GPResult komutudur (Windows 10'da, GPResult'tan farklı olarak RSOP'un tam bir rapor vermediğine dair bir uyarı bile vardır).

GPResult.exe yardımcı programını kullanma

GPResult komutu, grup ilkelerinin uygulanmasını test etmek istediğiniz bilgisayarda çalıştırılır. GPResult komutu aşağıdaki sözdizimine sahiptir:

GPRESULT ]] [(/X | /H) ]

Belirli bir AD nesnesine (kullanıcı ve bilgisayar) uygulanan grup ilkeleri ve GPO altyapısıyla ilgili diğer ayarlar (yani sonuçta ortaya çıkan GPO ilkesi ayarları - RsoP) hakkında ayrıntılı bilgi almak için şu komutu çalıştırın:

Komut yürütmenin sonuçları 2 bölüme ayrılmıştır:

• BİLGİSAYAR AYARLAR (Bilgisayar Yapılandırması) – bölüm, bilgisayarı etkileyen (bir Active Directory nesnesi olarak) GPO nesneleri hakkında bilgi içerir;
• KULLANICI AYARLAR – ilkelerin kullanıcı bölümü (AD'deki bir kullanıcı hesabına uygulanan ilkeler).

GPResult çıktısında ilgimizi çekebilecek ana parametrelere/bölümlere kısaca göz atalım:

• alanİsim(Site adı:) - bilgisayarın bulunduğu AD sitesinin adı;
• CN– kendisi için RSoP verilerinin oluşturulduğu tam standart kullanıcı/bilgisayar;
• SonzamangrupPolitikaöyleydiuygulamalı(Son uygulanan grup ilkesi) - grup ilkelerinin en son uygulandığı zaman;
• grupPolitikaöyleydiuygulamalıitibaren(Grup İlkesi uygulandı) - GPO'nun en son sürümünün yüklendiği etki alanı denetleyicisi;
• ihtisasİsimve Etki Alanıtip(Alan adı, etki alanı türü) – Active Directory etki alanı şema adı ve sürümü;
• UygulamalıgrupPolitikanesneler(Uygulanan GPO'lar)– etkin grup ilkesi nesnelerinin listeleri;
• butakip etmeGPO'larvardıOlumsuzuygulamalıÇünküOnlarvardıfiltrelenmişdışarı(Aşağıdaki GPO ilkeleri, filtrelendikleri için uygulanmadı) - uygulanmayan (filtrelenen) GPO'lar;
• bukullanıcı/bilgisayardır-dirAparçaile ilgilithetakip etmegüvenlikgruplar(Kullanıcı/bilgisayar aşağıdaki güvenlik gruplarının üyesidir) – Kullanıcının üyesi olduğu etki alanı grupları.

Örneğimizde, kullanıcı nesnesinin 4 grup ilkesinden etkilendiğini görebilirsiniz.

• Varsayılan Etki Alanı Politikası;
• Windows Güvenlik Duvarını etkinleştirin;
• DNS Soneki Arama Listesi

Konsolun hem kullanıcı politikaları hem de bilgisayar politikaları ile ilgili bilgileri aynı anda göstermesini istemiyorsanız /scope seçeneğini kullanarak sadece ilgilendiğiniz bölümü görüntüleyebilirsiniz. Yalnızca ortaya çıkan kullanıcı politikaları:

gpresult /r /kapsam:kullanıcı

veya yalnızca uygulanan bilgisayar politikaları:

gpresult /r /kapsam:bilgisayar

Çünkü Gpresult yardımcı programı, verilerini doğrudan sonraki analiz için her zaman uygun olmayan komut satırı konsoluna verir; çıktısı panoya yönlendirilebilir:

gresult /r |klip

veya metin dosyası:

gpresult /r > c:\gpresult.txt

Son derece ayrıntılı RSOP bilgilerini görüntülemek için /z anahtarını ekleyin.

GPResult kullanan HTML RSOP raporu

Ek olarak, GPResult yardımcı programı, uygulanan sonuç ilkeleri hakkında bir HTML raporu oluşturabilir (Windows 7 ve sonrasında mevcuttur). Bu rapor, grup ilkeleri tarafından ayarlanan tüm sistem ayarları ve bunları ayarlayan belirli GPO'ların adları hakkında ayrıntılı bilgiler içerecektir (yapıyla ilgili sonuç raporu, Etki Alanı Grup İlkesi Yönetim Konsolu - GPMC'deki Ayarlar sekmesine benzer). Şu komutu kullanarak bir HTML GPResult raporu oluşturabilirsiniz:

GPResult /h c:\gp-report\report.html /f

Bir rapor oluşturmak ve raporu otomatik olarak bir tarayıcıda açmak için şu komutu çalıştırın:

GPResult /h GPResult.html & GPResult.html

gpresult HTML raporu pek çok yararlı bilgi içerir: GPO uygulama hataları, işlem süresi (ms cinsinden) ve belirli ilkelerin uygulanması ve CSE (Bilgisayar Ayrıntıları -> Bileşen Durumu bölümünde) görülebilir. Örneğin, yukarıdaki ekran görüntüsünde, Varsayılan Etki Alanı Politikası (Kazanan GPO sütunu) tarafından 24 parola hatırlama ayarlarına sahip ilkenin uygulandığını görebilirsiniz. Gördüğünüz gibi, böyle bir HTML raporu, uygulanan politikaları analiz etmek için rsop.msc konsolundan çok daha uygundur.

Uzak bir bilgisayardan GPResult verilerini alma

GPResult ayrıca uzak bir bilgisayardan veri toplayabilir ve bir yöneticinin yerel olarak oturum açma veya uzak bir bilgisayarda RDP oluşturma ihtiyacını ortadan kaldırır. Uzak bir bilgisayardan RSOP verilerini toplamak için komut formatı aşağıdaki gibidir:

GPResult /s sunucu-ts1 /r

Benzer şekilde, hem kullanıcı politikalarından hem de bilgisayar politikalarından verileri uzaktan toplayabilirsiniz.

kullanıcı adı RSOP verisine sahip değil

UAC etkinken GPResult'u yükseltilmiş ayrıcalıklar olmadan çalıştırmak, yalnızca Grup İlkesi'nin özel bölümü için ayarları görüntüler. Her iki bölümü de (KULLANICI AYARLARI ve BİLGİSAYAR AYARLARI) aynı anda görüntülemeniz gerekiyorsa, komut çalıştırılmalıdır. Yükseltilmiş komut istemi geçerli kullanıcıdan başka bir sistemdeyse, yardımcı program bir uyarı verir. BİLGİ:kullanıcı"ihtisas\ kullanıcı"yapmakOlumsuzsahip olmakRSOPveri ('etki alanı\kullanıcı' kullanıcısının RSOP verisi yok). Bunun nedeni, GPResult'un onu çalıştıran kullanıcı için bilgi toplamaya çalışmasıdır. Bu kullanıcı sistemde oturum açmamıştır ve bu kullanıcı için hiçbir RSOP bilgisi mevcut değildir. Aktif oturumu olan bir kullanıcının RSOP bilgilerini toplamak için hesabını belirtmeniz gerekir:

gpresult /r /kullanıcı:tn\edward

Uzak bilgisayarda oturum açmış olan hesabın adını bilmiyorsanız, hesabı şu şekilde alabilirsiniz:

qwinsta /SUNUCU: uzakPC1

Ayrıca istemcideki saat(ler)i de kontrol edin. Saat, PDC'deki (Birincil Etki Alanı Denetleyicisi) saatle eşleşmelidir.

Aşağıdaki GPO politikaları, filtrelendikleri için uygulanmadı

Grup ilkelerini giderirken, şu bölüme de dikkat etmelisiniz: Aşağıdaki GPO'lar filtrelendikleri için uygulanmadı (Aşağıdaki GPO ilkeleri, filtrelendikleri için uygulanmadı). Bu bölüm, şu veya bu nedenle bu nesne için geçerli olmayan GPO'ların bir listesini görüntüler. Politikanın geçerli olmayabileceği olası seçenekler:

Etkin İzinler sekmesinde (Gelişmiş -> Etkin Erişim) ilkenin belirli bir AD nesnesine uygulanması gerekip gerekmediğini de anlayabilirsiniz.

Bu nedenle, bu makalede, GPResult yardımcı programını kullanarak grup ilkeleri uygulamasının tanılama özelliklerini inceledik ve kullanımı için tipik senaryoları inceledik.

Windows Server işletim sistemindeki işlevsellik hesaplanır ve sürümden sürüme geliştirilir, giderek daha fazla rol ve bileşen vardır, bu nedenle bugünün makalesinde kısaca açıklamaya çalışacağım Windows Server 2016'daki her rolün tanımı ve amacı.

Windows Server sunucu rollerinin açıklamasına geçmeden önce tam olarak ne olduğunu öğrenelim" sunucu rolü» Windows Server işletim sisteminde.

Windows Server'da "Sunucu Rolü" nedir?

Sunucu Rolü- bu, sunucu tarafından belirli bir işlevin yerine getirilmesini sağlayan bir yazılım paketidir ve bu işlev ana işlevdir. Başka bir deyişle, " sunucu rolü' sunucunun hedefi, yani bu ne için. Böylece sunucu ana işlevini yerine getirebilir, yani. belirli bir rol sunucu rolü» bunun için gerekli tüm yazılımları içerir ( programlar, hizmetler).

Sunucu, aktif olarak kullanılıyorsa bir role veya her biri sunucuyu ağır bir şekilde yüklemiyorsa ve nadiren kullanılıyorsa birkaç role sahip olabilir.

Bir sunucu rolü, rolün işlevselliğini sağlayan birden çok rol hizmeti içerebilir. Örneğin, sunucu rolünde " Web sunucusu (IIS)” oldukça fazla sayıda hizmeti içerir ve “ rolü Dns sunucusu» rol hizmetlerini içermez, çünkü bu rol yalnızca bir işlevi yerine getirir.

Rol Hizmetleri, ihtiyaçlarınıza bağlı olarak hep birlikte veya ayrı ayrı kurulabilir. Temel olarak, bir rol yüklemek, hizmetlerinden birini veya daha fazlasını yüklemek anlamına gelir.

Windows Server ayrıca " Bileşenler» sunucu.

Sunucu Bileşenleri (Özellik) bir sunucu rolü olmayan, ancak bir veya daha fazla rolün yeteneklerini genişleten veya bir veya daha fazla rolü yöneten yazılım araçlarıdır.

Sunucu, rollerin çalışması için gerekli olan gerekli hizmetlere veya bileşenlere sahip değilse, bazı roller yüklenemez. Bu nedenle, bu tür rollerin kurulumu sırasında " Rol ve Özellik Ekleme Sihirbazı» kendisi, sizden gerekli ek rol hizmetlerini veya bileşenlerini yüklemenizi otomatik olarak isteyecektir.

Windows Server 2016 sunucu rollerinin açıklaması

Muhtemelen Windows Server 2016'daki rollerin çoğuna zaten aşinasınızdır, çünkü bunlar oldukça uzun bir süredir ortalıkta dolaşmaktadır, ancak dediğim gibi, Windows Server'ın her yeni sürümünde, çalışmamış olabileceğiniz yeni roller eklenir. ile, ama ne için olduklarını bilmek isteriz, o yüzden onlara bakmaya başlayalım.

Not! Windows Server 2016 işletim sisteminin yeni özelliklerini "Windows Server 2016 Kurulumu ve yeni özelliklere genel bakış" materyalinde okuyabilirsiniz..

Rollerin, hizmetlerin ve bileşenlerin kurulumu ve yönetimi sıklıkla Windows PowerShell kullanılarak gerçekleştiğinden, her rol ve hizmeti için sırasıyla kurulumu veya yönetimi için PowerShell'de kullanılabilecek bir ad belirteceğim.

DHCP Sunucusu

Bu rol, ağınızdaki bilgisayarlar ve aygıtlar için dinamik IP adreslerini ve ilgili ayarları merkezi olarak yapılandırmanıza olanak tanır. DHCP Sunucusu rolünün rol hizmetleri yoktur.

Windows PowerShell'in adı DHCP'dir.

Dns sunucusu

Bu rol, TCP/IP ağlarında ad çözümlemesi için tasarlanmıştır. DNS Sunucusu rolü, DNS'yi sağlar ve sürdürür. Bir DNS sunucusunun yönetimini basitleştirmek için genellikle Active Directory Etki Alanı Hizmetleri ile aynı sunucuya kurulur. DNS Sunucusu rolünün rol hizmetleri yoktur.

PowerShell için rol adı DNS'dir.

Hyper-V

Hyper-V rolü ile sanallaştırılmış bir ortam oluşturabilir ve yönetebilirsiniz. Başka bir deyişle, sanal makineler oluşturmaya ve yönetmeye yarayan bir araçtır.

Windows PowerShell için rol adı Hyper-V'dir.

Cihaz sağlığı onayı

rol " » güvenli önyükleme ve istemcideki Bitlocker durumu göstergeleri gibi ölçülen güvenlik parametreleri göstergelerine dayalı olarak cihazın sağlığını değerlendirmenize olanak tanır.

Bu rolün çalışması için birçok rol hizmeti ve bileşeni gereklidir, örneğin: " rolünden birkaç hizmet Web sunucusu (IIS)", bileşen " ", bileşen " .NET Framework 4.6 özellikleri».

Yükleme sırasında gerekli tüm rol hizmetleri ve özellikler otomatik olarak seçilecektir. rol" Cihaz sağlığı onayı» Rol hizmeti yoktur.

PowerShell'in adı DeviceHealthAttestationService'dir.

Web sunucusu (IIS)

Güvenilir, yönetilebilir ve ölçeklenebilir bir web uygulama altyapısı sağlar. Oldukça fazla sayıda hizmetten oluşur (43).

Windows PowerShell'in adı Web Sunucusudur.

Aşağıdaki rol hizmetlerini içerir ( parantez içinde Windows PowerShell'in adını belirteceğim):

Web sunucusu (Web-WebSunucusu)- HTML web siteleri, ASP.NET uzantıları, ASP ve web sunucusu için destek sağlayan bir grup rol hizmeti. Aşağıdaki hizmetlerden oluşur:

• Güvenlik (Web Güvenliği)- web sunucusunun güvenliğini sağlamak için bir dizi hizmet.
  • İstek filtreleme (Web Filtreleme) - bu araçları kullanarak sunucuya gelen tüm istekleri işleyebilir ve bu istekleri web sunucusu yöneticisi tarafından belirlenen özel kurallara göre filtreleyebilirsiniz;
  • IP adresi ve etki alanı kısıtlamaları (Web-IP-Security) - bu araçlar, istekteki kaynağın IP adresine veya alan adına bağlı olarak bir web sunucusundaki içeriğe erişime izin vermenizi veya erişimi reddetmenizi sağlar;
  • URL Yetkilendirmesi (Web-Url-Auth) - araçlar, web içeriğine erişimi kısıtlamak ve bunları kullanıcılar, gruplar veya HTTP başlık komutlarıyla ilişkilendirmek için kurallar geliştirmenize olanak tanır;
  • Özet Kimlik Doğrulaması (Web-Digest-Auth) - Bu kimlik doğrulama, temel kimlik doğrulamasından daha yüksek düzeyde güvenlik sağlar. Kullanıcı kimlik doğrulaması için özet kimlik doğrulaması, bir Windows etki alanı denetleyicisine bir parola karması geçirmek gibi çalışır;
  • Temel Kimlik Doğrulama (Web-Basic-Auth) - Bu kimlik doğrulama yöntemi, güçlü web tarayıcısı uyumluluğu sağlar. Küçük dahili ağlarda kullanılması tavsiye edilir. Bu yöntemin ana dezavantajı, ağ üzerinden iletilen parolaların oldukça kolay bir şekilde ele geçirilip şifresinin çözülebilmesidir, bu nedenle bu yöntemi SSL ile birlikte kullanın;
  • Windows Kimlik Doğrulaması (Web-Windows-Auth), Windows etki alanı kimlik doğrulamasına dayalı bir kimlik doğrulamadır. Başka bir deyişle, Web sitelerinizin kullanıcılarının kimliğini doğrulamak için Active Directory hesaplarını kullanabilirsiniz;
  • İstemci Sertifika Eşleme Kimlik Doğrulaması (Web-Client-Auth) - Bu kimlik doğrulama yöntemi, bir istemci sertifikası kullanır. Bu tür, sertifika eşlemesi sağlamak için Active Directory hizmetlerini kullanır;
  • IIS İstemci Sertifikası Eşleme Kimlik Doğrulaması (Web-Cert-Auth) - Bu yöntem ayrıca kimlik doğrulama için istemci sertifikalarını kullanır, ancak sertifika eşlemesi sağlamak için IIS'yi kullanır. Bu tip daha iyi performans sağlar;
  • Merkezileştirilmiş SSL sertifika desteği (Web-CertProvider) - bu araçlar, SSL sunucu sertifikalarını merkezi olarak yönetmenize izin vererek, bu sertifikaları yönetme sürecini büyük ölçüde basitleştirir;
• Servis verilebilirlik ve tanılama (Web-Health)– web sunucularını, siteleri ve uygulamaları izlemek, yönetmek ve sorun gidermek için bir dizi hizmet:
  • http günlüğü (Web-Http-Logging) - araçlar, belirli bir sunucuda web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, örn. günlük girişi;
  • ODBC Günlüğü (Web-ODBC-Günlüğü) – Bu araçlar ayrıca web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, ancak bu etkinliğin ODBC uyumlu bir veritabanına kaydedilmesini destekler;
  • İstek İzleme (Web-Request-Monitor), IIS çalışan sürecindeki HTTP istekleri hakkındaki bilgileri yakalayarak bir web uygulamasının durumunu izlemenize olanak sağlayan bir araçtır;
  • Özel Günlüğe Kaydetme (Web-Custom-Logging) - Bu araçları kullanarak, standart IIS biçiminden önemli ölçüde farklı bir biçimde web sunucusu etkinliğinin günlüğe kaydedilmesini yapılandırabilirsiniz. Başka bir deyişle, kendi kayıt modülünüzü oluşturabilirsiniz;
  • Günlük tutma araçları (Web-Log-Libraries), web sunucusu günlüklerini yönetmeye ve günlük tutma görevlerini otomatikleştirmeye yönelik araçlardır;
  • Tracing (Web-Http-Tracing), web uygulamalarındaki ihlalleri teşhis etmek ve çözmek için kullanılan bir araçtır.
• http Ortak İşlevler (Web-Ortak-Http)– temel HTTP işlevselliği sağlayan bir dizi hizmet:
  • Varsayılan Belge (Web-Default-Doc) - Bu özellik, kullanıcılar istek URL'sinde belirli bir belge belirtmediğinde web sunucusunu varsayılan bir belge döndürecek şekilde yapılandırmanıza olanak tanır ve kullanıcıların web sitesine erişmesini kolaylaştırır, örneğin, etki alanı, bir dosya belirtmeden;
  • Dizin Tarama (Web-Dir-Browsing) - Bu araç, kullanıcıların bir web sitesindeki tüm dizinlerin ve dosyaların bir listesini görüntüleyebilmesi için bir web sunucusunu yapılandırmak için kullanılabilir. Örneğin, kullanıcıların istek URL'sinde bir dosya belirtmediği ve varsayılan belgelerin devre dışı bırakıldığı veya yapılandırılmadığı durumlar için;
  • http hataları (Web-Http-Hataları) - bu özellik, web sunucusu tarafından bir hata algılandığında kullanıcıların web tarayıcılarına döndürülecek hata mesajlarını yapılandırmanıza olanak tanır. Bu araç, kullanıcılara hata mesajlarını daha kolay sunmak için kullanılır;
  • Statik içerik (Web-Static-Content) - bu araç, bir web sunucusundaki içeriği HTML dosyaları veya görüntü dosyaları gibi statik dosya biçimleri biçiminde kullanmanıza olanak tanır;
  • http yönlendirme (Web-Http-Yönlendirme) - bu özelliği kullanarak, bir kullanıcı isteğini belirli bir hedefe yönlendirebilirsiniz, örn. bu Yönlendirme;
  • WebDAV Yayınlama (Web-DAV-Yayınlama) - WebDAV teknolojisini IIS WEB sunucusunda kullanmanızı sağlar. WebDAV ( Web Dağıtılmış Yazma ve Sürüm Oluşturma) kullanıcıların birlikte çalışmasına izin veren bir teknolojidir ( okuma, düzenleme, okuma özellikleri, kopyalama, taşıma) HTTP protokolünü kullanan uzak web sunucularındaki dosyalar üzerinden.
• Performans (Web Performansı)- çıktı önbelleğe alma ve Gzip ve Deflate gibi yaygın sıkıştırma mekanizmaları aracılığıyla daha yüksek web sunucusu performansı elde etmeye yönelik bir dizi hizmet:
  • Statik İçerik Sıkıştırma (Web-Stat-Sıkıştırma), http statik içeriğinin sıkıştırılmasını özelleştirmek için bir araçtır, gereksiz CPU yükü olmadan bant genişliğinin daha verimli kullanılmasına olanak tanır;
  • Dynamic Content Compression (Web-Dyn-Compression), HTTP dinamik içerik sıkıştırmasını yapılandırmak için bir araçtır. Bu araç, bant genişliğinin daha verimli kullanılmasını sağlar, ancak bu durumda, dinamik sıkıştırma ile ilişkili sunucu CPU yükü, sıkıştırma olmadan bile CPU yükü yüksekse siteyi yavaşlatabilir.
• Uygulama Geliştirme (Web-App-Dev)- web uygulamalarını, başka bir deyişle web sitesi geliştirme teknolojilerini geliştirmek ve barındırmak için bir dizi hizmet ve araç:
  • ASP (Web-ASP), ASP teknolojisini kullanarak web sitelerini ve web uygulamalarını desteklemek ve geliştirmek için kullanılan bir ortamdır. Şu anda daha yeni ve daha gelişmiş bir web sitesi geliştirme teknolojisi var - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net), ASP.NET teknolojisini kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • ASP.NET 4.6 (Web-Asp-Net45), ASP.NET'in yeni sürümünü kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • CGI (Web-CGI), bilgileri bir web sunucusundan harici bir programa aktarmak için CGI kullanma yeteneğidir. CGI, harici bir programı bir web sunucusuna bağlamak için kullanılan bir tür arayüz standardıdır. Bir dezavantajı var, CGI kullanımı performansı etkiliyor;
  • Sunucu Tarafı Kapsamaları (SSI) (Web İçeriği), SSI betik dili ( sunucu tarafı etkinleştir), HTML sayfalarını dinamik olarak oluşturmak için kullanılır;
  • Uygulama başlatma (Web-AppInit) - bu araç, bir web sayfasını göndermeden önce web uygulamalarını başlatma görevlerini yerine getirir;
  • WebSocket protokolü (Web-WebSockets) - WebSocket protokolünü kullanarak iletişim kuran sunucu uygulamaları oluşturma yeteneği eklendi. WebSocket, HTTP protokolünün bir tür uzantısı olan TCP bağlantısı üzerinden bir tarayıcı ve bir web sunucusu arasında aynı anda veri gönderip alabilen bir protokoldür;
  • ISAPI uzantıları (Web-ISAPI-Ext) - ISAPI uygulama programlama arabirimini kullanarak web içeriğinin dinamik olarak geliştirilmesi için destek. ISAPI, IIS web sunucusu için bir API'dir. ISAPI uygulamaları, ASP dosyalarından veya COM+ bileşenlerini çağıran dosyalardan çok daha hızlıdır;
  • .NET 3.5 Genişletilebilirliği (Web-Net-Ext), istek işleme ardışık düzeni, yapılandırması ve kullanıcı arabirimi boyunca web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize izin veren bir .NET 3.5 genişletilebilirlik özelliğidir;
  • .NET 4.6 Genişletilebilirliği (Web-Net-Ext45), tüm istek işleme boru hattı, yapılandırma ve kullanıcı arabirimi genelinde web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize de izin veren bir .NET 4.6 genişletilebilirlik özelliğidir;
  • ISAPI Filtreleri (Web-ISAPI-Filter) - ISAPI filtreleri için destek ekleyin. ISAPI filtreleri, bir web sunucusu bu filtre tarafından işlenmek üzere belirli bir HTTP isteği aldığında çağrılan programlardır.

FTP - sunucu (Web-Ftp-Sunucu)– FTP protokolü için destek sağlayan hizmetler. FTP sunucusu hakkında daha ayrıntılı olarak "Windows Server 2016'da bir FTP sunucusu kurma ve yapılandırma" materyalinde konuştuk. Aşağıdaki hizmetleri içerir:

• FTP Hizmeti (Web-Ftp-Service) - web sunucusunda FTP protokolü için destek ekler;
• FTP Genişletilebilirliği (Web-Ftp-Ext) - Özel sağlayıcılar, ASP.NET kullanıcıları veya IIS yöneticisi kullanıcıları gibi özellikler için destek eklemek gibi standart FTP yeteneklerini genişletir.

Yönetim Araçları (Web-Yönetim-Araçları) IIS 10 web sunucusu için yönetim araçlarıdır. Bunlar şunları içerir: IIS kullanıcı arabirimi, komut satırı araçları ve betikler.

• IIS Yönetim Konsolu (Web-Mgmt-Console), IIS'yi yönetmek için kullanılan kullanıcı arabirimidir;
• Karakter kümeleri ve IIS yönetim araçları (Web-Scripting-Tools), komut satırını veya komut dosyalarını kullanarak IIS'yi yönetmek için kullanılan araçlar ve komut dosyalarıdır. Örneğin kontrolü otomatikleştirmek için kullanılabilirler;
• Yönetim Hizmeti (Web-Mgmt-Service) - bu hizmet, IIS Yöneticisini kullanarak bir web sunucusunu başka bir bilgisayardan uzaktan yönetme yeteneği ekler;
• IIS 6 Uyumluluk Yönetimi (Web-Mgmt-Compat) - İki IIS API'sini kullanan uygulamalar ve betikler için uyumluluk sağlar. Mevcut IIS 6 betikleri, IIS 10 web sunucusunu yönetmek için kullanılabilir:
  • IIS 6 Uyumluluk Metatabanı (Web-Metatabanı), IIS'nin önceki sürümlerinden taşınan uygulamaları ve karakter kümelerini çalıştırmanıza izin veren bir uyumluluk aracıdır;
  • IIS 6 Komut Dosyası Araçları (Web-Lgcy-Scripting) - Bu araçlar, IIS 10'da IIS 6'yı yönetmek için oluşturulan aynı IIS 6 Komut Dosyası Hizmetlerini kullanmanıza olanak tanır;
  • IIS 6 Yönetim Konsolu (Web-Lgcy-Mgmt-Console), uzak IIS 6.0 sunucularını yönetmek için bir araçtır;
  • IIS 6 WMI Uyumluluğu (Web-WMI), bir WMI sağlayıcısında oluşturulan bir dizi komut dosyası kullanarak IIS 10.0 Web sunucusu görevlerini programlı olarak kontrol etmek ve otomatikleştirmek için Windows Yönetim Araçları (WMI) komut dosyası arabirimleridir.

Aktif Dizin Etki Alanı Hizmetleri

rol " Aktif Dizin Etki Alanı Hizmetleri» (AD DS), ağ kaynakları hakkındaki bilgileri depolayan ve işleyen dağıtılmış bir veritabanı sağlar. Bu rol, kullanıcılar, bilgisayarlar ve diğer aygıtlar gibi ağ öğelerini hiyerarşik bir kapsama yapısında düzenlemek için kullanılır. Hiyerarşik yapı, ormanları, bir orman içindeki etki alanlarını ve her etki alanı içindeki kuruluş birimlerini (OU'lar) içerir. AD DS'yi çalıştıran sunucuya etki alanı denetleyicisi denir.

Windows PowerShell için rol adı AD-Domain-Services'tir.

Windows Server Essentials Modu

Bu rol bir bilgisayar altyapısıdır ve kullanışlı ve verimli özellikler sağlar, örneğin: istemci verilerini merkezi bir konumda depolamak ve sunucu ve istemci bilgisayarları yedekleyerek bu verileri korumak, neredeyse her cihazdan verilere erişmenizi sağlayan uzak web erişimi . Bu rol, birkaç rol hizmeti ve özelliği gerektirir, örneğin: BranchCache Özellikleri, Windows Server Yedekleme, Grup İlkesi Yönetimi, Rol Hizmeti " DFS Ad Alanları».

PowerShell'in adı ServerEssentialsRole'dur.

Ağ denetleyicisi

Windows Server 2016'da tanıtılan bu rol, veri merkezindeki fiziksel ve sanal ağ altyapısını yönetmek, izlemek ve teşhis etmek için tek bir otomasyon noktası sağlar. Bu rolü kullanarak, Hyper-V ana bilgisayarlarının IP alt ağlarını, VLAN'larını, fiziksel ağ adaptörlerini tek bir noktadan yapılandırabilir, sanal anahtarları, fiziksel yönlendiricileri, güvenlik duvarı ayarlarını ve VPN ağ geçitlerini yönetebilirsiniz.

Windows PowerShell'in adı NetworkController'dır.

Düğüm Koruma Hizmeti

Bu, Barındırılan Koruma Hizmeti (HGS) sunucu rolüdür ve korumalı ana bilgisayarların korumalı sanal makineler çalıştırmasına izin veren doğrulama ve anahtar koruma hizmetleri sağlar. Bu rolün çalışması için birkaç ek rol ve bileşen gereklidir, örneğin: Active Directory Etki Alanı Hizmetleri, Web Sunucusu (IIS), " Yük Devretme Kümelemesi" ve diğerleri.

PowerShell'in adı HostGuardianServiceRole'dur.

Active Directory Basit Dizin Hizmetleri

rol " Active Directory Basit Dizin Hizmetleri» (AD LDS), AD DS'nin daha az işlevselliğe sahip, ancak etki alanlarının veya etki alanı denetleyicilerinin dağıtımını gerektirmeyen ve AD DS'nin gerektirdiği bağımlılıklara ve etki alanı kısıtlamalarına sahip olmayan hafif bir sürümüdür. AD LDS, LDAP protokolü üzerinden çalışır ( Basit Dizin Erişim Protokolü). Bağımsız olarak yönetilen şemalarla aynı sunucuda birden fazla AD LDS örneği dağıtabilirsiniz.

PowerShell'in adı ADLDS'dir.

Çoklu Nokta Hizmetleri

Ayrıca, Windows Server 2016'da yeni olan yeni bir roldür. MultiPoint Services (MPS), birden çok kullanıcının aynı bilgisayarda aynı anda ve bağımsız olarak çalışmasına izin veren temel uzak masaüstü işlevselliği sağlar. Bu rolü yüklemek ve çalıştırmak için birkaç ek hizmet ve bileşen yüklemeniz gerekir, örneğin: Yazdırma Sunucusu, Windows Arama Hizmeti, XPS Görüntüleyici ve diğerleri, bunların tümü MPS yüklemesi sırasında otomatik olarak seçilecektir.

PowerShell için rolün adı MultiPointServerRole'dur.

Windows Sunucu Güncelleme Hizmetleri

Bu rolle (WSUS), sistem yöneticileri Microsoft güncellemelerini yönetebilir. Örneğin, farklı güncelleme grupları için ayrı bilgisayar grupları oluşturun ve bilgisayarların gereksinimlere uygunluğu ve yüklenmesi gereken güncellemeler hakkında raporlar alın. Çalışmak için" Windows Sunucu Güncelleme Hizmetleri» Web Sunucusu (IIS), Windows Dahili Veritabanı, Windows İşlem Etkinleştirme Hizmeti gibi rol hizmetlerine ve bileşenlerine ihtiyacınız vardır.

Windows PowerShell'in adı UpdateServices'tir.

• WID Bağlantısı (UpdateServices-WidDB) - WID olarak ayarlayın ( Windows Dahili Veritabanı) WSUS tarafından kullanılan veritabanı. Başka bir deyişle, WSUS, hizmet verilerini WID'de saklayacaktır;
• WSUS Hizmetleri (UpdateServices-Services), Güncelleme Hizmeti, Raporlama Web Hizmeti, API Uzaktan Erişim Web Hizmeti, İstemci Web Hizmeti, Web Basit Kimlik Doğrulama Web Hizmeti, Sunucu Eşitleme Hizmeti ve DSS Kimlik Doğrulama Web Hizmeti gibi WSUS rol hizmetleridir;
• SQL Server Connectivity (UpdateServices-DB), WSUS hizmetinin bir Microsoft SQL Server veritabanına bağlanmasına izin veren bir bileşen kurulumudur. Bu seçenek, hizmet verilerinin bir Microsoft SQL Server veritabanında depolanmasını sağlar. Bu durumda, en az bir SQL Server örneğinin kurulu olması gerekir.

Toplu Lisans Etkinleştirme Hizmetleri

Bu sunucu rolüyle, Microsoft'tan yazılımlar için toplu lisans verilmesini otomatikleştirip basitleştirebilir ve ayrıca bu lisansları yönetmenize olanak tanır.

PowerShell'in adı VolumeActivation'dır.

Baskı ve Doküman Hizmetleri

Bu sunucu rolü, yazıcıları ve tarayıcıları bir ağ üzerinde paylaşmak, yazdırma ve tarama sunucularını merkezi olarak yapılandırmak ve yönetmek ve ağ yazıcılarını ve tarayıcıları yönetmek için tasarlanmıştır. Yazdırma ve Belge Hizmetleri, taranan belgeleri e-posta yoluyla, ağ paylaşımlarına veya Windows SharePoint Services sitelerine göndermenize de olanak tanır.

PowerShell'in adı Print-Services'tir.

• Yazdırma Sunucusu (Baskı Sunucusu) - Bu rol hizmeti " Baskı Yönetimi”, yazıcıları veya baskı sunucularını yönetmek ve ayrıca yazıcıları ve diğer baskı sunucularını taşımak için kullanılır;
• İnternet üzerinden yazdırma (Print-Internet) - İnternet üzerinden yazdırmayı gerçekleştirmek için, kullanıcıların sunucudaki yazdırma işlerini yönetebilecekleri bir web sitesi oluşturulur. Bu hizmetin çalışması için anladığınız gibi yüklemeniz gerekiyor " Web sunucusu (IIS)". Rol hizmetinin kurulum işlemi sırasında bu kutuyu işaretlediğinizde gerekli tüm bileşenler otomatik olarak seçilecektir " İnternetten Yazdırma»;
• Dağıtılmış Tarama Sunucusu (Baskı-Tarama-Sunucusu), taranan belgeleri ağ tarayıcılarından alıp bir hedefe göndermenizi sağlayan bir hizmettir. Bu hizmet aynı zamanda " Tarama Yönetimi”, ağ tarayıcılarını yönetmek ve taramayı yapılandırmak için kullanılır;
• LPD Hizmeti (Print-LPD-Service) - LPD hizmeti ( Satır Yazıcısı Arka Plan Programı), UNIX tabanlı bilgisayarların ve Line Printer Remote (LPR) hizmetini kullanan diğer bilgisayarların sunucunun paylaşılan yazıcılarına yazdırmasına izin verir.

Ağ Politikası ve Erişim Hizmetleri

rol " » (NPAS), Ağ İlkesi Sunucusunun (NPS) ağ erişimini, kimlik doğrulamasını ve yetkilendirmesini ve istemci sağlığı ilkelerini belirlemesine ve uygulamasına, başka bir deyişle ağın güvenliğini sağlamasına olanak tanır.

Windows PowerShell'in adı NPAS'tır.

Windows Dağıtım Hizmetleri

Bu rolle, Windows işletim sistemini bir ağ üzerinden uzaktan kurabilirsiniz.

PowerShell için rol adı WDS'dir.

• Dağıtım Sunucusu (WDS-Dağıtım) - bu rol hizmeti, Windows işletim sistemlerinin uzaktan dağıtımı ve yapılandırılması için tasarlanmıştır. Ayrıca yeniden kullanım için görüntüler oluşturmanıza ve özelleştirmenize olanak tanır;
• Aktarım Sunucusu (WDS-Transport) - Bu hizmet, bağımsız bir sunucuda çok noktaya yayın yaparak verileri aktarabileceğiniz temel ağ bileşenlerini içerir.

Active Directory Sertifika Hizmetleri

Bu rolün amacı, çeşitli uygulamalar için sertifikalar vermenize ve yönetmenize olanak tanıyan sertifika yetkilileri ve ilgili rol hizmetleri oluşturmaktır.

Windows PowerShell'in adı AD-Certificate'dir.

Aşağıdaki rol hizmetlerini içerir:

• Sertifika Yetkilisi (ADCS-Cert-Authority) - bu rol hizmetini kullanarak kullanıcılara, bilgisayarlara ve hizmetlere sertifika verebilir ve sertifikanın geçerliliğini yönetebilirsiniz;
• Sertifika Kayıt İlkesi Web Hizmeti (ADCS-Enroll-Web-Pol) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların bir web tarayıcısından sertifika kayıt ilkesi bilgilerini almalarını sağlar. İşleyişi için gerekli Web sunucusu (IIS)»;
• Sertifika Kaydı Web Hizmeti (ADCS-Enroll-Web-Svc) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların HTTPS üzerinden bir web tarayıcı kullanarak sertifika kaydetmesine ve yenilemesine olanak tanır. Ayrıca çalışması gerekiyor Web sunucusu (IIS)»;
• Çevrimiçi Yanıtlayıcı (ADCS-Online-Cert) - Hizmet, istemciler için bir sertifikanın iptalini kontrol etmek üzere tasarlanmıştır. Başka bir deyişle, belirli sertifikalar için iptal durum talebini kabul eder, bu sertifikaların durumunu değerlendirir ve durumla ilgili bilgileri içeren imzalı bir yanıt gönderir. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Sertifika Yetkilisi Web Kayıt Hizmeti (ADCS-Web-Kayıt) - Bu hizmet, kullanıcıların sertifika isteme ve yenileme, CRL alma ve akıllı kart sertifikalarını kaydetme gibi görevleri gerçekleştirmesi için bir web arayüzü sağlar. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Ağ Aygıtı Kayıt Hizmeti (ADCS-Device-Enrollment)—Bu hizmeti kullanarak, ağ hesapları olmayan yönlendiriciler ve diğer ağ aygıtları için sertifikalar verebilir ve yönetebilirsiniz. Hizmetin çalışması için gerekli Web sunucusu (IIS)».

Uzak Masaüstü Hizmetleri

Sanal masaüstlerine, oturum tabanlı masaüstlerine ve RemoteApp'lere erişim sağlamak için kullanılabilecek bir sunucu rolü.

Windows PowerShell'in rol adı Uzak Masaüstü Hizmetleri'dir.

Aşağıdaki hizmetlerden oluşur:

• Uzak Masaüstü Web Erişimi (RDS-Web-Erişimi) - Bu rol hizmeti, kullanıcıların uzak masaüstlerine ve RemoteApp uygulamalarına " Başlangıç» veya bir web tarayıcı kullanarak;
• Uzak Masaüstü Lisansı (RDS-Licensing) - Hizmet, Uzak Masaüstü Oturum Ana Bilgisayarı sunucusuna veya sanal masaüstüne bağlanmak için gereken lisansları yönetmek üzere tasarlanmıştır. Yüklemek, lisans vermek ve kullanılabilirliklerini izlemek için kullanılabilir. Bu hizmet gerektirir " Web sunucusu (IIS)»;
• Uzak Masaüstü Bağlantı Aracısı (RDS-Connection-Broker), şu yetenekleri sağlayan bir rol hizmetidir: bir kullanıcıyı mevcut bir sanal masaüstüne, RemoteApp uygulamasına ve oturum tabanlı masaüstüne yeniden bağlamanın yanı sıra uzak oturum ana bilgisayar sunucuları masaüstleri arasında yük dengeleme veya havuzlanmış sanal masaüstleri arasında. Bu hizmet, " »;
• Uzak Masaüstü Sanallaştırma Ana Bilgisayarı (DS-Sanallaştırma) - Hizmet, kullanıcıların RemoteApp ve Masaüstü Bağlantısı kullanarak sanal masaüstlerine bağlanmasına olanak tanır. Bu hizmet Hyper-V ile birlikte çalışır, örn. bu rolün yüklenmesi gerekir;
• Uzak Masaüstü Oturum Ana Bilgisayarı (RDS-RD-Sunucusu) - Bu hizmet, RemoteApp uygulamalarını ve oturum tabanlı masaüstlerini bir sunucuda barındırabilir. Erişim, Uzak Masaüstü Bağlantısı istemcisi veya RemoteApps aracılığıyla sağlanır;
• Uzak Masaüstü Ağ Geçidi (RDS-Gateway) - Hizmet, yetkili uzak kullanıcıların bir şirket ağındaki veya İnternet üzerinden sanal masaüstlerine, RemoteApp'lere ve oturum tabanlı masaüstlerine bağlanmasına olanak tanır. Bu hizmet, aşağıdaki ek hizmetleri ve bileşenleri gerektirir: Web sunucusu (IIS)», « Ağ Politikası ve Erişim Hizmetleri», « HTTP proxy üzerinden RPC».

AD RMS'si

Bu, bilgileri yetkisiz kullanıma karşı korumanıza izin verecek bir sunucu rolüdür. Kullanıcı kimliklerini doğrular ve yetkili kullanıcılara korunan verilere erişmeleri için lisans verir. Bu rol, ek hizmetler ve bileşenler gerektirir: Web sunucusu (IIS)», « Windows İşlem Etkinleştirme Hizmeti», « .NET Framework 4.6 özellikleri».

Windows PowerShell'in adı ADRMS'dir.

• Active Directory Rights Management Server (ADRMS-Server) - kurulum için gerekli olan ana rol hizmeti;
• Kimlik Federasyon Desteği (ADRMS-Kimlik), birleşik kimliklerin Active Directory Federasyon Hizmetlerini kullanarak korunan içeriği kullanmasını sağlayan isteğe bağlı bir rol hizmetidir.

AD FS

Bu rol, bir tarayıcı kullanan web sitelerine basitleştirilmiş ve güvenli kimlik federasyonu ve çoklu oturum açma (SSO) işlevselliği sağlar.

PowerShell'in adı ADFS-Federation'dır.

Uzaktan erişim

Bu rol, DirectAccess, VPN ve Web Uygulama Proxy'si aracılığıyla bağlantı sağlar. ayrıca rol Uzaktan erişim"ağ adresi çevirisi (NAT) ve diğer bağlantı seçenekleri dahil olmak üzere geleneksel yönlendirme yetenekleri sağlar. Bu rol, ek hizmetler ve özellikler gerektirir: Web sunucusu (IIS)», « Windows Dahili Veritabanı».

Windows PowerShell için rol adı RemoteAccess'tir.

• DirectAccess ve VPN (RAS) (DirectAccess-VPN) - hizmet, kullanıcıların herhangi bir zamanda DirectAccess aracılığıyla İnternet erişimi ile kurumsal ağa bağlanmasına ve ayrıca tünel oluşturma ve veri şifreleme teknolojileriyle birlikte VPN bağlantılarını düzenlemesine olanak tanır;
• Yönlendirme (Yönlendirme) - hizmet, NAT yönlendiricileri, BGP protokollerine sahip LAN yönlendiricileri, RIP protokolleri ve çok noktaya yayın destekli yönlendiriciler (IGMP proxy) için destek sağlar;
• Web Uygulama Proxy'si (Web-Application-Proxy) - Hizmet, kurumsal ağdan kurumsal ağ dışındaki istemci cihazlara HTTP ve HTTPS protokollerine dayalı uygulamaları yayınlamanıza olanak tanır.

Dosya ve depolama hizmetleri

Bu, dosya ve klasörleri paylaşmak, paylaşımları yönetmek ve kontrol etmek, dosyaları çoğaltmak, hızlı dosya aramaları sağlamak ve UNIX istemci bilgisayarlarına erişim vermek için kullanılabilen bir sunucu rolüdür. Dosya hizmetlerini ve özellikle dosya sunucusunu "Windows Server 2016'da bir dosya sunucusu (Dosya Sunucusu) kurma" materyalinde daha ayrıntılı olarak ele aldık.

Windows PowerShell'in adı FileAndStorage-Services'dir.

Depolama Hizmetleri- Bu hizmet, her zaman kurulu olan ve kaldırılamayan depolama yönetimi işlevselliği sağlar.

Dosya Hizmetleri ve iSCSI Hizmetleri (Dosya Hizmetleri) dosya sunucularının ve depolarının yönetimini basitleştiren, disk alanından tasarruf sağlayan, şubelerdeki dosyaların replikasyonunu ve önbelleğe alınmasını sağlayan, aynı zamanda NFS protokolü üzerinden dosya paylaşımını sağlayan teknolojilerdir. Aşağıdaki rol hizmetlerini içerir:

• Dosya Sunucusu (FS-FileServer) - paylaşılan klasörleri yöneten ve kullanıcılara ağ üzerinden bu bilgisayardaki dosyalara erişim sağlayan bir rol hizmeti;
• Veri Tekilleştirme (FS-Veri-Tekilleştirme) - bu hizmet, aynı verilerin yalnızca bir kopyasını bir birimde depolayarak disk alanından tasarruf sağlar;
• Dosya Sunucusu Kaynak Yöneticisi (FS-Resource-Manager) - bu hizmeti kullanarak, bir dosya sunucusundaki dosya ve klasörleri yönetebilir, depolama raporları oluşturabilir, dosya ve klasörleri sınıflandırabilir, klasör kotalarını yapılandırabilir ve dosya engelleme ilkeleri tanımlayabilirsiniz;
• iSCSI Hedef Depolama Sağlayıcısı (VDS ve VSS Donanım Sağlayıcıları) (iSCSITarget-VSS-VDS) - Hizmet, iSCSI hedefine bağlı bir sunucudaki uygulamaların iSCSI sanal disklerindeki gölge kopya birimlerine izin verir;
• DFS ad alanları (FS-DFS-Ad Alanı) - bu hizmeti kullanarak, farklı sunucularda barındırılan paylaşılan klasörleri mantıksal olarak yapılandırılmış bir veya daha fazla ad alanında gruplandırabilirsiniz;
• Çalışma klasörleri (FS-SyncShareService) - hizmet, çalışma dosyalarını iş ve kişisel dahil olmak üzere farklı bilgisayarlarda kullanmanıza olanak tanır. Dosyalarınızı Çalışma Klasörlerinde saklayabilir, senkronize edebilir ve yerel ağınızdan veya İnternetten erişebilirsiniz. Hizmetin çalışması için " bileşeni IIS İşlem İçi Web Çekirdeği»;
• DFS Çoğaltma (FS-DFS-Çoğaltma), LAN veya WAN bağlantısı üzerinden klasörleri senkronize etmenize izin veren çok sunuculu bir veri çoğaltma motorudur. Bu teknoloji, dosyaların yalnızca son çoğaltmadan bu yana değişen kısmını güncellemek için Uzaktan Farklı Sıkıştırma (RDC) protokolünü kullanır. DFS Çoğaltma, DFS Ad Alanları ile veya DFS Ad Alanları olmadan kullanılabilir;
• NFS Sunucusu (FS-NFS Hizmeti) - Hizmet, bu bilgisayarın UNIX tabanlı bilgisayarlarla ve Ağ Dosya Sistemi (NFS) protokolünü kullanan diğer bilgisayarlarla dosya paylaşmasına olanak tanır;
• iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI hedefleri için hizmetler ve yönetim sağlar;
• Ağ Dosyaları için BranchCache Hizmeti (FS-BranchCache) - Hizmet, bu dosya sunucusunda BranchCache desteği sağlar;
• Dosya Sunucusu VSS Aracı Hizmeti (FS-VSS-Agent) - Hizmet, bu dosya sunucusunda veri dosyalarını depolayan uygulamalar için birim gölge kopyalarına izin verir.

faks sunucusu

Rol, faks gönderip alır ve bu bilgisayardaki veya ağdaki işler, ayarlar, raporlar ve faks aygıtları gibi faks kaynaklarını yönetmenize olanak tanır. iş için gerekli Yazdırma sunucusu».

Windows PowerShell için rol adı Faks'tır.

Bu, Windows Server 2016 sunucu rollerinin incelemesini tamamlıyor, umarım malzeme şimdilik sizin için yararlı olmuştur!

Bir soket sunucusu geliştirmeden önce, Silverlight'a hangi istemcilerin soket sunucusuna bağlanmasına izin verildiğini bildiren bir ilke sunucusu oluşturmanız gerekir.

Yukarıda gösterildiği gibi, etki alanında clientaccesspolicy .xml veya alanlar arası dosya yoksa, Silverlight içeriğin yüklenmesine veya bir web hizmetinin çağrılmasına izin vermez. xml'de bu işlemlere açıkça izin verilir. Soket sunucusuna da benzer bir kısıtlama uygulanır. İstemci aygıtın uzaktan erişim sağlayan clientaccesspolicy .xml dosyasını indirmesine izin vermezseniz, Silverlight bağlantı kurmayı reddedecektir.

Ne yazık ki, bir clientaccesspolicy sağlamak. cml'yi bir soket uygulamasına dönüştürmek, onu bir web sitesi aracılığıyla sağlamaktan daha zordur. Bir web sitesini kullanırken, web sunucusu yazılımı bir clientaccesspolicy .xml dosyası sağlayabilir, eklemeyi unutmayın. Aynı zamanda bir soket uygulaması kullanırken, client uygulamaların da Policy istekleri ile erişebileceği bir soket açmalısınız. Ayrıca sokete hizmet eden kodu da manuel olarak oluşturmalısınız. Bu görevleri gerçekleştirmek için bir ilke sunucusu oluşturmanız gerekir.

Aşağıda, ilke sunucusunun ileti sunucusuyla aynı şekilde çalıştığını, yalnızca biraz daha basit etkileşimleri işlediğini göstereceğiz. Mesaj sunucuları ve politikaları ayrı ayrı oluşturulabilir veya tek bir uygulamada birleştirilebilir. İkinci durumda, farklı iş parçacıklarındaki istekleri dinlemeleri gerekir. Bu örnekte, bir ilke sunucusu oluşturacağız ve ardından bunu bir ileti sunucusuyla birleştireceğiz.

İlke sunucusu oluşturmak için önce bir .NET uygulaması oluşturmanız gerekir. Herhangi bir .NET uygulaması, bir ilke sunucusu olarak hizmet verebilir. En kolay yol, bir konsol uygulaması kullanmaktır. Konsol uygulamanızın hatalarını ayıkladıktan sonra, kodunuzu her zaman arka planda çalışması için bir Windows hizmetine taşıyabilirsiniz.

İlke dosyası

Aşağıda, ilke sunucusu tarafından sağlanan ilke dosyası bulunmaktadır.

İlke dosyası üç kural tanımlar.

4502'den 4532'ye kadar tüm bağlantı noktalarına erişim sağlar (bu, Silverlight eklentisi tarafından desteklenen tüm bağlantı noktalarıdır). Kullanılabilir bağlantı noktalarının aralığını değiştirmek için öğenin bağlantı noktası özniteliğinin değerini değiştirin.

TCP erişimine izin verir (izin, öğenin protokol özniteliğinde tanımlanır).

Herhangi bir etki alanından aramaya izin verir. Bu nedenle bağlantı kuran bir Silverlight uygulaması herhangi bir web sitesi tarafından barındırılabilir. Bu kuralı değiştirmek için öğenin uri özelliğini düzenlemeniz gerekir.

İşleri kolaylaştırmak için, ilke kuralları projeye eklenen clientaccess-ploi.cy.xml dosyasına yerleştirilir. Visual Studio'da, ilke dosyasının Çıktı Dizinine Kopyala parametresi Her Zaman Kopyala olarak ayarlanmalıdır. dosyayı sabit sürücüde bulmalı, açmalı ve içeriğini istemci cihaza geri vermelidir.

PolicyServer sınıfı

İlke sunucusu işlevi iki temel sınıfa dayalıdır: PolicyServer ve PolicyConnection. PolicyServer sınıfı, bağlantıları beklemeyi işler. Bir bağlantı aldığında, kontrolü istemciye ilke dosyasını ileten PoicyConnection sınıfının yeni bir örneğine geçirir. Bu iki parçalı prosedür, ağ programlamasında yaygındır. Mesaj sunucularıyla çalışırken bunu birden çok kez göreceksiniz.

PolicyServer sınıfı, ilke dosyasını sabit diskten yükler ve onu bir bayt dizisi olarak alanda depolar.

genel sınıf PolicyServer

özel bayt politikası;

genel PolicyServer(string PolicyFile) (

Dinlemeye başlamak için sunucu uygulamasının PolicyServer'ı araması gerekir. Başlangıç(). İstekleri dinleyen bir TcpListener nesnesi oluşturur. TcpListener nesnesi, 943 numaralı bağlantı noktasını dinlemek üzere yapılandırılmıştır. Silverlight'ta bu bağlantı noktası, ilke sunucuları için ayrılmıştır. İlke dosyaları için istekte bulunurken, Silverlight uygulaması bunları otomatik olarak 943 numaralı bağlantı noktasına yönlendirir.

özel TcpListener dinleyicisi;

genel geçersiz Başlat()

// bir dinleyici oluştur

dinleyici = yeni TcpListener(IPAddress.Any, 943);

// Dinlemeye başlayın; Start() yöntemi, listener.Start() çağrıldıktan hemen sonra II'yi döndürür;

// Bağlantı bekleniyor; yöntem hemen geri döner;

II bekleme ayrı bir iş parçacığında yapılır

İlke sunucusu, sunulan bağlantıyı kabul etmek için BeginAcceptTcpClient() yöntemini çağırır. .NET çerçevesinin tüm Beginxxx() yöntemleri gibi, çağrıldıktan hemen sonra geri döner ve gerekli işlemleri ayrı bir iş parçacığında gerçekleştirir. Ağ uygulamaları için bu çok önemli bir faktördür çünkü aynı anda birçok ilke dosyası talebinin işlenmesine izin verir.

Not. Acemi ağ programcıları genellikle birden fazla isteğin aynı anda nasıl işlenebileceğini merak eder ve bunun birkaç sunucu gerektirdiğini düşünür. Ancak öyle değil. Bu yaklaşımla, istemci uygulamalarının kullanılabilir bağlantı noktaları hızla tükenir. Uygulamada, sunucu uygulamaları birçok isteği tek bir bağlantı noktası üzerinden işler. Windows'taki yerleşik TCP alt sistemi iletileri otomatik olarak tanımlayıp bunları uygulama kodundaki uygun nesnelere yönlendirdiğinden, bu işlem uygulamalar tarafından görülmez. Her bağlantı, dört parametreye göre benzersiz bir şekilde tanımlanır: istemci IP adresi, istemci bağlantı noktası numarası, sunucu IP adresi ve sunucu bağlantı noktası numarası.

Her istekte, OnAcceptTcpClient() geri arama yöntemi tetiklenir. Başka bir iş parçacığında sonraki isteği beklemeye başlamak için BeginAcceptTcpClient O yöntemini yeniden çağırır ve ardından geçerli isteği işlemeye başlar.

genel geçersiz OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) dönüş;

Console.WriteLine("Politika isteği alındı."); // Bir sonraki bağlantı bekleniyor.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Mevcut bağlantıyı yönetiyoruz.

TcpClient istemcisi = dinleyici.EndAcceptTcpClient(ar); PolicyConnection PolicyConnection = yeni PolicyConnection(istemci, ilke); PolicyConnection.HandleRequest() ;

catch (İstisna hatası) (

Her yeni bağlantı alındığında, onu işlemek için yeni bir PolicyConnection nesnesi oluşturulur. Ayrıca, PolicyConnection nesnesi bir ilke dosyası tutar.

PolicyServer sınıfının son bileşeni, istekleri beklemeyi durduran Stop() yöntemidir. Uygulama sonlandırıldığında onu çağırır.

özel bool durduruldu;

genel geçersiz StopO(

isStopped = doğru;

dinleyici durmak();

catch (İstisna hatası) (

Console.WriteLine(hata.Mesaj);

İlke sunucusunu başlatmak için uygulama sunucusunun Main() yönteminde aşağıdaki kod kullanılır.

static void Main(string args) (

PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("İlke sunucusu başlatıldı."); Console.WriteLine("Çıkmak için Enter tuşuna basın.");

// Bir tuşa basılması bekleniyor; // Console.ReadKey() yöntemini kullanarak, onu belirli bir // satırı bekleyecek şekilde ayarlayabilir (örneğin, çık) veya herhangi bir tuşa basabilirsiniz Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Politika sunucusunu sonlandırın.");

PolicyConnection sınıfı

PolicyConnection sınıfı daha basit bir görev gerçekleştirir. PolicyConnection nesnesi, ilke dosyası verilerine bir başvuru depolar. Ardından, HandleRequest() yöntemi çağrıldıktan sonra, PolicyConnection nesnesi ağ akışından yeni bir bağlantı getirir ve onu okumaya çalışır. İstemci cihaz, metin içeren bir dizi göndermelidir. Bu metni okuduktan sonra, istemci cihaz ilke verilerini akışa yazar ve bağlantıyı kapatır. PolicyConnection sınıfının kodu aşağıdadır.

genel sınıf PolicyConnection(

özel TcpClient istemcisi; özel bayt politikası;

public PolicyConnection(TcpClient istemcisi, bayt ilkesi) (

this.client = müşteri; this.policy = ilke;

// Bir istemci isteği oluşturun özel statik dizi PolicyRequestString = "

genel geçersiz HandleRequest()(

Akış s = client.GetStream(); // İlke sorgu dizesini oku

bayt tamponu = yeni bayt;

// Sadece 5 saniye bekleyin client.ReceiveTimeout = 5000;'

s.Oku(arabellek, 0, arabellek.Uzunluk);

// Politikayı ilet (ilke isteğinin // gerekli içeriğe sahip olup olmadığını da kontrol edebilirsiniz) s.Write(policy, 0, policy.Length);

// Bağlantı istemcisini kapatın.Close();

Console.WriteLine("İlke dosyası sunuldu.");

Yani, tamamen işlevsel bir politika sunucumuz var. Ne yazık ki henüz test edilemiyor çünkü Silverlight eklentisi ilke dosyalarının açıkça istenmesine izin vermiyor. Bunun yerine, bir soket uygulamasını kullanmaya çalışırken bunları otomatik olarak ister. Bu soket uygulaması için bir istemci uygulaması oluşturmadan önce bir sunucu oluşturmanız gerekir.

Konunun devamı:

Yeni Makaleler

GPResult Yardımcı Programı.exe– Active Directory etki alanındaki bir bilgisayara ve/veya kullanıcıya uygulanan ayarları analiz etmek ve grup ilkelerini tanılamak için tasarlanmış bir konsol uygulamasıdır. GPResult özellikle, sonuçtaki ilke kümesinden (Resultant Set of Policy, RSOP), uygulanan etki alanı ilkelerinin (GPO'lar), ayarlarından ve işleme hatalarıyla ilgili ayrıntılı bilgilerden veri almanıza olanak tanır. Yardımcı program, Windows XP günlerinden beri Windows işletim sisteminin bir parçası olmuştur. GPResult yardımcı programı, belirli bir ilkenin bir bilgisayar için geçerli olup olmadığı, hangi GPO'nun belirli bir Windows ayarını değiştirdiği gibi soruları yanıtlamanıza ve nedenlerini anlamanıza olanak tanır.

Bu makalede, bir Active Directory etki alanındaki grup ilkeleri uygulamasında tanılama yapmak ve hata ayıklamak için GPResult komutunu kullanmanın ayrıntılarına bakacağız.

Başlangıçta, Windows'ta grup politikalarının uygulanmasını teşhis etmek için, bilgisayara ve kullanıcıya uygulanan sonuçtaki politikaların (etki alanı + yerel) ayarlarının benzer bir grafik biçimde elde edilmesini mümkün kılan RSOP.msc grafik konsolu kullanıldı. GPO editör konsolu (aşağıda, RSOP.msc konsol görünümü örneğinde, güncelleme ayarlarının yapıldığını görebilirsiniz).

Ancak, Windows'un modern sürümlerinde RSOP.msc konsolunun kullanımı pratik değildir, çünkü GPP (Grup İlkesi Tercihleri) gibi çeşitli istemci tarafı uzantıları (CSE) tarafından uygulanan ayarları yansıtmaz, aramaya izin vermez, çok az teşhis bilgisi sağlar. Bu nedenle, şu anda Windows'ta GPO kullanımını teşhis etmek için ana araç GPResult komutudur (Windows 10'da, GPResult'tan farklı olarak RSOP'un tam bir rapor vermediğine dair bir uyarı bile vardır).

GPResult.exe yardımcı programını kullanma

GPResult komutu, grup ilkelerinin uygulanmasını test etmek istediğiniz bilgisayarda çalıştırılır. GPResult komutu aşağıdaki sözdizimine sahiptir:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Belirli bir AD nesnesine (kullanıcı ve bilgisayar) uygulanan grup ilkeleri ve GPO altyapısıyla ilgili diğer ayarlar (yani sonuçta ortaya çıkan GPO ilkesi ayarları - RsoP) hakkında ayrıntılı bilgi almak için şu komutu çalıştırın:

Komut yürütmenin sonuçları 2 bölüme ayrılmıştır:

• BİLGİSAYAR AYARLAR (Bilgisayar Yapılandırması) – bölüm, bilgisayarı etkileyen (bir Active Directory nesnesi olarak) GPO nesneleri hakkında bilgi içerir;
• KULLANICI AYARLAR – ilkelerin kullanıcı bölümü (AD'deki bir kullanıcı hesabına uygulanan ilkeler).

GPResult çıktısında ilgimizi çekebilecek ana parametrelere/bölümlere kısaca göz atalım:

• alanİsim(Site adı:) - bilgisayarın bulunduğu AD sitesinin adı;
• CN– kendisi için RSoP verilerinin oluşturulduğu tam standart kullanıcı/bilgisayar;
• SonzamangrupPolitikaöyleydiuygulamalı(Son uygulanan grup ilkesi) - grup ilkelerinin en son uygulandığı zaman;
• grupPolitikaöyleydiuygulamalıitibaren(Grup İlkesi uygulandı) - GPO'nun en son sürümünün yüklendiği etki alanı denetleyicisi;
• ihtisasİsimve Etki Alanıtip(Alan adı, etki alanı türü) – Active Directory etki alanı şema adı ve sürümü;
• UygulamalıgrupPolitikanesneler(Uygulanan GPO'lar)– etkin grup ilkesi nesnelerinin listeleri;
• butakip etmeGPO'larvardıOlumsuzuygulamalıÇünküOnlarvardıfiltrelenmişdışarı(Aşağıdaki GPO ilkeleri, filtrelendikleri için uygulanmadı) - uygulanmayan (filtrelenen) GPO'lar;
• bukullanıcı/bilgisayardır-dirAparçaile ilgilithetakip etmegüvenlikgruplar(Kullanıcı/bilgisayar aşağıdaki güvenlik gruplarının üyesidir) – Kullanıcının üyesi olduğu etki alanı grupları.

Örneğimizde, kullanıcı nesnesinin 4 grup ilkesinden etkilendiğini görebilirsiniz.

• Varsayılan Etki Alanı Politikası;
• Windows Güvenlik Duvarını etkinleştirin;
• DNS Soneki Arama Listesi

Konsolun hem kullanıcı politikaları hem de bilgisayar politikaları ile ilgili bilgileri aynı anda göstermesini istemiyorsanız /scope seçeneğini kullanarak sadece ilgilendiğiniz bölümü görüntüleyebilirsiniz. Yalnızca ortaya çıkan kullanıcı politikaları:

gpresult /r /kapsam:kullanıcı

veya yalnızca uygulanan bilgisayar politikaları:

gpresult /r /kapsam:bilgisayar

Çünkü Gpresult yardımcı programı, verilerini doğrudan sonraki analiz için her zaman uygun olmayan komut satırı konsoluna verir; çıktısı panoya yönlendirilebilir:

gresult /r |klip

veya metin dosyası:

gpresult /r > c:\gpresult.txt

Son derece ayrıntılı RSOP bilgilerini görüntülemek için /z anahtarını ekleyin.

GPResult kullanan HTML RSOP raporu

Ek olarak, GPResult yardımcı programı, uygulanan sonuç ilkeleri hakkında bir HTML raporu oluşturabilir (Windows 7 ve sonrasında mevcuttur). Bu rapor, grup ilkeleri tarafından ayarlanan tüm sistem ayarları ve bunları ayarlayan belirli GPO'ların adları hakkında ayrıntılı bilgiler içerecektir (yapıyla ilgili sonuç raporu, Etki Alanı Grup İlkesi Yönetim Konsolu - GPMC'deki Ayarlar sekmesine benzer). Şu komutu kullanarak bir HTML GPResult raporu oluşturabilirsiniz:

GPResult /h c:\gp-report\report.html /f

Bir rapor oluşturmak ve raporu otomatik olarak bir tarayıcıda açmak için şu komutu çalıştırın:

GPResult /h GPResult.html & GPResult.html

gpresult HTML raporu pek çok yararlı bilgi içerir: GPO uygulama hataları, işlem süresi (ms cinsinden) ve belirli ilkelerin uygulanması ve CSE (Bilgisayar Ayrıntıları -> Bileşen Durumu bölümünde) görülebilir. Örneğin, yukarıdaki ekran görüntüsünde, Varsayılan Etki Alanı Politikası (Kazanan GPO sütunu) tarafından 24 parola hatırlama ayarlarına sahip ilkenin uygulandığını görebilirsiniz. Gördüğünüz gibi, böyle bir HTML raporu, uygulanan politikaları analiz etmek için rsop.msc konsolundan çok daha uygundur.

Uzak bir bilgisayardan GPResult verilerini alma

GPResult ayrıca uzak bir bilgisayardan veri toplayabilir ve bir yöneticinin yerel olarak oturum açma veya uzak bir bilgisayarda RDP oluşturma ihtiyacını ortadan kaldırır. Uzak bir bilgisayardan RSOP verilerini toplamak için komut formatı aşağıdaki gibidir:

GPResult /s sunucu-ts1 /r

Benzer şekilde, hem kullanıcı politikalarından hem de bilgisayar politikalarından verileri uzaktan toplayabilirsiniz.

kullanıcı adı RSOP verisine sahip değil

UAC etkinken GPResult'u yükseltilmiş ayrıcalıklar olmadan çalıştırmak, yalnızca Grup İlkesi'nin özel bölümü için ayarları görüntüler. Her iki bölümü de (KULLANICI AYARLARI ve BİLGİSAYAR AYARLARI) aynı anda görüntülemeniz gerekiyorsa, komut çalıştırılmalıdır. Yükseltilmiş komut istemi geçerli kullanıcıdan başka bir sistemdeyse, yardımcı program bir uyarı verir. BİLGİ:kullanıcı"ihtisas\ kullanıcı"yapmakOlumsuzsahip olmakRSOPveri ('etki alanı\kullanıcı' kullanıcısının RSOP verisi yok). Bunun nedeni, GPResult'un onu çalıştıran kullanıcı için bilgi toplamaya çalışmasıdır. Bu kullanıcı sistemde oturum açmamıştır ve bu kullanıcı için hiçbir RSOP bilgisi mevcut değildir. Aktif oturumu olan bir kullanıcının RSOP bilgilerini toplamak için hesabını belirtmeniz gerekir:

gpresult /r /kullanıcı:tn\edward

Uzak bilgisayarda oturum açmış olan hesabın adını bilmiyorsanız, hesabı şu şekilde alabilirsiniz:

qwinsta /SUNUCU: uzakPC1

Ayrıca istemcideki saat(ler)i de kontrol edin. Saat, PDC'deki (Birincil Etki Alanı Denetleyicisi) saatle eşleşmelidir.

Aşağıdaki GPO politikaları, filtrelendikleri için uygulanmadı

Grup ilkelerini giderirken, şu bölüme de dikkat etmelisiniz: Aşağıdaki GPO'lar filtrelendikleri için uygulanmadı (Aşağıdaki GPO ilkeleri, filtrelendikleri için uygulanmadı). Bu bölüm, şu veya bu nedenle bu nesne için geçerli olmayan GPO'ların bir listesini görüntüler. Politikanın geçerli olmayabileceği olası seçenekler:

Etkin İzinler sekmesinde (Gelişmiş -> Etkin Erişim) ilkenin belirli bir AD nesnesine uygulanması gerekip gerekmediğini de anlayabilirsiniz.

Bu nedenle, bu makalede, GPResult yardımcı programını kullanarak grup ilkeleri uygulamasının tanılama özelliklerini inceledik ve kullanımı için tipik senaryoları inceledik.

Ders 4 Ağ İlkesi Sunucusu: RADIUS Sunucusu, RADIUS Proxy ve Güvenlik İlkesi Sunucusu

Ders 4

Konu: Ağ İlkesi Sunucusu: RADIUS Sunucusu, RADIUS Proxy ve Ağ Erişim Koruması İlkesi Sunucusu

giriiş

Windows Server 2008 ve Windows Server 2008 R2, yeni nesil ağlara, uygulamalara ve web hizmetlerine güç sağlamak için tasarlanmış gelişmiş Windows Server işletim sistemleridir. Bu işletim sistemleriyle esnek ve yaygın kullanıcı ve uygulama deneyimleri tasarlayabilir, sunabilir ve yönetebilir, yüksek düzeyde güvenli ağ altyapıları oluşturabilir ve kuruluşunuzda teknoloji verimliliğini ve organizasyonunu artırabilirsiniz.

Ağ İlkesi Sunucusu

Ağ İlkesi Sunucusu, istemci sağlığını sağlamak ve bağlantı isteklerini doğrulamak ve yetkilendirmek için kuruluş çapında ağ erişim ilkeleri oluşturmanıza ve uygulamanıza olanak tanır. Bağlantı isteklerini NPS'ye veya uzak RADIUS sunucu gruplarında yapılandırılan diğer RADIUS sunucularına iletmek için bir RADIUS proxy'si olarak NPS'yi de kullanabilirsiniz.

Ağ İlkesi Sunucusu, aşağıdaki üç seçenek aracılığıyla istemci ağ erişimi kimlik doğrulaması, yetkilendirme ve sağlık ilkelerini merkezi olarak yapılandırmanıza ve yönetmenize olanak tanır:

RADIUS sunucusu. NPS, kablosuz bağlantılar, kimliği doğrulanmış anahtar bağlantıları, çevirmeli bağlantılar ve sanal özel ağ (VPN) bağlantıları için kimlik doğrulama, yetkilendirme ve muhasebe işlemlerini merkezi olarak gerçekleştirir. NPS'yi RADIUS sunucusu olarak kullanırken, kablosuz erişim noktaları ve VPN sunucuları gibi ağ erişim sunucuları, NPS'de RADIUS istemcileri olarak yapılandırılır. Ayrıca, NPS'nin bağlantı isteklerini yetkilendirmek için kullandığı ağ ilkelerini de yapılandırır. Ek olarak, RADIUS muhasebesini, bilgilerin NPS tarafından yerel bir sabit sürücüde veya bir Microsoft SQL Server veritabanında depolanan dosyaları günlüğe kaydetmek için kaydedileceği şekilde yapılandırabilirsiniz.

RADIUS proxy'si. NPS bir RADIUS proxy'si olarak kullanılıyorsa, NPS'nin hangi bağlantı isteklerini diğer RADIUS sunucularına ileteceğini ve hangi belirli RADIUS sunucularının bu istekleri ileteceğini belirleyen bağlantı isteği ilkelerini yapılandırmanız gerekir. NPS, uzak bir RADIUS sunucu grubundaki bir veya daha fazla bilgisayarda depolanacak kimlik bilgilerini yeniden yönlendirmek üzere de yapılandırılabilir.

Ağ Erişim Koruması (NAP) ilke sunucusu. NPS, bir NAP ilke sunucusu olarak yapılandırıldığında, ağa bağlanmaya çalışan NAP etkin istemci bilgisayarlar tarafından gönderilen sağlık durumlarını değerlendirir. Ağ Erişim Koruması ile yapılandırılmış bir Ağ İlkesi Sunucusu, bağlantı isteklerini doğrulayan ve yetkilendiren bir RADIUS sunucusu gibi davranır. Ağ İlkesi Sunucusu, İstemci bilgisayarların kuruluşun ağ ilkesine göre güncellenmesini sağlayan Sistem Durumu Denetleyicileri, Sağlık İlkesi ve Güncelleme Sunucusu grupları dahil olmak üzere Ağ Erişimi Koruması ilkelerini ve ayarlarını yapılandırmanıza olanak tanır.

Ağ İlkesi Sunucusunda yukarıda listelenen özelliklerin herhangi bir kombinasyonunu yapılandırabilirsiniz. Örneğin, NPS, çevirmeli bağlantılar için bir RADIUS sunucusu ve bazı bağlantı isteklerini bir grup uzak RADIUS sunucusuna iletmek için bir RADIUS proxy'si olarak hareket ederken, bir veya daha fazla zorlama yöntemi kullanarak bir NAP ilke sunucusu olarak hareket edebilir; farklı bir etki alanında yetkilendirme.

RADIUS sunucusu ve RADIUS proxy'si

NPS, RADIUS sunucusu, RADIUS proxy sunucusu veya her ikisi olarak kullanılabilir.

RADIUS sunucusu

Microsoft NPS, IETF RFC 2865 ve RFC 2866'da açıklanan RADIUS standardına uygun olarak uygulanmaktadır. Bir RADIUS sunucusu olarak NPS, kablosuz erişim, kimlik doğrulamalı anahtarlama, çevirme dahil olmak üzere çeşitli ağ erişimi türleri için merkezi olarak kimlik doğrulama, yetkilendirme ve bağlantı hesabı gerçekleştirir. -up ve VPN erişimi ve yönlendiriciler arasındaki bağlantılar.

Ağ İlkesi Sunucusu, kablosuz erişim, uzaktan erişim, VPN ağları ve anahtarlama için heterojen bir ekipman seti kullanmanızı sağlar. Ağ İlkesi Sunucusu, Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ve Windows Server 2003, Datacenter Edition işletim sistemlerinde bulunan Yönlendirme ve Uzaktan Erişim hizmetiyle birlikte kullanılabilir.

NPS bilgisayarı bir Active Directory® etki alanının üyesiyse, NPS bu dizin hizmetini kullanıcı hesabı veritabanı olarak kullanır ve çoklu oturum açma çözümünün bir parçasıdır. Aynı kimlik bilgileri seti, ağ erişimini kontrol etmek (ağ erişimini doğrulamak ve yetkilendirmek) ve bir Active Directory etki alanında oturum açmak için kullanılır.

Ağ erişimi sağlayan ISP'ler ve kuruluşlar, kullanılan ağ erişim ekipmanından bağımsız olarak, tüm ağ türlerini tek bir yönetim noktasından yönetmenin daha karmaşık zorluklarıyla karşı karşıyadır. RADIUS standardı, bu işlevselliği hem homojen hem de heterojen ortamlarda destekler. RADIUS protokolü, ağ erişim ekipmanının (RADIUS istemcileri gibi davranan) bir RADIUS sunucusuna kimlik doğrulama ve hesap oluşturma istekleri göndermesine izin veren bir istemci/sunucu protokolüdür.

RADIUS sunucusunun kullanıcı hesap bilgilerine erişimi vardır ve ağ erişimi vermek için kimlik doğrulaması yaparken kimlik bilgilerini doğrulayabilir. Kullanıcının kimlik bilgileri doğruysa ve bağlantı girişimi yetkilendirildiyse, RADIUS sunucusu belirtilen koşullara göre o kullanıcının erişimine izin verir ve bağlantı bilgilerini günlüğe kaydeder. RADIUS protokolünün kullanılması, kimlik doğrulama, yetkilendirme ve muhasebe bilgilerinin her bir erişim sunucusunda gerçekleştirilmesi yerine tek bir konumda toplanmasına ve saklanmasına olanak tanır.

RADIUS proxy'si

Bir RADIUS proxy'si olarak NPS, kimlik doğrulama ve hesap oluşturma mesajlarını diğer RADIUS sunucularına iletir.

NPS ile kuruluşlar, kullanıcı kimlik doğrulaması, yetkilendirme ve hesap oluşturma üzerindeki denetimi sürdürürken uzaktan erişim altyapılarını bir hizmet sağlayıcıya yaptırabilir.

NPS yapılandırmaları aşağıdaki senaryolar için oluşturulabilir:

Kablosuz erişim

Bir kuruluştaki çevirmeli veya sanal özel ağ bağlantısı.

Harici bir kuruluş tarafından sağlanan uzaktan erişim veya kablosuz erişim

internet girişi

İş ortakları için harici ağ kaynaklarına kimliği doğrulanmış erişim

RADIUS Sunucusu ve RADIUS Proxy Yapılandırma Örnekleri

Aşağıdaki yapılandırma örnekleri, NPS'nin bir RADIUS sunucusu ve RADIUS proxy sunucusu olarak nasıl yapılandırılacağını gösterir.

RADIUS sunucusu olarak NPS. Bu örnekte, NPS bir RADIUS sunucusu olarak yapılandırılmıştır, yapılandırılan tek ilke varsayılan bağlantı isteği ilkesidir ve tüm bağlantı istekleri yerel NPS tarafından işlenir. NPS, hesapları sunucunun etki alanında veya güvenilir etki alanlarında bulunan kullanıcıların kimliğini doğrulayabilir ve yetkilendirebilir.

RADIUS proxy'si olarak NPS. Bu örnekte NPS, bağlantı isteklerini iki farklı güvenilmeyen etki alanındaki uzak RADIUS sunucu gruplarına ileten bir RADIUS proxy'si olarak yapılandırılmıştır. Varsayılan bağlantı isteği ilkesi kaldırılır ve istekleri güvenilmeyen iki etki alanının her birine yeniden yönlendiren iki yeni bağlantı isteği ilkesiyle değiştirilir. Bu örnekte NPS, yerel sunucudaki bağlantı isteklerini işlemez.

Hem RADIUS sunucusu hem de RADIUS proxy'si olarak NPS. İstekleri yerel olarak işleyen varsayılan bağlantı isteği ilkesine ek olarak, onları güvenilmeyen bir etki alanındaki NPS'ye veya başka bir RADIUS sunucusuna yönlendirmek için yeni bir bağlantı isteği ilkesi oluşturulur. İkinci ilke Proxy olarak adlandırılır. Bu örnekte Proxy ilkesi, sıralı ilkeler listesinde ilk sırada görünür. Bağlantı isteği Proxy ilkesiyle eşleşirse, bağlantı isteği uzak RADIUS sunucu grubundaki RADIUS sunucusuna iletilir. Bir bağlantı isteği Proxy ilkesiyle eşleşmiyorsa ancak varsayılan bağlantı isteği ilkesiyle eşleşiyorsa, NPS bağlantı isteğini yerel sunucuda işler. Bir bağlantı isteği bu politikalardan herhangi biriyle eşleşmezse reddedilir.

Uzak muhasebe sunucularına sahip bir RADIUS sunucusu olarak NPS. Bu örnekte, yerel NPS hesap oluşturma için yapılandırılmamıştır ve varsayılan bağlantı isteği ilkesi, RADIUS hesap oluşturma mesajlarının NPS'ye veya uzak RADIUS sunucu grubundaki başka bir RADIUS sunucusuna iletilmesi için değiştirilmiştir. Hesaplama iletilerinin iletilmesine rağmen, kimlik doğrulama ve yetkilendirme iletileri iletilmez ve yerel etki alanı ve tüm güvenilen etki alanları için uygun işlevsellik, yerel NPS tarafından yönetilir.

Uzak RADIUS'tan Windows kullanıcı eşlemesine sahip NPS. Bu örnekte NPS, yerel bir Windows kullanıcı hesabı kullanarak yetkilendirme yaparken kimlik doğrulama isteğini uzak bir RADIUS sunucusuna yönlendirerek, her bir bağlantı isteği için hem bir RADIUS sunucusu hem de bir RADIUS proxy'si görevi görür. Bu yapılandırma, bağlantı isteği ilkesinin bir koşulu olarak Windows'a Uzak RADIUS Sunucu Eşlemesi kullanıcı özniteliği ayarlanarak uygulanır. (Ayrıca, RADIUS sunucusunda, uzak RADIUS sunucusunun kimlik doğrulaması yapacağı uzak hesapla aynı ada sahip bir yerel kullanıcı hesabı oluşturmalısınız.)

Ağ Erişimi Koruma İlkesi Sunucusu

Ağ Erişim Koruması, Windows Vista®, Windows® 7, Windows Server® 2008 ve Windows Server® 2008 R2'ye dahildir. İstemci bilgisayarların, bu istemcilerin ağ kaynaklarına erişmesine izin verirken kuruluşun ağında yürürlükte olan sağlık politikalarına uymasını sağlayarak özel ağlara erişimin korunmasına yardımcı olur. Ayrıca, istemci bilgisayar ağa bağlıyken, istemci bilgisayarın yönetici tanımlı sağlık ilkesiyle uyumluluğu Ağ Erişim Koruması tarafından izlenir. Ağ Erişim Korumasını otomatik güncelleme özelliği sayesinde, uyumlu olmayan bilgisayarlar sistem durumu ilkesine göre otomatik olarak güncellenebilir ve böylece daha sonra ağa erişimleri sağlanabilir.

Sistem yöneticileri, ağ sağlığı ilkelerini tanımlar ve bu ilkeleri, NPS'den edinilebilen veya diğer şirketler tarafından sağlanan (NAP uygulamasına bağlı olarak) NAP bileşenlerini kullanarak oluşturur.

Sağlık ilkeleri, yazılım gereksinimleri, güvenlik güncelleştirmesi gereksinimleri ve yapılandırma ayarları gereksinimleri gibi özelliklere sahip olabilir. Ağ Erişim Koruması, istemci bilgisayarların durumunu kontrol edip değerlendirerek, uyumlu olmayan bilgisayarlara ağ erişimini kısıtlayarak ve sınırsız ağ erişimi sağlamak için tutarsızlığı düzelterek sağlık ilkelerini uygular.

Windows Server işletim sistemindeki işlevsellik hesaplanır ve sürümden sürüme geliştirilir, giderek daha fazla rol ve bileşen vardır, bu nedenle bugünün makalesinde kısaca açıklamaya çalışacağım Windows Server 2016'daki her rolün tanımı ve amacı.

Windows Server sunucu rollerinin açıklamasına geçmeden önce tam olarak ne olduğunu öğrenelim" sunucu rolü» Windows Server işletim sisteminde.

Windows Server'da "Sunucu Rolü" nedir?

Sunucu Rolü- bu, sunucu tarafından belirli bir işlevin yerine getirilmesini sağlayan bir yazılım paketidir ve bu işlev ana işlevdir. Başka bir deyişle, " sunucu rolü' sunucunun amacı, yani bu ne için. Böylece sunucu ana işlevini yerine getirebilir, yani. belirli bir rol sunucu rolü» bunun için gerekli tüm yazılımları içerir ( programlar, hizmetler).

Sunucu, aktif olarak kullanılıyorsa bir role veya her biri sunucuyu ağır bir şekilde yüklemiyorsa ve nadiren kullanılıyorsa birkaç role sahip olabilir.

Bir sunucu rolü, rolün işlevselliğini sağlayan birden çok rol hizmeti içerebilir. Örneğin, sunucu rolünde " Web sunucusu (IIS)” oldukça fazla sayıda hizmeti içerir ve “ rolü Dns sunucusu» rol hizmetlerini içermez, çünkü bu rol yalnızca bir işlevi yerine getirir.

Rol Hizmetleri, ihtiyaçlarınıza bağlı olarak hep birlikte veya ayrı ayrı kurulabilir. Temel olarak, bir rol yüklemek, hizmetlerinden birini veya daha fazlasını yüklemek anlamına gelir.

Windows Server ayrıca " Bileşenler» sunucu.

Sunucu Bileşenleri (Özellik) bir sunucu rolü olmayan, ancak bir veya daha fazla rolün yeteneklerini genişleten veya bir veya daha fazla rolü yöneten yazılım araçlarıdır.

Sunucu, rollerin çalışması için gerekli olan gerekli hizmetlere veya bileşenlere sahip değilse, bazı roller yüklenemez. Bu nedenle, bu tür rollerin kurulumu sırasında " Rol ve Özellik Ekleme Sihirbazı» kendisi, sizden gerekli ek rol hizmetlerini veya bileşenlerini yüklemenizi otomatik olarak isteyecektir.

Windows Server 2016 sunucu rollerinin açıklaması

Muhtemelen Windows Server 2016'daki rollerin çoğuna zaten aşinasınızdır, çünkü bunlar oldukça uzun bir süredir ortalıkta dolaşmaktadır, ancak dediğim gibi, Windows Server'ın her yeni sürümünde, çalışmamış olabileceğiniz yeni roller eklenir. ile, ama ne için olduklarını bilmek isteriz, o yüzden onlara bakmaya başlayalım.

Not! Windows Server 2016 işletim sisteminin yeni özelliklerini "Windows Server 2016 Kurulumu ve yeni özelliklere genel bakış" materyalinde okuyabilirsiniz..

Rollerin, hizmetlerin ve bileşenlerin kurulumu ve yönetimi sıklıkla Windows PowerShell kullanılarak gerçekleştiğinden, her rol ve hizmeti için sırasıyla kurulumu veya yönetimi için PowerShell'de kullanılabilecek bir ad belirteceğim.

DHCP Sunucusu

Bu rol, ağınızdaki bilgisayarlar ve aygıtlar için dinamik IP adreslerini ve ilgili ayarları merkezi olarak yapılandırmanıza olanak tanır. DHCP Sunucusu rolünün rol hizmetleri yoktur.

Windows PowerShell'in adı DHCP'dir.

Dns sunucusu

Bu rol, TCP/IP ağlarında ad çözümlemesi için tasarlanmıştır. DNS Sunucusu rolü, DNS'yi sağlar ve sürdürür. Bir DNS sunucusunun yönetimini basitleştirmek için genellikle Active Directory Etki Alanı Hizmetleri ile aynı sunucuya kurulur. DNS Sunucusu rolünün rol hizmetleri yoktur.

PowerShell için rol adı DNS'dir.

Hyper-V

Hyper-V rolü ile sanallaştırılmış bir ortam oluşturabilir ve yönetebilirsiniz. Başka bir deyişle, sanal makineler oluşturmaya ve yönetmeye yarayan bir araçtır.

Windows PowerShell için rol adı Hyper-V'dir.

Cihaz sağlığı onayı

rol " » güvenli önyükleme ve istemcideki Bitlocker durumu göstergeleri gibi ölçülen güvenlik parametreleri göstergelerine dayalı olarak cihazın sağlığını değerlendirmenize olanak tanır.

Bu rolün çalışması için birçok rol hizmeti ve bileşeni gereklidir, örneğin: " rolünden birkaç hizmet Web sunucusu (IIS)", bileşen " ", bileşen " .NET Framework 4.6 özellikleri».

Yükleme sırasında gerekli tüm rol hizmetleri ve özellikler otomatik olarak seçilecektir. rol" Cihaz sağlığı onayı» Rol hizmeti yoktur.

PowerShell'in adı DeviceHealthAttestationService'dir.

Web sunucusu (IIS)

Güvenilir, yönetilebilir ve ölçeklenebilir bir web uygulama altyapısı sağlar. Oldukça fazla sayıda hizmetten oluşur (43).

Windows PowerShell'in adı Web Sunucusudur.

Aşağıdaki rol hizmetlerini içerir ( parantez içinde Windows PowerShell'in adını belirteceğim):

Web sunucusu (Web-WebSunucusu)- HTML web siteleri, ASP.NET uzantıları, ASP ve web sunucusu için destek sağlayan bir grup rol hizmeti. Aşağıdaki hizmetlerden oluşur:

• Güvenlik (Web Güvenliği)- web sunucusunun güvenliğini sağlamak için bir dizi hizmet.
  • İstek filtreleme (Web Filtreleme) - bu araçları kullanarak sunucuya gelen tüm istekleri işleyebilir ve bu istekleri web sunucusu yöneticisi tarafından belirlenen özel kurallara göre filtreleyebilirsiniz;
  • IP adresi ve etki alanı kısıtlamaları (Web-IP-Security) - bu araçlar, istekteki kaynağın IP adresine veya alan adına bağlı olarak bir web sunucusundaki içeriğe erişime izin vermenizi veya erişimi reddetmenizi sağlar;
  • URL Yetkilendirmesi (Web-Url-Auth) - araçlar, web içeriğine erişimi kısıtlamak ve bunları kullanıcılar, gruplar veya HTTP başlık komutlarıyla ilişkilendirmek için kurallar tasarlamanıza olanak tanır;
  • Özet Kimlik Doğrulaması (Web-Digest-Auth) - Bu kimlik doğrulama, temel kimlik doğrulamasından daha yüksek düzeyde güvenlik sağlar. Kullanıcı kimlik doğrulaması için özet kimlik doğrulaması, bir Windows etki alanı denetleyicisine bir parola karması geçirmek gibi çalışır;
  • Temel Kimlik Doğrulama (Web-Basic-Auth) - Bu kimlik doğrulama yöntemi, güçlü web tarayıcısı uyumluluğu sağlar. Küçük dahili ağlarda kullanılması tavsiye edilir. Bu yöntemin ana dezavantajı, ağ üzerinden iletilen parolaların oldukça kolay bir şekilde ele geçirilip şifresinin çözülebilmesidir, bu nedenle bu yöntemi SSL ile birlikte kullanın;
  • Windows Kimlik Doğrulaması (Web-Windows-Auth), Windows etki alanı kimlik doğrulamasına dayalı bir kimlik doğrulamadır. Başka bir deyişle, Web sitelerinizin kullanıcılarının kimliğini doğrulamak için Active Directory hesaplarını kullanabilirsiniz;
  • İstemci Sertifika Eşleme Kimlik Doğrulaması (Web-Client-Auth) - Bu kimlik doğrulama yöntemi, bir istemci sertifikası kullanır. Bu tür, sertifika eşlemesi sağlamak için Active Directory hizmetlerini kullanır;
  • IIS İstemci Sertifikası Eşleme Kimlik Doğrulaması (Web-Cert-Auth) - Bu yöntem ayrıca kimlik doğrulama için istemci sertifikalarını kullanır, ancak sertifika eşlemesi sağlamak için IIS'yi kullanır. Bu tip daha iyi performans sağlar;
  • Merkezileştirilmiş SSL sertifika desteği (Web-CertProvider) - bu araçlar, SSL sunucu sertifikalarını merkezi olarak yönetmenize izin vererek, bu sertifikaları yönetme sürecini büyük ölçüde basitleştirir;
• Servis verilebilirlik ve tanılama (Web-Health)– web sunucularını, siteleri ve uygulamaları izlemek, yönetmek ve sorun gidermek için bir dizi hizmet:
  • http günlüğü (Web-Http-Logging) - araçlar, belirli bir sunucuda web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, örn. günlük girişi;
  • ODBC Günlüğü (Web-ODBC-Günlüğü) – Bu araçlar ayrıca web sitesi etkinliğinin günlüğe kaydedilmesini sağlar, ancak bu etkinliğin ODBC uyumlu bir veritabanına kaydedilmesini destekler;
  • İstek İzleme (Web-Request-Monitor), IIS çalışan sürecindeki HTTP istekleri hakkındaki bilgileri yakalayarak bir web uygulamasının durumunu izlemenize olanak sağlayan bir araçtır;
  • Özel Günlüğe Kaydetme (Web-Custom-Logging) - Bu araçları kullanarak, standart IIS biçiminden önemli ölçüde farklı bir biçimde web sunucusu etkinliğinin günlüğe kaydedilmesini yapılandırabilirsiniz. Başka bir deyişle, kendi kayıt modülünüzü oluşturabilirsiniz;
  • Günlük tutma araçları (Web-Log-Libraries), web sunucusu günlüklerini yönetmeye ve günlük tutma görevlerini otomatikleştirmeye yönelik araçlardır;
  • Tracing (Web-Http-Tracing), web uygulamalarındaki ihlalleri teşhis etmek ve çözmek için kullanılan bir araçtır.
• http Ortak İşlevler (Web-Ortak-Http)– temel HTTP işlevselliği sağlayan bir dizi hizmet:
  • Varsayılan Belge (Web-Default-Doc) - Bu özellik, kullanıcılar istek URL'sinde belirli bir belge belirtmediğinde web sunucusunu varsayılan bir belge döndürecek şekilde yapılandırmanıza olanak tanır ve kullanıcıların web sitesine erişmesini kolaylaştırır, örneğin, etki alanı, bir dosya belirtmeden;
  • Dizin Tarama (Web-Dir-Browsing) - Bu araç, kullanıcıların bir web sitesindeki tüm dizinlerin ve dosyaların bir listesini görüntüleyebilmesi için bir web sunucusunu yapılandırmak için kullanılabilir. Örneğin, kullanıcıların istek URL'sinde bir dosya belirtmediği ve varsayılan belgelerin devre dışı bırakıldığı veya yapılandırılmadığı durumlar için;
  • http hataları (Web-Http-Hataları) - bu özellik, web sunucusu tarafından bir hata algılandığında kullanıcıların web tarayıcılarına döndürülecek hata mesajlarını yapılandırmanıza olanak tanır. Bu araç, kullanıcılara hata mesajlarını daha kolay sunmak için kullanılır;
  • Statik içerik (Web-Static-Content) - bu araç, bir web sunucusundaki içeriği HTML dosyaları veya görüntü dosyaları gibi statik dosya biçimleri biçiminde kullanmanıza olanak tanır;
  • http yönlendirme (Web-Http-Yönlendirme) - bu özelliği kullanarak, bir kullanıcı isteğini belirli bir hedefe yönlendirebilirsiniz, örn. bu Yönlendirme;
  • WebDAV Yayınlama (Web-DAV-Yayınlama) - WebDAV teknolojisini IIS WEB sunucusunda kullanmanızı sağlar. WebDAV ( Web Dağıtılmış Yazma ve Sürüm Oluşturma) kullanıcıların birlikte çalışmasına izin veren bir teknolojidir ( okuma, düzenleme, okuma özellikleri, kopyalama, taşıma) HTTP protokolünü kullanan uzak web sunucularındaki dosyalar üzerinden.
• Performans (Web Performansı)- çıktı önbelleğe alma ve Gzip ve Deflate gibi yaygın sıkıştırma mekanizmaları aracılığıyla daha yüksek web sunucusu performansı elde etmeye yönelik bir dizi hizmet:
  • Statik İçerik Sıkıştırma (Web-Stat-Sıkıştırma), http statik içeriğinin sıkıştırılmasını özelleştirmek için bir araçtır, gereksiz CPU yükü olmadan bant genişliğinin daha verimli kullanılmasına olanak tanır;
  • Dynamic Content Compression (Web-Dyn-Compression), HTTP dinamik içerik sıkıştırmasını yapılandırmak için bir araçtır. Bu araç, bant genişliğinin daha verimli kullanılmasını sağlar, ancak bu durumda, dinamik sıkıştırma ile ilişkili sunucu CPU yükü, sıkıştırma olmadan bile CPU yükü yüksekse siteyi yavaşlatabilir.
• Uygulama Geliştirme (Web-App-Dev)- web uygulamalarını, başka bir deyişle web sitesi geliştirme teknolojilerini geliştirmek ve barındırmak için bir dizi hizmet ve araç:
  • ASP (Web-ASP), ASP teknolojisini kullanarak web sitelerini ve web uygulamalarını desteklemek ve geliştirmek için kullanılan bir ortamdır. Şu anda daha yeni ve daha gelişmiş bir web sitesi geliştirme teknolojisi var - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net), ASP.NET teknolojisini kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • ASP.NET 4.6 (Web-Asp-Net45), ASP.NET'in yeni sürümünü kullanan web siteleri ve web uygulamaları için nesne yönelimli bir geliştirme ortamıdır;
  • CGI (Web-CGI), bilgileri bir web sunucusundan harici bir programa aktarmak için CGI kullanma yeteneğidir. CGI, harici bir programı bir web sunucusuna bağlamak için kullanılan bir tür arayüz standardıdır. Bir dezavantajı var, CGI kullanımı performansı etkiliyor;
  • Sunucu Tarafı Kapsamaları (SSI) (Web İçeriği), SSI betik dili ( sunucu tarafı etkinleştir), HTML sayfalarını dinamik olarak oluşturmak için kullanılır;
  • Uygulama başlatma (Web-AppInit) - bu araç, bir web sayfasını göndermeden önce web uygulamalarını başlatma görevlerini yerine getirir;
  • WebSocket Protokolü (Web-WebSockets) - WebSocket protokolünü kullanarak iletişim kuran sunucu uygulamaları oluşturma yeteneği ekler. WebSocket, HTTP protokolünün bir tür uzantısı olan TCP bağlantısı üzerinden bir tarayıcı ve bir web sunucusu arasında aynı anda veri gönderip alabilen bir protokoldür;
  • ISAPI uzantıları (Web-ISAPI-Ext) - ISAPI uygulama programlama arabirimini kullanarak web içeriğinin dinamik olarak geliştirilmesi için destek. ISAPI, IIS web sunucusu için bir API'dir. ISAPI uygulamaları, ASP dosyalarından veya COM+ bileşenlerini çağıran dosyalardan çok daha hızlıdır;
  • .NET 3.5 Genişletilebilirliği (Web-Net-Ext), istek işleme ardışık düzeni, yapılandırması ve kullanıcı arabirimi boyunca web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize izin veren bir .NET 3.5 genişletilebilirlik özelliğidir;
  • .NET 4.6 Genişletilebilirliği (Web-Net-Ext45), tüm istek işleme boru hattı, yapılandırma ve kullanıcı arabirimi genelinde web sunucusu işlevselliğini değiştirmenize, eklemenize ve genişletmenize de izin veren bir .NET 4.6 genişletilebilirlik özelliğidir;
  • ISAPI Filtreleri (Web-ISAPI-Filter) - ISAPI filtreleri için destek ekleyin. ISAPI filtreleri, bir web sunucusu bu filtre tarafından işlenmek üzere belirli bir HTTP isteği aldığında çağrılan programlardır.

FTP - sunucu (Web-Ftp-Sunucu)– FTP protokolü için destek sağlayan hizmetler. FTP sunucusu hakkında daha ayrıntılı olarak "Windows Server 2016'da bir FTP sunucusu kurma ve yapılandırma" materyalinde konuştuk. Aşağıdaki hizmetleri içerir:

• FTP Hizmeti (Web-Ftp-Service) - web sunucusunda FTP protokolü için destek ekler;
• FTP Genişletilebilirliği (Web-Ftp-Ext) - Özel sağlayıcılar, ASP.NET kullanıcıları veya IIS yöneticisi kullanıcıları gibi özellikler için destek eklemek gibi standart FTP yeteneklerini genişletir.

Yönetim Araçları (Web-Yönetim-Araçları) IIS 10 web sunucusu için yönetim araçlarıdır. Bunlar şunları içerir: IIS kullanıcı arabirimi, komut satırı araçları ve betikler.

• IIS Yönetim Konsolu (Web-Mgmt-Console), IIS'yi yönetmek için kullanılan kullanıcı arabirimidir;
• Karakter kümeleri ve IIS yönetim araçları (Web-Scripting-Tools), komut satırını veya komut dosyalarını kullanarak IIS'yi yönetmek için kullanılan araçlar ve komut dosyalarıdır. Örneğin kontrolü otomatikleştirmek için kullanılabilirler;
• Yönetim Hizmeti (Web-Mgmt-Service) - bu hizmet, IIS Yöneticisini kullanarak bir web sunucusunu başka bir bilgisayardan uzaktan yönetme yeteneği ekler;
• IIS 6 Uyumluluk Yönetimi (Web-Mgmt-Compat) - İki IIS API'sini kullanan uygulamalar ve betikler için uyumluluk sağlar. Mevcut IIS 6 betikleri, IIS 10 web sunucusunu yönetmek için kullanılabilir:
  • IIS 6 Uyumluluk Metatabanı (Web-Metatabanı), IIS'nin önceki sürümlerinden taşınan uygulamaları ve karakter kümelerini çalıştırmanıza izin veren bir uyumluluk aracıdır;
  • IIS 6 Komut Dosyası Araçları (Web-Lgcy-Scripting) - Bu araçlar, IIS 10'da IIS 6'yı yönetmek için oluşturulan aynı IIS 6 Komut Dosyası Hizmetlerini kullanmanıza olanak tanır;
  • IIS 6 Yönetim Konsolu (Web-Lgcy-Mgmt-Console), uzak IIS 6.0 sunucularını yönetmek için bir araçtır;
  • IIS 6 WMI Uyumluluğu (Web-WMI), bir WMI sağlayıcısında oluşturulan bir dizi komut dosyası kullanarak IIS 10.0 Web sunucusu görevlerini programlı olarak kontrol etmek ve otomatikleştirmek için Windows Yönetim Araçları (WMI) komut dosyası arabirimleridir.

Aktif Dizin Etki Alanı Hizmetleri

rol " Aktif Dizin Etki Alanı Hizmetleri» (AD DS), ağ kaynakları hakkındaki bilgileri depolayan ve işleyen dağıtılmış bir veritabanı sağlar. Bu rol, kullanıcılar, bilgisayarlar ve diğer aygıtlar gibi ağ öğelerini hiyerarşik bir kapsama yapısında düzenlemek için kullanılır. Hiyerarşik yapı, ormanları, bir orman içindeki etki alanlarını ve her etki alanı içindeki kuruluş birimlerini (OU'lar) içerir. AD DS'yi çalıştıran sunucuya etki alanı denetleyicisi denir.

Windows PowerShell için rol adı AD-Domain-Services'tir.

Windows Server Essentials Modu

Bu rol bir bilgisayar altyapısıdır ve kullanışlı ve verimli özellikler sağlar, örneğin: istemci verilerini merkezi bir konumda depolamak ve sunucu ve istemci bilgisayarları yedekleyerek bu verileri korumak, neredeyse her cihazdan verilere erişmenizi sağlayan uzak web erişimi . Bu rol, birkaç rol hizmeti ve özelliği gerektirir, örneğin: BranchCache Özellikleri, Windows Server Yedekleme, Grup İlkesi Yönetimi, Rol Hizmeti " DFS Ad Alanları».

PowerShell'in adı ServerEssentialsRole'dur.

Ağ denetleyicisi

Windows Server 2016'da tanıtılan bu rol, veri merkezindeki fiziksel ve sanal ağ altyapısını yönetmek, izlemek ve teşhis etmek için tek bir otomasyon noktası sağlar. Bu rolü kullanarak, Hyper-V ana bilgisayarlarının IP alt ağlarını, VLAN'larını, fiziksel ağ adaptörlerini tek bir noktadan yapılandırabilir, sanal anahtarları, fiziksel yönlendiricileri, güvenlik duvarı ayarlarını ve VPN ağ geçitlerini yönetebilirsiniz.

Windows PowerShell'in adı NetworkController'dır.

Düğüm Koruma Hizmeti

Bu, Barındırılan Koruma Hizmeti (HGS) sunucu rolüdür ve korumalı ana bilgisayarların korumalı sanal makineler çalıştırmasına izin veren doğrulama ve anahtar koruma hizmetleri sağlar. Bu rolün çalışması için birkaç ek rol ve bileşen gereklidir, örneğin: Active Directory Etki Alanı Hizmetleri, Web Sunucusu (IIS), " Yük Devretme Kümelemesi" ve diğerleri.

PowerShell'in adı HostGuardianServiceRole'dur.

Active Directory Basit Dizin Hizmetleri

rol " Active Directory Basit Dizin Hizmetleri» (AD LDS), AD DS'nin daha az işlevselliğe sahip, ancak etki alanlarının veya etki alanı denetleyicilerinin dağıtımını gerektirmeyen ve AD DS'nin gerektirdiği bağımlılıklara ve etki alanı kısıtlamalarına sahip olmayan hafif bir sürümüdür. AD LDS, LDAP protokolü üzerinden çalışır ( Basit Dizin Erişim Protokolü). Bağımsız olarak yönetilen şemalarla aynı sunucuda birden fazla AD LDS örneği dağıtabilirsiniz.

PowerShell'in adı ADLDS'dir.

Çoklu Nokta Hizmetleri

Ayrıca, Windows Server 2016'da yeni olan yeni bir roldür. MultiPoint Services (MPS), birden çok kullanıcının aynı bilgisayarda aynı anda ve bağımsız olarak çalışmasına izin veren temel uzak masaüstü işlevselliği sağlar. Bu rolü yüklemek ve çalıştırmak için birkaç ek hizmet ve bileşen yüklemeniz gerekir, örneğin: Yazdırma Sunucusu, Windows Arama Hizmeti, XPS Görüntüleyici ve diğerleri, bunların tümü MPS yüklemesi sırasında otomatik olarak seçilecektir.

PowerShell için rolün adı MultiPointServerRole'dur.

Windows Sunucu Güncelleme Hizmetleri

Bu rolle (WSUS), sistem yöneticileri Microsoft güncellemelerini yönetebilir. Örneğin, farklı güncelleme grupları için ayrı bilgisayar grupları oluşturun ve bilgisayarların gereksinimlere uygunluğu ve yüklenmesi gereken güncellemeler hakkında raporlar alın. Çalışmak için" Windows Sunucu Güncelleme Hizmetleri» Web Sunucusu (IIS), Windows Dahili Veritabanı, Windows İşlem Etkinleştirme Hizmeti gibi rol hizmetlerine ve bileşenlerine ihtiyacınız vardır.

Windows PowerShell'in adı UpdateServices'tir.

• WID Bağlantısı (UpdateServices-WidDB) - WID olarak ayarlayın ( Windows Dahili Veritabanı) WSUS tarafından kullanılan veritabanı. Başka bir deyişle, WSUS, hizmet verilerini WID'de saklayacaktır;
• WSUS Hizmetleri (UpdateServices-Services), Güncelleme Hizmeti, Raporlama Web Hizmeti, API Uzaktan Erişim Web Hizmeti, İstemci Web Hizmeti, Web Basit Kimlik Doğrulama Web Hizmeti, Sunucu Eşitleme Hizmeti ve DSS Kimlik Doğrulama Web Hizmeti gibi WSUS rol hizmetleridir;
• SQL Server Connectivity (UpdateServices-DB), WSUS hizmetinin bir Microsoft SQL Server veritabanına bağlanmasına izin veren bir bileşen kurulumudur. Bu seçenek, hizmet verilerinin bir Microsoft SQL Server veritabanında depolanmasını sağlar. Bu durumda, en az bir SQL Server örneğinin kurulu olması gerekir.

Toplu Lisans Etkinleştirme Hizmetleri

Bu sunucu rolüyle, Microsoft'tan yazılımlar için toplu lisans verilmesini otomatikleştirip basitleştirebilir ve ayrıca bu lisansları yönetmenize olanak tanır.

PowerShell'in adı VolumeActivation'dır.

Baskı ve Doküman Hizmetleri

Bu sunucu rolü, yazıcıları ve tarayıcıları bir ağ üzerinde paylaşmak, yazdırma ve tarama sunucularını merkezi olarak yapılandırmak ve yönetmek ve ağ yazıcılarını ve tarayıcıları yönetmek için tasarlanmıştır. Yazdırma ve Belge Hizmetleri, taranan belgeleri e-posta yoluyla, ağ paylaşımlarına veya Windows SharePoint Services sitelerine göndermenize de olanak tanır.

PowerShell'in adı Print-Services'tir.

• Yazdırma Sunucusu (Baskı Sunucusu) - Bu rol hizmeti " Baskı Yönetimi”, yazıcıları veya baskı sunucularını yönetmek ve ayrıca yazıcıları ve diğer baskı sunucularını taşımak için kullanılır;
• İnternet üzerinden yazdırma (Print-Internet) - İnternet üzerinden yazdırmayı gerçekleştirmek için, kullanıcıların sunucudaki yazdırma işlerini yönetmesine olanak tanıyan bir web sitesi oluşturulur. Bu hizmetin çalışması için anladığınız gibi yüklemeniz gerekiyor " Web sunucusu (IIS)". Rol hizmetinin kurulum işlemi sırasında bu kutuyu işaretlediğinizde gerekli tüm bileşenler otomatik olarak seçilecektir " İnternetten Yazdırma»;
• Dağıtılmış Tarama Sunucusu (Baskı-Tarama-Sunucusu), taranan belgeleri ağ tarayıcılarından alıp bir hedefe göndermenizi sağlayan bir hizmettir. Bu hizmet aynı zamanda " Tarama Yönetimi”, ağ tarayıcılarını yönetmek ve taramayı yapılandırmak için kullanılır;
• LPD Hizmeti (Print-LPD-Service) - LPD hizmeti ( Satır Yazıcısı Arka Plan Programı), UNIX tabanlı bilgisayarların ve Line Printer Remote (LPR) hizmetini kullanan diğer bilgisayarların sunucunun paylaşılan yazıcılarına yazdırmasına izin verir.

Ağ Politikası ve Erişim Hizmetleri

rol " » (NPAS), Ağ İlkesi Sunucusunun (NPS) ağ erişimini, kimlik doğrulamasını ve yetkilendirmesini ve istemci sağlığı ilkelerini belirlemesine ve uygulamasına, başka bir deyişle ağın güvenliğini sağlamasına olanak tanır.

Windows PowerShell'in adı NPAS'tır.

Windows Dağıtım Hizmetleri

Bu rolle, Windows işletim sistemini bir ağ üzerinden uzaktan kurabilirsiniz.

PowerShell için rol adı WDS'dir.

• Dağıtım Sunucusu (WDS-Dağıtım) - bu rol hizmeti, Windows işletim sistemlerinin uzaktan dağıtımı ve yapılandırılması için tasarlanmıştır. Ayrıca yeniden kullanım için görüntüler oluşturmanıza ve özelleştirmenize olanak tanır;
• Aktarım Sunucusu (WDS-Transport) - Bu hizmet, bağımsız bir sunucuda çok noktaya yayın yaparak verileri aktarabileceğiniz temel ağ bileşenlerini içerir.

Active Directory Sertifika Hizmetleri

Bu rolün amacı, çeşitli uygulamalar için sertifikalar vermenize ve yönetmenize olanak tanıyan sertifika yetkilileri ve ilgili rol hizmetleri oluşturmaktır.

Windows PowerShell'in adı AD-Certificate'dir.

Aşağıdaki rol hizmetlerini içerir:

• Sertifika Yetkilisi (ADCS-Cert-Authority) - bu rol hizmetini kullanarak kullanıcılara, bilgisayarlara ve hizmetlere sertifika verebilir ve sertifikanın geçerliliğini yönetebilirsiniz;
• Sertifika Kayıt İlkesi Web Hizmeti (ADCS-Enroll-Web-Pol) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların bir web tarayıcısından sertifika kayıt ilkesi bilgilerini almalarını sağlar. İşleyişi için gerekli Web sunucusu (IIS)»;
• Sertifika Kaydı Web Hizmeti (ADCS-Enroll-Web-Svc) - Bu hizmet, bilgisayar bir etki alanının üyesi olmasa bile, kullanıcıların ve bilgisayarların HTTPS üzerinden bir web tarayıcı kullanarak sertifika kaydetmesine ve yenilemesine olanak tanır. Ayrıca çalışması gerekiyor Web sunucusu (IIS)»;
• Çevrimiçi Yanıtlayıcı (ADCS-Online-Cert) - Hizmet, istemciler için bir sertifikanın iptalini kontrol etmek üzere tasarlanmıştır. Başka bir deyişle, belirli sertifikalar için iptal durum talebini kabul eder, bu sertifikaların durumunu değerlendirir ve durumla ilgili bilgileri içeren imzalı bir yanıt gönderir. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Sertifika Yetkilisi Web Kayıt Hizmeti (ADCS-Web-Kayıt) - Bu hizmet, kullanıcıların sertifika isteme ve yenileme, CRL alma ve akıllı kart sertifikalarını kaydetme gibi görevleri gerçekleştirmesi için bir web arayüzü sağlar. Hizmetin çalışması için gerekli Web sunucusu (IIS)»;
• Ağ Aygıtı Kayıt Hizmeti (ADCS-Device-Enrollment)—Bu hizmeti kullanarak, ağ hesapları olmayan yönlendiriciler ve diğer ağ aygıtları için sertifikalar verebilir ve yönetebilirsiniz. Hizmetin çalışması için gerekli Web sunucusu (IIS)».

Uzak Masaüstü Hizmetleri

Sanal masaüstlerine, oturum tabanlı masaüstlerine ve RemoteApp'lere erişim sağlamak için kullanılabilecek bir sunucu rolü.

Windows PowerShell'in rol adı Uzak Masaüstü Hizmetleri'dir.

Aşağıdaki hizmetlerden oluşur:

• Uzak Masaüstü Web Erişimi (RDS-Web-Erişimi) - Bu rol hizmeti, kullanıcıların uzak masaüstlerine ve RemoteApp uygulamalarına " Başlangıç» veya bir web tarayıcı kullanarak;
• Uzak Masaüstü Lisansı (RDS-Lisanslama) - Hizmet, bir Uzak Masaüstü Oturum Ana Bilgisayarı sunucusuna veya sanal masaüstüne bağlanmak için gereken lisansları yönetmek üzere tasarlanmıştır. Yüklemek, lisans vermek ve kullanılabilirliklerini izlemek için kullanılabilir. Bu hizmet gerektirir " Web sunucusu (IIS)»;
• Uzak Masaüstü Bağlantı Aracısı (RDS-Connection-Broker), şu yetenekleri sağlayan bir rol hizmetidir: bir kullanıcıyı mevcut bir sanal masaüstüne, RemoteApp uygulamasına ve oturum tabanlı masaüstüne yeniden bağlamanın yanı sıra uzak oturum ana bilgisayar sunucuları masaüstleri arasında yük dengeleme veya havuzlanmış sanal masaüstleri arasında. Bu hizmet, " »;
• Uzak Masaüstü Sanallaştırma Ana Bilgisayarı (DS-Sanallaştırma) - Hizmet, kullanıcıların RemoteApp ve Masaüstü Bağlantısı kullanarak sanal masaüstlerine bağlanmasına olanak tanır. Bu hizmet Hyper-V ile birlikte çalışır, örn. bu rolün yüklenmesi gerekir;
• Uzak Masaüstü Oturum Ana Bilgisayarı (RDS-RD-Sunucusu) - Bu hizmet, RemoteApp uygulamalarını ve oturum tabanlı masaüstlerini bir sunucuda barındırabilir. Erişim, Uzak Masaüstü Bağlantısı istemcisi veya RemoteApps aracılığıyla sağlanır;
• Uzak Masaüstü Ağ Geçidi (RDS-Gateway) - Hizmet, yetkili uzak kullanıcıların bir şirket ağındaki veya İnternet üzerinden sanal masaüstlerine, RemoteApp'lere ve oturum tabanlı masaüstlerine bağlanmasına olanak tanır. Bu hizmet, aşağıdaki ek hizmetleri ve bileşenleri gerektirir: Web sunucusu (IIS)», « Ağ Politikası ve Erişim Hizmetleri», « HTTP proxy üzerinden RPC».

AD RMS'si

Bu, bilgileri yetkisiz kullanıma karşı korumanıza izin verecek bir sunucu rolüdür. Kullanıcı kimliklerini doğrular ve yetkili kullanıcılara korunan verilere erişmeleri için lisans verir. Bu rol, ek hizmetler ve bileşenler gerektirir: Web sunucusu (IIS)», « Windows İşlem Etkinleştirme Hizmeti», « .NET Framework 4.6 özellikleri».

Windows PowerShell'in adı ADRMS'dir.

• Active Directory Rights Management Server (ADRMS-Server) - kurulum için gerekli olan ana rol hizmeti;
• Kimlik Federasyon Desteği (ADRMS-Kimlik), birleşik kimliklerin Active Directory Federasyon Hizmetlerini kullanarak korunan içeriği kullanmasını sağlayan isteğe bağlı bir rol hizmetidir.

AD FS

Bu rol, bir tarayıcı kullanan web sitelerine basitleştirilmiş ve güvenli kimlik federasyonu ve çoklu oturum açma (SSO) işlevselliği sağlar.

PowerShell'in adı ADFS-Federation'dır.

Uzaktan erişim

Bu rol, DirectAccess, VPN ve Web Uygulama Proxy'si aracılığıyla bağlantı sağlar. ayrıca rol Uzaktan erişim"ağ adresi çevirisi (NAT) ve diğer bağlantı seçenekleri dahil olmak üzere geleneksel yönlendirme yetenekleri sağlar. Bu rol, ek hizmetler ve özellikler gerektirir: Web sunucusu (IIS)», « Windows Dahili Veritabanı».

Windows PowerShell için rol adı RemoteAccess'tir.

• DirectAccess ve VPN (RAS) (DirectAccess-VPN) - hizmet, kullanıcıların herhangi bir zamanda DirectAccess aracılığıyla İnternet erişimi ile kurumsal ağa bağlanmasına ve ayrıca tünel oluşturma ve veri şifreleme teknolojileriyle birlikte VPN bağlantılarını düzenlemesine olanak tanır;
• Yönlendirme (Yönlendirme) - hizmet, NAT yönlendiricileri, BGP protokollerine sahip LAN yönlendiricileri, RIP ve çok noktaya yayın desteğine sahip yönlendiriciler (IGMP proxy) için destek sağlar;
• Web Uygulama Proxy'si (Web-Application-Proxy) - Hizmet, kurumsal ağdan kurumsal ağ dışındaki istemci cihazlara HTTP ve HTTPS protokollerine dayalı uygulamaları yayınlamanıza olanak tanır.

Dosya ve depolama hizmetleri

Bu, dosya ve klasörleri paylaşmak, paylaşımları yönetmek ve kontrol etmek, dosyaları çoğaltmak, hızlı dosya aramaları sağlamak ve UNIX istemci bilgisayarlarına erişim vermek için kullanılabilen bir sunucu rolüdür. Dosya hizmetlerini ve özellikle dosya sunucusunu "Windows Server 2016'da bir dosya sunucusu (Dosya Sunucusu) kurma" materyalinde daha ayrıntılı olarak ele aldık.

Windows PowerShell'in adı FileAndStorage-Services'dir.

Depolama Hizmetleri- Bu hizmet, her zaman kurulu olan ve kaldırılamayan depolama yönetimi işlevselliği sağlar.

Dosya Hizmetleri ve iSCSI Hizmetleri (Dosya Hizmetleri) dosya sunucularının ve depolarının yönetimini basitleştiren, disk alanından tasarruf sağlayan, şubelerdeki dosyaların replikasyonunu ve önbelleğe alınmasını sağlayan, aynı zamanda NFS protokolü üzerinden dosya paylaşımını sağlayan teknolojilerdir. Aşağıdaki rol hizmetlerini içerir:

• Dosya Sunucusu (FS-FileServer) - paylaşılan klasörleri yöneten ve kullanıcılara ağ üzerinden bu bilgisayardaki dosyalara erişim sağlayan bir rol hizmeti;
• Veri Tekilleştirme (FS-Veri-Tekilleştirme) - bu hizmet, aynı verilerin yalnızca bir kopyasını bir birimde depolayarak disk alanından tasarruf sağlar;
• Dosya Sunucusu Kaynak Yöneticisi (FS-Resource-Manager) - bu hizmeti kullanarak, bir dosya sunucusundaki dosya ve klasörleri yönetebilir, depolama raporları oluşturabilir, dosya ve klasörleri sınıflandırabilir, klasör kotalarını yapılandırabilir ve dosya engelleme ilkeleri tanımlayabilirsiniz;
• iSCSI Hedef Depolama Sağlayıcısı (VDS ve VSS Donanım Sağlayıcıları) (iSCSITarget-VSS-VDS) - Hizmet, iSCSI hedefine bağlı bir sunucudaki uygulamaların iSCSI sanal disklerindeki gölge kopya birimlerine izin verir;
• DFS ad alanları (FS-DFS-Ad Alanı) - bu hizmeti kullanarak, farklı sunucularda barındırılan paylaşılan klasörleri mantıksal olarak yapılandırılmış bir veya daha fazla ad alanında gruplandırabilirsiniz;
• Çalışma klasörleri (FS-SyncShareService) - hizmet, çalışma dosyalarını iş ve kişisel dahil olmak üzere farklı bilgisayarlarda kullanmanıza olanak tanır. Dosyalarınızı Çalışma Klasörlerinde saklayabilir, senkronize edebilir ve yerel ağınızdan veya İnternetten erişebilirsiniz. Hizmetin çalışması için " bileşeni IIS İşlem İçi Web Çekirdeği»;
• DFS Çoğaltma (FS-DFS-Çoğaltma), LAN veya WAN bağlantısı üzerinden klasörleri senkronize etmenize izin veren çok sunuculu bir veri çoğaltma motorudur. Bu teknoloji, dosyaların yalnızca son çoğaltmadan bu yana değişen kısmını güncellemek için Uzaktan Farklı Sıkıştırma (RDC) protokolünü kullanır. DFS Çoğaltma, DFS Ad Alanları ile veya DFS Ad Alanları olmadan kullanılabilir;
• NFS Sunucusu (FS-NFS Hizmeti) - Hizmet, bu bilgisayarın UNIX tabanlı bilgisayarlarla ve Ağ Dosya Sistemi (NFS) protokolünü kullanan diğer bilgisayarlarla dosya paylaşmasına olanak tanır;
• iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI hedefleri için hizmetler ve yönetim sağlar;
• Ağ Dosyaları için BranchCache Hizmeti (FS-BranchCache) - Hizmet, bu dosya sunucusunda BranchCache desteği sağlar;
• Dosya Sunucusu VSS Aracı Hizmeti (FS-VSS-Agent) - Hizmet, bu dosya sunucusunda veri dosyalarını depolayan uygulamalar için birim gölge kopyalarını etkinleştirir.

faks sunucusu

Rol, faks gönderip alır ve bu bilgisayardaki veya ağdaki işler, ayarlar, raporlar ve faks aygıtları gibi faks kaynaklarını yönetmenize olanak tanır. iş için gerekli Yazdırma sunucusu».

Windows PowerShell için rol adı Faks'tır.

Bu, Windows Server 2016 sunucu rollerinin incelemesini tamamlıyor, umarım malzeme şimdilik sizin için yararlı olmuştur!