ให้คำอธิบายโดยละเอียดเกี่ยวกับนโยบายเซิร์ฟเวอร์ ให้คำอธิบายโดยละเอียดเกี่ยวกับนโยบายของเซิร์ฟเวอร์เกี่ยวกับความสัมพันธ์ การทำงานกับกลุ่มการจัดการและการกำหนดเส้นทาง บริการเปิดใช้งาน Volume License

ยูทิลิตี้ GPRResult.exe– เป็นแอปพลิเคชันคอนโซลที่ออกแบบมาเพื่อวิเคราะห์การตั้งค่าและวิเคราะห์นโยบายกลุ่มที่ใช้กับคอมพิวเตอร์และ/หรือผู้ใช้ในโดเมน Active Directory โดยเฉพาะอย่างยิ่ง GPResult ช่วยให้คุณได้รับข้อมูลจากชุดผลลัพธ์ของนโยบาย (ชุดผลลัพธ์ของนโยบาย, RSOP) รายการนโยบายโดเมนที่ใช้ (GPO) การตั้งค่า และข้อมูลโดยละเอียดเกี่ยวกับข้อผิดพลาดในการประมวลผล ยูทิลิตีนี้เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows ตั้งแต่สมัย Windows XP ยูทิลิตี GPResult ช่วยให้คุณตอบคำถามต่างๆ เช่น นโยบายเฉพาะมีผลกับคอมพิวเตอร์หรือไม่ ซึ่ง GPO เปลี่ยนการตั้งค่า Windows เฉพาะ และเพื่อหาสาเหตุ

ในบทความนี้ เราจะพิจารณาเฉพาะของการใช้คำสั่ง GPResult เพื่อวินิจฉัยและดีบักแอปพลิเคชันของนโยบายกลุ่มในโดเมน Active Directory

ในขั้นต้น เพื่อวินิจฉัยการใช้นโยบายกลุ่มใน Windows จะใช้คอนโซลกราฟิก RSOP.msc ซึ่งทำให้สามารถรับการตั้งค่าของนโยบายที่เป็นผลลัพธ์ (โดเมน + โลคัล) ที่ใช้กับคอมพิวเตอร์และผู้ใช้ในรูปแบบกราฟิกที่คล้ายกับ คอนโซลตัวแก้ไข GPO (ด้านล่าง ในตัวอย่างมุมมองคอนโซล RSOP.msc คุณจะเห็นว่ามีการตั้งค่าการอัปเดต)

อย่างไรก็ตาม คอนโซล RSOP.msc ใน Windows รุ่นใหม่ๆ ไม่สามารถใช้งานได้จริง เนื่องจาก ไม่สะท้อนถึงการตั้งค่าที่ใช้โดยส่วนขยายฝั่งไคลเอ็นต์ (CSE) ต่างๆ เช่น GPP (การตั้งค่านโยบายกลุ่ม) ไม่อนุญาตให้ค้นหา ให้ข้อมูลการวินิจฉัยเพียงเล็กน้อย ดังนั้นในขณะนี้ คำสั่ง GPResult จึงเป็นเครื่องมือหลักในการวินิจฉัยการใช้ GPO ใน Windows (ใน Windows 10 มีแม้กระทั่งคำเตือนว่า RSOP ไม่ได้ให้รายงานที่สมบูรณ์ ซึ่งแตกต่างจาก GPResult)

การใช้ยูทิลิตี GPResult.exe

คำสั่ง GPResult ถูกเรียกใช้บนคอมพิวเตอร์ที่คุณต้องการทดสอบแอปพลิเคชันของนโยบายกลุ่ม คำสั่ง GPResult มีไวยากรณ์ดังต่อไปนี้:

GPRESULT ]] [(/X | /H)<имя_файла> ]

หากต้องการรับข้อมูลโดยละเอียดเกี่ยวกับนโยบายกลุ่มที่ใช้กับวัตถุ AD ที่กำหนด (ผู้ใช้และคอมพิวเตอร์) และการตั้งค่าอื่นๆ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน GPO (เช่น การตั้งค่านโยบาย GPO ที่เป็นผลลัพธ์ - RsoP) ให้เรียกใช้คำสั่ง:

ผลลัพธ์ของการดำเนินการคำสั่งแบ่งออกเป็น 2 ส่วน:

• คอมพิวเตอร์ การตั้งค่า (การกำหนดค่าคอมพิวเตอร์) – ส่วนนี้มีข้อมูลเกี่ยวกับวัตถุ GPO ที่ส่งผลกระทบต่อคอมพิวเตอร์ (เป็นวัตถุ Active Directory)
• ผู้ใช้ การตั้งค่า – ส่วนผู้ใช้ของนโยบาย (นโยบายที่ใช้กับบัญชีผู้ใช้ใน AD)

มาดูพารามิเตอร์/ส่วนหลักที่เราอาจสนใจโดยสังเขปในผลลัพธ์ของ GPResult:

• เว็บไซต์ชื่อ(ชื่อไซต์:) - ชื่อของไซต์ AD ซึ่งเป็นที่ตั้งของคอมพิวเตอร์
• ซี.เอ็น– ผู้ใช้/คอมพิวเตอร์ตามรูปแบบมาตรฐานเต็มรูปแบบซึ่งข้อมูล RSoP ถูกสร้างขึ้น
• ล่าสุดเวลากลุ่มนโยบายเคยเป็นสมัครแล้ว(นโยบายกลุ่มที่ใช้ล่าสุด) - เวลาที่ใช้นโยบายกลุ่มครั้งล่าสุด
• กลุ่มนโยบายเคยเป็นสมัครแล้วจาก(ใช้นโยบายกลุ่มจาก) - ตัวควบคุมโดเมนที่โหลด GPO เวอร์ชันล่าสุด
• โดเมนชื่อและโดเมนพิมพ์(ชื่อโดเมน, ประเภทโดเมน) – ชื่อและเวอร์ชันของโดเมน Active Directory;
• สมัครแล้วกลุ่มนโยบายวัตถุ(ประยุกต์ใช้ GPO)– รายการของวัตถุนโยบายกลุ่มที่ใช้งานอยู่;
• เดอะกำลังติดตามGPOคือไม่สมัครแล้วเพราะพวกเขาคือกรองออก(ไม่ได้ใช้นโยบาย GPO ต่อไปนี้เนื่องจากถูกกรอง) - ไม่ได้ใช้ (กรองแล้ว) GPOs;
• เดอะผู้ใช้/คอมพิวเตอร์เป็นกส่วนหนึ่งของเดอะกำลังติดตามความปลอดภัยกลุ่ม(ผู้ใช้/คอมพิวเตอร์เป็นสมาชิกของกลุ่มความปลอดภัยต่อไปนี้) – กลุ่มโดเมนที่ผู้ใช้เป็นสมาชิก

ในตัวอย่างของเรา คุณจะเห็นว่าวัตถุผู้ใช้ได้รับผลกระทบจากนโยบายกลุ่ม 4 ข้อ

• นโยบายโดเมนเริ่มต้น
• เปิดใช้งานไฟร์วอลล์ Windows;
• รายการค้นหาส่วนต่อท้าย DNS

หากคุณไม่ต้องการให้คอนโซลแสดงข้อมูลเกี่ยวกับทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์พร้อมกัน คุณสามารถใช้ตัวเลือก /scope เพื่อแสดงเฉพาะส่วนที่คุณสนใจ ผลลัพธ์เฉพาะนโยบายผู้ใช้:

gpresult /r /scope:user

หรือนโยบายเครื่องที่ใช้เท่านั้น:

gpresult /r /scope:คอมพิวเตอร์

เพราะ ยูทิลิตี้ Gpresult ส่งออกข้อมูลโดยตรงไปยังคอนโซลบรรทัดคำสั่งซึ่งไม่สะดวกสำหรับการวิเคราะห์ในภายหลัง เอาต์พุตสามารถเปลี่ยนเส้นทางไปยังคลิปบอร์ด:

gpresult /r |คลิป

หรือไฟล์ข้อความ:

gpresult /r > c:\gpresult.txt

หากต้องการแสดงข้อมูล RSOP ที่มีรายละเอียดสูง ให้เพิ่มสวิตช์ /z

รายงาน HTML RSOP โดยใช้ GPResult

นอกจากนี้ ยูทิลิตี GPResult ยังสามารถสร้างรายงาน HTML เกี่ยวกับนโยบายผลลัพธ์ที่ใช้ (มีให้ใช้งานใน Windows 7 และใหม่กว่า) รายงานนี้จะประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่าระบบทั้งหมดที่กำหนดโดยนโยบายกลุ่มและชื่อของ GPO เฉพาะที่ตั้งค่าไว้ (รายงานผลลัพธ์ในโครงสร้างจะคล้ายกับแท็บการตั้งค่าในคอนโซลการจัดการนโยบายกลุ่มโดเมน - GPMC) คุณสามารถสร้างรายงาน HTML GPResult โดยใช้คำสั่ง:

GPResult /h c:\gp-report\report.html /f

หากต้องการสร้างรายงานและเปิดโดยอัตโนมัติในเบราว์เซอร์ ให้รันคำสั่ง:

GPResult /h GPResult.html & GPResult.html

รายงาน gpresult HTML มีข้อมูลที่เป็นประโยชน์ค่อนข้างมาก: ข้อผิดพลาดของแอปพลิเคชัน GPO, เวลาในการประมวลผล (เป็น ms) และการใช้นโยบายเฉพาะและ CSE (ในส่วนรายละเอียดคอมพิวเตอร์ -> สถานะคอมโพเนนต์) สามารถมองเห็นได้ ตัวอย่างเช่น ในภาพหน้าจอด้านบน คุณจะเห็นว่านโยบายที่มีการตั้งค่า 24 รหัสผ่านที่จำไว้ถูกนำไปใช้โดยนโยบายโดเมนเริ่มต้น (คอลัมน์ Winning GPO) อย่างที่คุณเห็น รายงาน HTML นั้นสะดวกสำหรับการวิเคราะห์นโยบายที่ใช้มากกว่าคอนโซล rsop.msc

รับข้อมูล GPResult จากคอมพิวเตอร์ระยะไกล

นอกจากนี้ GPResult ยังสามารถรวบรวมข้อมูลจากคอมพิวเตอร์ระยะไกล ทำให้ผู้ดูแลระบบไม่จำเป็นต้องเข้าสู่ระบบภายในเครื่องหรือ RDP ไปยังคอมพิวเตอร์ระยะไกล รูปแบบคำสั่งสำหรับการรวบรวมข้อมูล RSOP จากคอมพิวเตอร์ระยะไกลมีดังนี้:

GPResult /s เซิร์ฟเวอร์-ts1 /r

ในทำนองเดียวกัน คุณสามารถรวบรวมข้อมูลจากทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์จากระยะไกล

ชื่อผู้ใช้ไม่มีข้อมูล RSOP

เมื่อเปิดใช้งาน UAC การเรียกใช้ GPResult โดยไม่มีสิทธิ์ยกระดับจะแสดงเฉพาะการตั้งค่าสำหรับส่วนที่กำหนดเองของ Group Policy หากคุณต้องการแสดงทั้งสองส่วน (การตั้งค่าผู้ใช้และการตั้งค่าคอมพิวเตอร์) พร้อมกัน ต้องเรียกใช้คำสั่ง หากพรอมต์คำสั่งที่ยกระดับอยู่ในระบบอื่นที่ไม่ใช่ผู้ใช้ปัจจุบัน ยูทิลิตีจะออกคำเตือน ข้อมูล: เดอะผู้ใช้"โดเมน\ผู้ใช้"ทำไม่มีร.ส.พข้อมูล (ผู้ใช้ 'โดเมน\ผู้ใช้' ไม่มีข้อมูล RSOP) นี่เป็นเพราะ GPResult พยายามรวบรวมข้อมูลสำหรับผู้ใช้ที่เรียกใช้ แต่เนื่องจาก ผู้ใช้รายนี้ไม่ได้เข้าสู่ระบบและไม่มีข้อมูล RSOP สำหรับผู้ใช้รายนี้ ในการรวบรวมข้อมูล RSOP สำหรับผู้ใช้ที่มีเซสชันที่ใช้งาน คุณต้องระบุบัญชีของเขา:

gpresult /r /user:tn\edward

หากคุณไม่ทราบชื่อบัญชีที่ล็อกอินบนคอมพิวเตอร์ระยะไกล คุณจะได้รับบัญชีดังต่อไปนี้:

qwinsta /SERVER:remotePC1

ตรวจสอบเวลาของลูกค้าด้วย เวลาต้องตรงกับเวลาบน PDC (Primary Domain Controller)

นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้ เนื่องจากถูกกรองออก

เมื่อแก้ไขปัญหานโยบายกลุ่ม คุณควรใส่ใจกับส่วนนี้ด้วย: GPOs ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก (นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก) ส่วนนี้แสดงรายการของ GPO ที่ไม่นำไปใช้กับวัตถุนี้ด้วยเหตุผลใดก็ตาม ตัวเลือกที่เป็นไปได้ที่นโยบายอาจไม่มีผลใช้บังคับ:

คุณยังสามารถเข้าใจได้ว่าควรใช้นโยบายกับวัตถุโฆษณาเฉพาะบนแท็บสิทธิ์ใช้งานจริง (ขั้นสูง -> การเข้าถึงที่มีประสิทธิภาพ)

ดังนั้น ในบทความนี้ เราจึงตรวจสอบคุณลักษณะของการวินิจฉัยการใช้นโยบายกลุ่มโดยใช้ยูทิลิตี้ GPResult และตรวจสอบสถานการณ์ทั่วไปสำหรับการใช้งาน

เมื่อคุณติดตั้ง Windows ระบบย่อยที่ไม่จำเป็นส่วนใหญ่จะไม่เปิดใช้งานหรือติดตั้ง สิ่งนี้ทำด้วยเหตุผลด้านความปลอดภัย เนื่องจากระบบมีความปลอดภัยโดยค่าเริ่มต้น ผู้ดูแลระบบจึงสามารถมุ่งเน้นที่การออกแบบระบบที่ทำในสิ่งที่ตนทำ และไม่มีอะไรมากไปกว่านั้น เพื่อช่วยคุณเปิดใช้งานคุณลักษณะที่คุณต้องการ Windows จะแจ้งให้คุณเลือกบทบาทของเซิร์ฟเวอร์

บทบาท

บทบาทของเซิร์ฟเวอร์คือชุดของโปรแกรมที่เมื่อติดตั้งและกำหนดค่าอย่างถูกต้องแล้ว จะทำให้คอมพิวเตอร์สามารถทำหน้าที่เฉพาะสำหรับผู้ใช้หลายคนหรือคอมพิวเตอร์เครื่องอื่นบนเครือข่ายได้ โดยทั่วไปแล้ว บทบาททั้งหมดจะมีลักษณะดังต่อไปนี้

• ทำหน้าที่กำหนดหน้าที่หลัก วัตถุประสงค์ หรือจุดประสงค์ของการใช้คอมพิวเตอร์ คุณสามารถกำหนดให้คอมพิวเตอร์มีบทบาทเดียวที่ใช้งานหนักในองค์กร หรือให้เล่นหลายบทบาทโดยแต่ละบทบาทจะใช้เป็นครั้งคราวเท่านั้น
• บทบาทช่วยให้ผู้ใช้ทั่วทั้งองค์กรเข้าถึงทรัพยากรที่จัดการโดยคอมพิวเตอร์เครื่องอื่น เช่น เว็บไซต์ เครื่องพิมพ์ หรือไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์เครื่องอื่น
• พวกเขามักจะมีฐานข้อมูลของตัวเองที่จัดคิวคำขอของผู้ใช้หรือคอมพิวเตอร์หรือบันทึกข้อมูลเกี่ยวกับผู้ใช้เครือข่ายและคอมพิวเตอร์ที่เกี่ยวข้องกับบทบาท ตัวอย่างเช่น Active Directory Domain Services มีฐานข้อมูลสำหรับจัดเก็บชื่อและความสัมพันธ์ตามลำดับชั้นของคอมพิวเตอร์ทุกเครื่องบนเครือข่าย
• เมื่อติดตั้งและกำหนดค่าอย่างถูกต้องแล้ว บทบาทจะทำงานโดยอัตโนมัติ สิ่งนี้ทำให้คอมพิวเตอร์ที่ติดตั้งสามารถทำงานที่ได้รับมอบหมายโดยมีการโต้ตอบกับผู้ใช้อย่างจำกัด

บริการบทบาท

บริการบทบาทคือโปรแกรมที่มีฟังก์ชันการทำงานของบทบาท เมื่อคุณติดตั้งบทบาท คุณสามารถเลือกได้ว่าจะให้บริการใดแก่ผู้ใช้รายอื่นและคอมพิวเตอร์ในองค์กร บางบทบาท เช่น เซิร์ฟเวอร์ DNS ทำหน้าที่เพียงฟังก์ชันเดียว ดังนั้นจึงไม่มีบริการตามบทบาทสำหรับบทบาทเหล่านั้น บทบาทอื่นๆ เช่น บริการเดสก์ท็อประยะไกล มีบริการหลายอย่างที่คุณสามารถติดตั้งได้ตามความต้องการการเข้าถึงระยะไกลขององค์กรของคุณ บทบาทสามารถคิดได้ว่าเป็นชุดของบริการบทบาทเสริมที่เกี่ยวข้องอย่างใกล้ชิด ในกรณีส่วนใหญ่ การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งอย่าง

ส่วนประกอบ

คอมโพเนนต์คือโปรแกรมที่ไม่ได้เป็นส่วนหนึ่งของบทบาทโดยตรง แต่สนับสนุนหรือขยายฟังก์ชันการทำงานของหนึ่งบทบาทขึ้นไปหรือทั้งเซิร์ฟเวอร์ โดยไม่คำนึงว่าบทบาทใดจะถูกติดตั้ง ตัวอย่างเช่น Failover Cluster Tool ขยายบทบาทอื่นๆ เช่น File Services และ DHCP Server โดยอนุญาตให้เข้าร่วมคลัสเตอร์เซิร์ฟเวอร์ ซึ่งให้ความซ้ำซ้อนและประสิทธิภาพที่เพิ่มขึ้น ส่วนประกอบอื่นๆ คือ Telnet Client ช่วยให้สามารถสื่อสารระยะไกลกับเซิร์ฟเวอร์ Telnet ผ่านการเชื่อมต่อเครือข่ายได้ คุณลักษณะนี้ช่วยเพิ่มตัวเลือกการสื่อสารสำหรับเซิร์ฟเวอร์

เมื่อ Windows Server ทำงานในโหมด Server Core จะรองรับบทบาทเซิร์ฟเวอร์ต่อไปนี้:

• บริการใบรับรอง Active Directory;
• บริการโดเมน Active Directory;
• เซิร์ฟเวอร์ DHCP
• เซิร์ฟเวอร์ DNS;
• บริการไฟล์ (รวมถึงตัวจัดการทรัพยากรเซิร์ฟเวอร์ไฟล์);
• บริการไดเร็กทอรีน้ำหนักเบาของ Active Directory;
• ไฮเปอร์-วี
• บริการพิมพ์และเอกสาร
• บริการสื่อสตรีมมิ่ง
• เว็บเซิร์ฟเวอร์ (รวมถึงชุดย่อยของ ASP.NET)
• เซิร์ฟเวอร์อัพเดต Windows Server;
• เซิร์ฟเวอร์การจัดการสิทธิ์ Active Directory;
• Routing and Remote Access Server และบทบาทย่อยต่อไปนี้:
  • นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล
  • การออกใบอนุญาต;
  • การจำลองเสมือน

เมื่อ Windows Server ทำงานในโหมด Server Core คุณลักษณะเซิร์ฟเวอร์ต่อไปนี้ได้รับการสนับสนุน:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• บริการโอนข้อมูลอัจฉริยะเบื้องหลัง (BITS);
• การเข้ารหัสไดรฟ์ด้วย BitLocker;
• ปลดล็อกเครือข่าย BitLocker;
• แคชสาขา
• สะพานศูนย์ข้อมูล
• พื้นที่เก็บข้อมูลที่เพิ่มขึ้น;
• การทำคลัสเตอร์ล้มเหลว
• มัลติพาธ I/O;
• โหลดบาลานซ์ของเครือข่าย
• โปรโตคอล PNRP;
• คิวเวฟ;
• การบีบอัดส่วนต่างระยะไกล
• บริการ TCP/IP อย่างง่าย;
• RPC ผ่านพร็อกซี HTTP;
• เซิร์ฟเวอร์ SMTP;
• บริการ SNMP;
• ลูกค้า Telnet;
• เซิร์ฟเวอร์เทลเน็ต
• ลูกค้า TFTP;
• ฐานข้อมูลภายในของ Windows;
• การเข้าถึงเว็บ Windows PowerShell;
• บริการเปิดใช้งาน Windows;
• การจัดการที่เก็บข้อมูล Windows ที่ได้มาตรฐาน
• ส่วนขยาย IIS WinRM;
• เซิร์ฟเวอร์ WINS;
• รองรับ WoW64

การติดตั้งบทบาทเซิร์ฟเวอร์โดยใช้ Server Manager

หากต้องการเพิ่ม ให้เปิด Server Manager และในเมนู Manage ให้คลิก Add Roles and features:

ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะเปิดขึ้น คลิกถัดไป

ประเภทการติดตั้ง เลือกการติดตั้งตามบทบาทหรือตามคุณลักษณะ ต่อไป:

การเลือกเซิร์ฟเวอร์ - เลือกเซิร์ฟเวอร์ของเรา คลิก Next Server Roles - Select roles ถ้าจำเป็น เลือก Role Services และคลิก Next เพื่อเลือกส่วนประกอบ ในระหว่างขั้นตอนนี้ ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะแจ้งให้คุณทราบโดยอัตโนมัติเกี่ยวกับข้อขัดแย้งบนเซิร์ฟเวอร์ปลายทาง ซึ่งอาจขัดขวางการติดตั้งหรือการทำงานตามปกติของบทบาทหรือคุณลักษณะที่เลือก คุณยังได้รับพร้อมท์ให้เพิ่มบทบาท บริการบทบาท และคุณสมบัติที่จำเป็นสำหรับบทบาทหรือคุณสมบัติที่เลือก

การติดตั้งบทบาทด้วย PowerShell

เปิด Windows PowerShell ป้อนคำสั่ง Get-WindowsFeature เพื่อดูรายการบทบาทและคุณสมบัติที่พร้อมใช้งานและติดตั้งบนเซิร์ฟเวอร์ภายในเครื่อง ผลลัพธ์ของ cmdlet นี้มีชื่อคำสั่งสำหรับบทบาทและคุณสมบัติที่ติดตั้งและพร้อมสำหรับการติดตั้ง

พิมพ์ Get-Help Install-WindowsFeature เพื่อดูไวยากรณ์และพารามิเตอร์ที่ถูกต้องสำหรับ cmdlet Install-WindowsFeature (MAN)

ป้อนคำสั่งต่อไปนี้ (-Restart จะรีสตาร์ทเซิร์ฟเวอร์ หากการติดตั้งบทบาทจำเป็นต้องรีสตาร์ท)

ติดตั้ง WindowsFeature – ชื่อ - รีสตาร์ท

คำอธิบายของบทบาทและบริการของบทบาท

บทบาทและบริการตามบทบาททั้งหมดมีคำอธิบายด้านล่าง มาดูการตั้งค่าขั้นสูงสำหรับบทบาทเว็บเซิร์ฟเวอร์และบริการเดสก์ท็อประยะไกลที่พบบ่อยที่สุดในทางปฏิบัติของเรา

คำอธิบายโดยละเอียดของ IIS

• คุณสมบัติ HTTP ทั่วไป - ส่วนประกอบ HTTP พื้นฐาน
  • เอกสารเริ่มต้น - ให้คุณตั้งค่าหน้าดัชนีสำหรับไซต์
  • การเรียกดูไดเร็กทอรี - อนุญาตให้ผู้ใช้ดูเนื้อหาของไดเร็กทอรีบนเว็บเซิร์ฟเวอร์ ใช้ Directory Browsing เพื่อสร้างรายการไดเร็กทอรีและไฟล์ทั้งหมดในไดเร็กทอรีโดยอัตโนมัติ เมื่อผู้ใช้ไม่ได้ระบุไฟล์ใน URL และหน้าดัชนีถูกปิดใช้งานหรือไม่ได้กำหนดค่า
  • ข้อผิดพลาด HTTP - อนุญาตให้คุณปรับแต่งข้อความแสดงข้อผิดพลาดที่ส่งคืนไปยังไคลเอนต์ในเบราว์เซอร์
  • เนื้อหาคงที่ - อนุญาตให้คุณโพสต์เนื้อหาคงที่ เช่น รูปภาพหรือไฟล์ html
  • HTTP Redirection - รองรับการเปลี่ยนเส้นทางคำขอของผู้ใช้
  • WebDAV Publishing อนุญาตให้คุณเผยแพร่ไฟล์จากเว็บเซิร์ฟเวอร์โดยใช้โปรโตคอล HTTP
• คุณลักษณะด้านสุขภาพและการวินิจฉัย - ส่วนประกอบการวินิจฉัย
  • HTTP Logging ให้การบันทึกกิจกรรมเว็บไซต์สำหรับเซิร์ฟเวอร์ที่กำหนด
  • การบันทึกแบบกำหนดเองให้การสนับสนุนสำหรับการสร้างบันทึกแบบกำหนดเองที่แตกต่างจากบันทึก "ดั้งเดิม"
  • เครื่องมือบันทึกมีเฟรมเวิร์กสำหรับจัดการบันทึกของเว็บเซิร์ฟเวอร์และทำให้งานบันทึกทั่วไปเป็นแบบอัตโนมัติ
  • การบันทึก ODBC มีเฟรมเวิร์กที่สนับสนุนการบันทึกกิจกรรมของเว็บเซิร์ฟเวอร์ไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
  • การตรวจสอบคำขอให้เฟรมเวิร์กสำหรับการตรวจสอบสถานะของเว็บแอปพลิเคชันโดยการรวบรวมข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
  • Tracing จัดเตรียมเฟรมเวิร์กสำหรับการวินิจฉัยและแก้ไขปัญหาเว็บแอปพลิเคชัน เมื่อใช้การติดตามคำขอที่ล้มเหลว คุณสามารถติดตามเหตุการณ์ที่ค้นหาได้ยาก เช่น ประสิทธิภาพต่ำหรือการตรวจสอบสิทธิ์ล้มเหลว
• ส่วนประกอบประสิทธิภาพเพื่อเพิ่มประสิทธิภาพการทำงานของเว็บเซิร์ฟเวอร์
  • การบีบอัดเนื้อหาแบบคงที่จัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบคงที่
  • การบีบอัดเนื้อหาแบบไดนามิกจัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบไดนามิก
• ส่วนประกอบความปลอดภัย
  • การกรองคำขอช่วยให้คุณสามารถบันทึกคำขอที่เข้ามาทั้งหมดและกรองตามกฎที่ผู้ดูแลระบบกำหนด
  • Basic Authentication ให้คุณตั้งค่าการอนุญาตเพิ่มเติมได้
  • การรองรับใบรับรอง SSL แบบรวมศูนย์เป็นคุณสมบัติที่ช่วยให้คุณจัดเก็บใบรับรองในตำแหน่งศูนย์กลาง เช่น การแชร์ไฟล์
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ใช้ใบรับรองไคลเอ็นต์เพื่อตรวจสอบสิทธิ์ผู้ใช้
  • Digest Authentication ทำงานโดยส่งแฮชรหัสผ่านไปยังตัวควบคุมโดเมน Windows เพื่อรับรองความถูกต้องของผู้ใช้ หากคุณต้องการความปลอดภัยมากกว่าการรับรองความถูกต้องพื้นฐาน ให้พิจารณาใช้การรับรองความถูกต้องแบบสรุป
  • IIS Client Certificate Mapping Authentication ใช้ใบรับรองไคลเอ็นต์ในการตรวจสอบสิทธิ์ผู้ใช้ ใบรับรองไคลเอนต์คือรหัสดิจิทัลที่ได้รับจากแหล่งที่เชื่อถือได้
  • ข้อ จำกัด IP และโดเมน อนุญาตให้คุณอนุญาต / ปฏิเสธการเข้าถึงตามที่อยู่ IP หรือชื่อโดเมนที่ร้องขอ
  • การอนุญาต URL ช่วยให้คุณสร้างกฎที่จำกัดการเข้าถึงเนื้อหาเว็บ
  • การรับรองความถูกต้องของ Windows รูปแบบการตรวจสอบความถูกต้องนี้ช่วยให้ผู้ดูแลระบบโดเมน Windows สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของโดเมนสำหรับการรับรองความถูกต้องของผู้ใช้
• คุณสมบัติการพัฒนาแอพพลิเคชั่น
• เซิร์ฟเวอร์ FTP
  • บริการ FTP เปิดใช้งานการเผยแพร่ FTP ไปยังเว็บเซิร์ฟเวอร์
  • ความสามารถในการขยาย FTP เปิดใช้งานการรองรับคุณสมบัติ FTP ที่ขยายการทำงานของ
• เครื่องมือการจัดการ
  • IIS Management Console จะติดตั้ง IIS Manager ซึ่งช่วยให้คุณจัดการเว็บเซิร์ฟเวอร์ผ่าน GUI
  • IIS 6.0 Management Compatibility ให้ความเข้ากันได้แบบส่งต่อสำหรับแอปพลิเคชันและสคริปต์ที่ใช้ Admin Base Object (ABO) และ Directory Service Interface (ADSI) Active Directory API ซึ่งอนุญาตให้ใช้สคริปต์ IIS 6.0 ที่มีอยู่โดยเว็บเซิร์ฟเวอร์ IIS 8.0
  • สคริปต์และเครื่องมือการจัดการ IIS จัดเตรียมโครงสร้างพื้นฐานสำหรับการจัดการเว็บเซิร์ฟเวอร์ IIS โดยทางโปรแกรม โดยใช้คำสั่งในหน้าต่างพรอมต์คำสั่ง หรือโดยการเรียกใช้สคริปต์
  • บริการการจัดการจัดเตรียมโครงสร้างพื้นฐานสำหรับการปรับแต่งส่วนติดต่อผู้ใช้ IIS Manager

คำอธิบายโดยละเอียดของ RDS

• นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล - ให้การเชื่อมต่ออุปกรณ์ไคลเอนต์กับโปรแกรมตามเซสชันเดสก์ท็อปและเดสก์ท็อปเสมือนอีกครั้ง
• เกตเวย์เดสก์ท็อประยะไกล - อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตเชื่อมต่อกับเดสก์ท็อปเสมือน โปรแกรม RemoteApp และเดสก์ท็อปแบบเซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต
• สิทธิ์ใช้งานเดสก์ท็อประยะไกล - เครื่องมือจัดการสิทธิ์ใช้งาน RDP
• โฮสต์เซสชันเดสก์ท็อประยะไกล - รวมเซิร์ฟเวอร์เพื่อโฮสต์โปรแกรม RemoteApp หรือเซสชันบนเดสก์ท็อป
• โฮสต์การจำลองเสมือนเดสก์ท็อประยะไกล - อนุญาตให้คุณกำหนดค่า RDP บนเครื่องเสมือน
• Remote Desktop WebAccess - อนุญาตให้ผู้ใช้เชื่อมต่อกับทรัพยากรเดสก์ท็อปโดยใช้เมนู Start หรือเว็บเบราว์เซอร์

พิจารณาการติดตั้งและกำหนดค่าเซิร์ฟเวอร์ใบอนุญาตเทอร์มินัล ข้างต้นอธิบายวิธีการติดตั้งบทบาท การติดตั้ง RDS ไม่แตกต่างจากการติดตั้งบทบาทอื่นๆ ใน Role Services เราจำเป็นต้องเลือก Remote Desktop Licensing และ Remote Desktop Session Host หลังการติดตั้ง รายการ Terminal Services จะปรากฏใน Server Manager-Tools มีสองรายการใน Terminal Services RD Licensing Diagnoser ซึ่งเป็นเครื่องมือสำหรับวินิจฉัยการดำเนินการให้สิทธิ์ใช้งานเดสก์ท็อประยะไกล และ Remote Desktop Licensing Manager ซึ่งเป็นเครื่องมือจัดการสิทธิ์การใช้งาน

เรียกใช้ตัววิเคราะห์การให้สิทธิ์การใช้งาน RD

ที่นี่เราจะเห็นว่ายังไม่มีสิทธิ์การใช้งานเนื่องจากไม่ได้ตั้งค่าโหมดสิทธิ์ใช้งานสำหรับเซิร์ฟเวอร์โฮสต์เซสชัน RD เซิร์ฟเวอร์สิทธิ์การใช้งานระบุไว้ในนโยบายกลุ่มภายในเครื่อง ในการเรียกใช้โปรแกรมแก้ไข ให้รันคำสั่ง gpedit.msc ตัวแก้ไขนโยบายกลุ่มภายในเปิดขึ้น ในแผนภูมิทางด้านซ้าย ให้ขยายแท็บ:

• การกำหนดค่าคอมพิวเตอร์
• เทมเพลตการดูแลระบบ
• ส่วนประกอบของ Windows
• บริการเดสก์ท็อประยะไกล
• โฮสต์เซสชันเดสก์ท็อประยะไกล
• “การออกใบอนุญาต” (การออกใบอนุญาต)

เปิดพารามิเตอร์ ใช้เซิร์ฟเวอร์ใบอนุญาตเดสก์ท็อประยะไกลที่ระบุ

ในหน้าต่างแก้ไขการตั้งค่านโยบาย เปิดใช้งานเซิร์ฟเวอร์สิทธิ์ใช้งาน (เปิดใช้งาน) ถัดไป คุณต้องกำหนดเซิร์ฟเวอร์ใบอนุญาตสำหรับบริการเดสก์ท็อประยะไกล ในตัวอย่างของฉัน เซิร์ฟเวอร์ใบอนุญาตอยู่บนเซิร์ฟเวอร์จริงเดียวกัน ระบุชื่อเครือข่ายหรือที่อยู่ IP ของเซิร์ฟเวอร์ใบอนุญาตและคลิกตกลง หากชื่อเซิร์ฟเวอร์ เซิร์ฟเวอร์ใบอนุญาตมีการเปลี่ยนแปลงในอนาคต คุณจะต้องเปลี่ยนในส่วนเดียวกัน

หลังจากนั้น ใน RD Licensing Diagnoser คุณจะเห็นว่าเซิร์ฟเวอร์สิทธิ์การใช้งานเทอร์มินัลได้รับการกำหนดค่า แต่ไม่ได้เปิดใช้งาน ในการเปิดใช้งาน ให้รัน Remote Desktop Licensing Manager

เลือกเซิร์ฟเวอร์สิทธิ์ใช้งานโดยมีสถานะไม่เปิดใช้งาน หากต้องการเปิดใช้งาน ให้คลิกขวาที่มันแล้วเลือก เปิดใช้งานเซิร์ฟเวอร์ ตัวช่วยสร้างการเปิดใช้งานเซิร์ฟเวอร์จะเริ่มต้นขึ้น บนแท็บ วิธีการเชื่อมต่อ เลือก การเชื่อมต่ออัตโนมัติ ถัดไป กรอกข้อมูลเกี่ยวกับองค์กร หลังจากนั้นเซิร์ฟเวอร์ใบอนุญาตจะเปิดใช้งาน

บริการใบรับรอง Active Directory

AD CS ให้บริการที่กำหนดค่าได้สำหรับการออกและจัดการใบรับรองดิจิทัลที่ใช้ในระบบความปลอดภัยของซอฟต์แวร์ที่ใช้เทคโนโลยีคีย์สาธารณะ ใบรับรองดิจิทัลที่จัดทำโดย AD CS สามารถใช้ในการเข้ารหัสและเซ็นชื่อแบบดิจิทัลในเอกสารและข้อความอิเล็กทรอนิกส์ ใบรับรองดิจิทัลเหล่านี้สามารถใช้เพื่อรับรองความถูกต้องของบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่าย ใบรับรองดิจิทัลใช้เพื่อจัดเตรียม:

• ความเป็นส่วนตัวผ่านการเข้ารหัส
• ความสมบูรณ์ผ่านลายเซ็นดิจิทัล
• การรับรองความถูกต้องโดยการเชื่อมโยงคีย์ใบรับรองกับบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่าย

สามารถใช้ AD CS เพื่อปรับปรุงความปลอดภัยได้โดยการผูกข้อมูลประจำตัวของผู้ใช้ อุปกรณ์ หรือบริการเข้ากับคีย์ส่วนตัวที่เกี่ยวข้อง แอปพลิเคชันที่สนับสนุนโดย AD CS ได้แก่ Internet Mail Standard Extensions (S/MIME), เครือข่ายไร้สายที่ปลอดภัย, เครือข่ายส่วนตัวเสมือน (VPN), IPsec, Encrypting File System (EFS), การเข้าสู่ระบบด้วยสมาร์ทการ์ด, การรักษาความปลอดภัยและโปรโตคอลความปลอดภัยเลเยอร์การขนส่ง (SSL/TLS) และลายเซ็นดิจิทัล

บริการโดเมน Active Directory

การใช้บทบาทเซิร์ฟเวอร์ Active Directory Domain Services (AD DS) คุณสามารถสร้างโครงสร้างพื้นฐานที่ปรับขนาดได้ ปลอดภัย และจัดการได้สำหรับการจัดการผู้ใช้และทรัพยากร คุณยังสามารถจัดเตรียมแอปพลิเคชันที่เปิดใช้งานไดเร็กทอรี เช่น Microsoft Exchange Server Active Directory Domain Services ให้ฐานข้อมูลแบบกระจายที่เก็บและจัดการข้อมูลเกี่ยวกับทรัพยากรเครือข่ายและข้อมูลแอปพลิเคชันที่เปิดใช้งานไดเรกทอรี เซิร์ฟเวอร์ที่กำลังเรียกใช้ AD DS เรียกว่าตัวควบคุมโดเมน ผู้ดูแลระบบสามารถใช้ AD DS เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างที่ซ้อนกันแบบลำดับชั้น โครงสร้างที่ซ้อนกันแบบลำดับชั้นประกอบด้วยฟอเรสต์ Active Directory โดเมนในฟอเรสต์ และหน่วยขององค์กรในแต่ละโดเมน คุณลักษณะด้านความปลอดภัยถูกรวมเข้ากับ AD DS ในรูปแบบของการรับรองความถูกต้องและการควบคุมการเข้าถึงทรัพยากรในไดเร็กทอรี ด้วยการลงชื่อเข้าใช้เพียงครั้งเดียว ผู้ดูแลระบบสามารถจัดการข้อมูลไดเร็กทอรีและองค์กรผ่านเครือข่ายได้ ผู้ใช้เครือข่ายที่ได้รับอนุญาตยังสามารถใช้การลงชื่อเพียงครั้งเดียวของเครือข่ายเพื่อเข้าถึงทรัพยากรที่อยู่ที่ใดก็ได้บนเครือข่าย Active Directory Domain Services มีคุณสมบัติเพิ่มเติมดังต่อไปนี้

• ชุดของกฎเป็นสคีมาที่กำหนดคลาสของอ็อบเจ็กต์และคุณลักษณะที่มีอยู่ในไดเร็กทอรี ข้อจำกัดและขีดจำกัดบนอินสแตนซ์ของอ็อบเจ็กต์เหล่านั้น และรูปแบบของชื่อ
• แค็ตตาล็อกส่วนกลางที่มีข้อมูลเกี่ยวกับแต่ละออบเจกต์ในแค็ตตาล็อก ผู้ใช้และผู้ดูแลระบบสามารถใช้แคตตาล็อกส่วนกลางเพื่อค้นหาข้อมูลแค็ตตาล็อก โดยไม่คำนึงว่าโดเมนใดในแคตตาล็อกมีข้อมูลที่ค้นหาอยู่จริง
• กลไกการสืบค้นและการจัดทำดัชนีซึ่งวัตถุและคุณสมบัติสามารถเผยแพร่และระบุตำแหน่งโดยผู้ใช้เครือข่ายและแอปพลิเคชัน
• บริการจำลองที่กระจายข้อมูลไดเร็กทอรีทั่วทั้งเครือข่าย ตัวควบคุมโดเมนแบบเขียนได้ทั้งหมดในโดเมนมีส่วนร่วมในการจำลองแบบและมีสำเนาที่สมบูรณ์ของข้อมูลไดเร็กทอรีทั้งหมดสำหรับโดเมนของตน การเปลี่ยนแปลงใด ๆ กับข้อมูลไดเร็กทอรีจะถูกจำลองแบบในโดเมนไปยังตัวควบคุมโดเมนทั้งหมด
• บทบาทหลักของการดำเนินงาน (หรือที่เรียกว่าการดำเนินการหลักเดี่ยวแบบยืดหยุ่นหรือ FSMO) ตัวควบคุมโดเมนที่ทำหน้าที่เป็นผู้เชี่ยวชาญในการดำเนินงานได้รับการออกแบบให้ทำงานพิเศษเพื่อให้แน่ใจว่าข้อมูลมีความสอดคล้องกันและหลีกเลี่ยงรายการไดเร็กทอรีที่ขัดแย้งกัน

บริการสหพันธรัฐ Active Directory

AD FS ช่วยให้ผู้ใช้ปลายทางที่ต้องการเข้าถึงแอปพลิเคชันในองค์กรที่มีการรักษาความปลอดภัยของ AD FS ในองค์กรพันธมิตรแบบสหพันธรัฐหรือในระบบคลาวด์ด้วยการรวมข้อมูลประจำตัวที่เรียบง่ายและปลอดภัยและบริการบนเว็บแบบลงชื่อเพียงครั้งเดียว (SSO) Windows Server AD FS ประกอบด้วย บริการตามบทบาท Federation Service ทำหน้าที่เป็นผู้ให้บริการข้อมูลประจำตัว (ตรวจสอบผู้ใช้เพื่อจัดหาโทเค็นความปลอดภัยให้กับแอปพลิเคชันที่เชื่อถือ AD FS) หรือเป็นผู้ให้บริการสหพันธรัฐ (ใช้โทเค็นจากผู้ให้บริการข้อมูลประจำตัวอื่นๆ

Active Directory บริการไดเรกทอรีน้ำหนักเบา

Active Directory Lightweight Directory Services (AD LDS) เป็นโปรโตคอล LDAP ที่ให้การสนับสนุนที่ยืดหยุ่นสำหรับแอปพลิเคชันไดเรกทอรี โดยไม่มีการขึ้นต่อกันและข้อจำกัดเฉพาะโดเมนของ Active Directory Domain Services AD LDS สามารถทำงานบนเซิร์ฟเวอร์สมาชิกหรือเซิร์ฟเวอร์แบบสแตนด์อโลน คุณสามารถเรียกใช้ AD LDS ได้หลายอินสแตนซ์ด้วยสกีมาที่มีการจัดการโดยอิสระบนเซิร์ฟเวอร์เดียวกัน ด้วยบทบาทบริการ AD LDS คุณสามารถให้บริการไดเร็กทอรีแก่แอปพลิเคชันที่เปิดใช้งานไดเร็กทอรีโดยไม่ต้องใช้โดเมนและข้อมูลบริการฟอเรสต์ และไม่ต้องใช้สคีมาทั่วทั้งฟอเรสต์เดียว

บริการจัดการสิทธิ์ของ Active Directory

คุณสามารถใช้ AD RMS เพื่อขยายกลยุทธ์การรักษาความปลอดภัยขององค์กรของคุณโดยการรักษาความปลอดภัยเอกสารโดยใช้การจัดการสิทธิ์ในข้อมูล (IRM) AD RMS ช่วยให้ผู้ใช้และผู้ดูแลระบบกำหนดสิทธิ์การเข้าถึงเอกสาร สมุดงาน และงานนำเสนอโดยใช้นโยบาย IRM สิ่งนี้ทำให้คุณสามารถปกป้องข้อมูลที่เป็นความลับจากการถูกพิมพ์ ส่งต่อ หรือคัดลอกโดยผู้ใช้ที่ไม่ได้รับอนุญาต เมื่อสิทธิ์ของไฟล์ถูกจำกัดโดยใช้ IRM ข้อจำกัดการเข้าถึงและการใช้งานจะถูกนำไปใช้โดยไม่คำนึงถึงตำแหน่งที่ตั้งของข้อมูล เนื่องจากการอนุญาตของไฟล์จะถูกจัดเก็บไว้ในตัวไฟล์เอกสารเอง ด้วย AD RMS และ IRM ผู้ใช้แต่ละคนสามารถใช้การตั้งค่าของตนเองเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลและข้อมูลลับ นอกจากนี้ยังช่วยให้องค์กรบังคับใช้นโยบายองค์กรเพื่อควบคุมการใช้และการแจกจ่ายข้อมูลส่วนบุคคลที่ละเอียดอ่อน โซลูชัน IRM ที่สนับสนุนโดย AD RMS ใช้เพื่อมอบความสามารถดังต่อไปนี้

• นโยบายการใช้งานแบบต่อเนื่องที่คงอยู่กับข้อมูลไม่ว่าจะถูกย้าย ส่ง หรือส่งต่อ
• ความเป็นส่วนตัวเพิ่มเติมอีกชั้นเพื่อปกป้องข้อมูลที่ละเอียดอ่อน - เช่น รายงาน ข้อมูลจำเพาะของผลิตภัณฑ์ ข้อมูลลูกค้า และข้อความอีเมล - จากการตกไปอยู่ในมือผู้ไม่หวังดีโดยตั้งใจหรือไม่ตั้งใจ
• ป้องกันการส่ง คัดลอก แก้ไข พิมพ์ แฟกซ์ หรือวางเนื้อหาที่ถูกจำกัดโดยไม่ได้รับอนุญาตโดยผู้รับที่ได้รับอนุญาต
• ป้องกันการคัดลอกเนื้อหาที่ถูกจำกัดโดยใช้คุณสมบัติ PRINT SCREEN ใน Microsoft Windows
• รองรับการหมดอายุของไฟล์ ป้องกันการดูเนื้อหาเอกสารหลังจากระยะเวลาที่กำหนด
• ใช้นโยบายองค์กรที่ควบคุมการใช้และการเผยแพร่เนื้อหาภายในองค์กร

เซิร์ฟเวอร์แอปพลิเคชัน

Application Server จัดเตรียมสภาพแวดล้อมแบบบูรณาการสำหรับการปรับใช้และรันแอปพลิเคชันธุรกิจบนเซิร์ฟเวอร์ที่กำหนดเอง

เซิร์ฟเวอร์ DHCP

DHCP เป็นเทคโนโลยีไคลเอนต์เซิร์ฟเวอร์ที่อนุญาตให้เซิร์ฟเวอร์ DHCP กำหนดหรือเช่าที่อยู่ IP ให้กับคอมพิวเตอร์และอุปกรณ์อื่น ๆ ที่เป็นไคลเอนต์ DHCP การปรับใช้เซิร์ฟเวอร์ DHCP บนเครือข่ายจะให้คอมพิวเตอร์ไคลเอ็นต์และอุปกรณ์เครือข่ายอื่น ๆ โดยอัตโนมัติตามที่อยู่ IP ที่ถูกต้องของ IPv4 และ IPv6 และการตั้งค่าการกำหนดค่าเพิ่มเติมที่จำเป็นโดยไคลเอ็นต์และอุปกรณ์เหล่านี้ บริการ DHCP Server ใน Windows Server รวมถึงการสนับสนุนการกำหนดตามนโยบายและ DHCP ล้มเหลว

เซิร์ฟเวอร์ DNS

บริการ DNS เป็นฐานข้อมูลแบบกระจายลำดับชั้นที่มีการแมปชื่อโดเมน DNS กับข้อมูลประเภทต่างๆ เช่น ที่อยู่ IP บริการ DNS อนุญาตให้คุณใช้ชื่อที่จำง่าย เช่น www.microsoft.com เพื่อช่วยระบุตำแหน่งคอมพิวเตอร์และทรัพยากรอื่นๆ บนเครือข่ายที่ใช้ TCP/IP บริการ DNS ใน Windows Server ให้การสนับสนุนขั้นสูงเพิ่มเติมสำหรับ DNS Security Modules (DNSSEC) รวมถึงการลงทะเบียนเครือข่ายและการจัดการการตั้งค่าอัตโนมัติ

แฟกซ์เซิร์ฟเวอร์

Fax Server ส่งและรับแฟกซ์ และอนุญาตให้คุณจัดการทรัพยากรแฟกซ์ เช่น งาน การตั้งค่า รายงาน และอุปกรณ์แฟกซ์บนเซิร์ฟเวอร์แฟกซ์ของคุณ

บริการไฟล์และที่เก็บข้อมูล

ผู้ดูแลระบบสามารถใช้บทบาท File and Storage Services เพื่อตั้งค่าเซิร์ฟเวอร์ไฟล์หลายตัวและพื้นที่เก็บข้อมูล และจัดการเซิร์ฟเวอร์เหล่านั้นโดยใช้ Server Manager หรือ Windows PowerShell แอปพลิเคชั่นเฉพาะบางอย่างมีคุณสมบัติดังต่อไปนี้

• โฟลเดอร์ทำงาน ใช้เพื่อให้ผู้ใช้สามารถจัดเก็บและเข้าถึงไฟล์งานบนคอมพิวเตอร์ส่วนบุคคลและอุปกรณ์อื่นๆ นอกเหนือจากพีซีของบริษัท ผู้ใช้จะได้รับความสะดวกในการจัดเก็บไฟล์งานและเข้าถึงได้จากทุกที่ องค์กรควบคุมข้อมูลองค์กรโดยการจัดเก็บไฟล์บนเซิร์ฟเวอร์ไฟล์ที่มีการจัดการจากส่วนกลาง และเลือกตั้งค่านโยบายอุปกรณ์ของผู้ใช้ (เช่น รหัสผ่านการเข้ารหัสและล็อคหน้าจอ)
• การขจัดข้อมูลซ้ำซ้อน ใช้เพื่อลดความต้องการพื้นที่ดิสก์ในการจัดเก็บไฟล์ ประหยัดเงินในการจัดเก็บ
• เซิร์ฟเวอร์เป้าหมาย iSCSI ใช้เพื่อสร้างระบบย่อยดิสก์ iSCSI แบบรวมศูนย์ ซอฟต์แวร์และอุปกรณ์ที่ไม่ขึ้นกับอุปกรณ์ในเครือข่ายพื้นที่เก็บข้อมูล (SANs)
• พื้นที่ดิสก์ ใช้เพื่อปรับใช้พื้นที่จัดเก็บข้อมูลที่พร้อมใช้งานสูง ยืดหยุ่น และปรับขนาดได้ด้วยไดรฟ์มาตรฐานอุตสาหกรรมที่คุ้มค่า
• ผู้จัดการเซิร์ฟเวอร์ ใช้จัดการเซิร์ฟเวอร์ไฟล์หลายตัวจากระยะไกลจากหน้าต่างเดียว
• Windows PowerShell ใช้เพื่อทำให้การจัดการงานการดูแลเซิร์ฟเวอร์ไฟล์ส่วนใหญ่เป็นแบบอัตโนมัติ

ไฮเปอร์-วี

บทบาท Hyper-V ช่วยให้คุณสร้างและจัดการสภาพแวดล้อมการประมวลผลเสมือนจริงโดยใช้เทคโนโลยีการจำลองเสมือนที่มีอยู่ใน Windows Server การติดตั้งบทบาท Hyper-V จะติดตั้งข้อกำหนดเบื้องต้นและเครื่องมือการจัดการเพิ่มเติม ข้อกำหนดเบื้องต้นประกอบด้วย Windows hypervisor, Hyper-V Virtual Machine Management Service, ผู้ให้บริการการจำลองเสมือน WMI และคอมโพเนนต์การจำลองเสมือน เช่น VMbus, Virtualization Service Provider (VSP) และ Virtual Infrastructure Driver (VID)

นโยบายเครือข่ายและบริการการเข้าถึง

Network Policy and Access Services ให้บริการโซลูชั่นการเชื่อมต่อเครือข่ายดังต่อไปนี้:

• การป้องกันการเข้าถึงเครือข่ายเป็นเทคโนโลยีสำหรับการสร้าง บังคับใช้ และแก้ไขนโยบายสถานภาพของไคลเอ็นต์ ด้วยการป้องกันการเข้าถึงเครือข่าย ผู้ดูแลระบบสามารถตั้งค่าและบังคับใช้นโยบายด้านสุขภาพโดยอัตโนมัติ ซึ่งรวมถึงข้อกำหนดสำหรับซอฟต์แวร์ การอัปเดตความปลอดภัย และการตั้งค่าอื่นๆ สำหรับคอมพิวเตอร์ไคลเอ็นต์ที่ไม่เป็นไปตามนโยบายด้านสุขภาพ คุณสามารถจำกัดการเข้าถึงเครือข่ายได้จนกว่าการกำหนดค่าของคอมพิวเตอร์จะได้รับการอัปเดตให้สอดคล้องกับข้อกำหนดของนโยบาย
• หากมีการปรับใช้จุดเชื่อมต่อไร้สายที่เปิดใช้งาน 802.1X คุณสามารถใช้ Network Policy Server (NPS) เพื่อปรับใช้วิธีการรับรองความถูกต้องตามใบรับรองที่มีความปลอดภัยมากกว่าการรับรองความถูกต้องด้วยรหัสผ่าน การใช้ฮาร์ดแวร์ที่เปิดใช้งาน 802.1X กับเซิร์ฟเวอร์ NPS ช่วยให้ผู้ใช้อินทราเน็ตได้รับการพิสูจน์ตัวตนก่อนที่จะสามารถเชื่อมต่อกับเครือข่ายหรือรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP
• แทนที่จะกำหนดค่านโยบายการเข้าถึงเครือข่ายในแต่ละเซิร์ฟเวอร์การเข้าถึงเครือข่าย คุณสามารถสร้างนโยบายทั้งหมดจากส่วนกลางที่กำหนดทุกแง่มุมของคำขอเชื่อมต่อเครือข่าย (ใครสามารถเชื่อมต่อ เมื่ออนุญาตการเชื่อมต่อ ระดับความปลอดภัยที่ต้องใช้เพื่อเชื่อมต่อกับเครือข่าย ).

บริการสิ่งพิมพ์และเอกสาร

บริการพิมพ์และเอกสารช่วยให้คุณสามารถรวมศูนย์งานเซิร์ฟเวอร์การพิมพ์และเครื่องพิมพ์เครือข่าย บทบาทนี้ยังช่วยให้คุณรับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและอัปโหลดเอกสารไปยังเครือข่ายที่ใช้ร่วมกัน - ไปยังไซต์ Windows SharePoint Services หรือทางอีเมล

การเข้าถึงระยะไกล

บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลคือการจัดกลุ่มทางตรรกะของเทคโนโลยีการเข้าถึงเครือข่ายต่อไปนี้

• การเข้าถึงโดยตรง
• การกำหนดเส้นทางและการเข้าถึงระยะไกล
• พร็อกซีแอปพลิเคชันเว็บ

เทคโนโลยีเหล่านี้คือ บริการตามบทบาทบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล เมื่อคุณติดตั้งบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล คุณสามารถติดตั้งหนึ่งบริการหรือมากกว่าหนึ่งบทบาทได้โดยการเรียกใช้ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะ

บน Windows Server บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลมีความสามารถในการจัดการจากส่วนกลาง กำหนดค่า และตรวจสอบ DirectAccess และ VPN ด้วยบริการการเข้าถึงระยะไกล Routing and Remote Access Service (RRAS) สามารถใช้ DirectAccess และ RRAS บน Edge Server เดียวกันและจัดการโดยใช้คำสั่ง Windows PowerShell และ Remote Access Management Console (MMC)

บริการเดสก์ท็อประยะไกล

บริการเดสก์ท็อประยะไกลช่วยเร่งและขยายการปรับใช้เดสก์ท็อปและแอปพลิเคชันบนอุปกรณ์ใดๆ ทำให้ผู้ปฏิบัติงานระยะไกลมีประสิทธิภาพมากขึ้นในขณะเดียวกันก็รักษาความปลอดภัยทรัพย์สินทางปัญญาที่สำคัญและทำให้การปฏิบัติตามข้อกำหนดง่ายขึ้น บริการเดสก์ท็อประยะไกลประกอบด้วยโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) เดสก์ท็อปแบบเซสชัน และแอปพลิเคชัน ทำให้ผู้ใช้สามารถทำงานได้จากทุกที่

บริการเปิดใช้งานปริมาณ

Volume License Activation Services คือบทบาทเซิร์ฟเวอร์ใน Windows Server ที่เริ่มต้นด้วย Windows Server 2012 ที่ทำให้การออกและการจัดการ Volume License สำหรับซอฟต์แวร์ Microsoft ในสถานการณ์และสภาพแวดล้อมต่างๆ เป็นไปโดยอัตโนมัติและง่ายขึ้น คุณสามารถติดตั้งและกำหนดค่า Key Management Service (KMS) และการเปิดใช้งาน Active Directory ร่วมกับ Volume License Activation Services ได้

เว็บเซิร์ฟเวอร์ (IIS)

บทบาทเว็บเซิร์ฟเวอร์ (IIS) ใน Windows Server จัดเตรียมแพลตฟอร์มสำหรับการโฮสต์เว็บไซต์ บริการ และแอปพลิเคชัน การใช้เว็บเซิร์ฟเวอร์ทำให้ผู้ใช้สามารถเข้าถึงข้อมูลบนอินเทอร์เน็ต อินทราเน็ต และเอกซ์ทราเน็ต ผู้ดูแลระบบสามารถใช้บทบาทเว็บเซิร์ฟเวอร์ (IIS) เพื่อตั้งค่าและจัดการเว็บไซต์ เว็บแอปพลิเคชัน และไซต์ FTP หลายรายการ คุณสมบัติพิเศษมีดังต่อไปนี้

• ใช้ Internet Information Services (IIS) Manager เพื่อกำหนดค่าส่วนประกอบ IIS และจัดการเว็บไซต์
• การใช้โปรโตคอล FTP เพื่อให้เจ้าของเว็บไซต์สามารถอัพโหลดและดาวน์โหลดไฟล์ได้
• การใช้การแยกเว็บไซต์เพื่อป้องกันไม่ให้เว็บไซต์หนึ่งบนเซิร์ฟเวอร์ส่งผลกระทบต่อเว็บไซต์อื่น
• การปรับแต่งเว็บแอปพลิเคชันที่พัฒนาโดยใช้เทคโนโลยีต่างๆ เช่น Classic ASP, ASP.NET และ PHP
• ใช้ Windows PowerShell เพื่อจัดการงานการดูแลระบบเว็บเซิร์ฟเวอร์ส่วนใหญ่โดยอัตโนมัติ
• รวมเซิร์ฟเวอร์เว็บหลายตัวไว้ในฟาร์มเซิร์ฟเวอร์ที่สามารถจัดการได้โดยใช้ IIS

บริการการปรับใช้ Windows

Windows Deployment Services ช่วยให้คุณสามารถปรับใช้ระบบปฏิบัติการ Windows ผ่านเครือข่าย ซึ่งหมายความว่าคุณไม่จำเป็นต้องติดตั้งระบบปฏิบัติการแต่ละระบบโดยตรงจากซีดีหรือดีวีดี

ประสบการณ์ Windows Server Essentials

บทบาทนี้ช่วยให้คุณทำงานต่อไปนี้:

• ปกป้องข้อมูลเซิร์ฟเวอร์และไคลเอ็นต์โดยสำรองข้อมูลเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ทั้งหมดบนเครือข่าย
• จัดการผู้ใช้และกลุ่มผู้ใช้ผ่านแดชบอร์ดเซิร์ฟเวอร์ที่เรียบง่าย นอกจากนี้ การรวมเข้ากับ Windows Azure Active Directory* ช่วยให้ผู้ใช้เข้าถึงบริการออนไลน์ของ Microsoft ทางออนไลน์ (เช่น Office 365, Exchange Online และ SharePoint Online) ได้อย่างง่ายดายโดยใช้ข้อมูลประจำตัวของโดเมน
• จัดเก็บข้อมูลบริษัทไว้ในที่ส่วนกลาง
• รวมเซิร์ฟเวอร์เข้ากับ Microsoft Online Services (เช่น Office 365, Exchange Online, SharePoint Online และ Windows Intune):
• ใช้คุณสมบัติการเข้าถึงที่แพร่หลายบนเซิร์ฟเวอร์ (เช่น การเข้าถึงเว็บระยะไกลและเครือข่ายส่วนตัวเสมือน) เพื่อเข้าถึงเซิร์ฟเวอร์ คอมพิวเตอร์เครือข่าย และข้อมูลจากตำแหน่งระยะไกลที่มีความปลอดภัยสูง
• เข้าถึงข้อมูลจากทุกที่และจากอุปกรณ์ใด ๆ โดยใช้เว็บพอร์ทัลขององค์กร (ผ่านการเข้าถึงเว็บระยะไกล)
• จัดการอุปกรณ์เคลื่อนที่ที่เข้าถึงอีเมลขององค์กรของคุณด้วย Office 365 ผ่านโปรโตคอล Active Sync จากแดชบอร์ด
• ตรวจสอบสถานะของเครือข่ายและรับรายงานสถานะที่ปรับแต่งได้ สามารถสร้างรายงานตามความต้องการ ปรับแต่ง และส่งอีเมลไปยังผู้รับเฉพาะราย

บริการอัพเดต Windows Server

เซิร์ฟเวอร์ WSUS มีส่วนประกอบที่ผู้ดูแลระบบต้องการเพื่อจัดการและเผยแพร่การอัปเดตผ่านคอนโซลการจัดการ นอกจากนี้ เซิร์ฟเวอร์ WSUS ยังสามารถเป็นแหล่งที่มาของการอัปเดตสำหรับเซิร์ฟเวอร์ WSUS อื่นๆ ในองค์กร เมื่อใช้งาน WSUS เซิร์ฟเวอร์ WSUS อย่างน้อยหนึ่งเครื่องบนเครือข่ายต้องเชื่อมต่อกับ Microsoft Update เพื่อรับข้อมูลเกี่ยวกับการอัปเดตที่มี ขึ้นอยู่กับความปลอดภัยและการกำหนดค่าของเครือข่าย ผู้ดูแลระบบสามารถกำหนดจำนวนเซิร์ฟเวอร์อื่นที่เชื่อมต่อโดยตรงกับ Microsoft Update

การแนะนำ

ด้วยจำนวนคอมพิวเตอร์ที่เพิ่มขึ้นในองค์กร คำถามเกี่ยวกับค่าใช้จ่ายในการจัดการและบำรุงรักษาจึงรุนแรงขึ้นเรื่อย ๆ การกำหนดค่าคอมพิวเตอร์ด้วยตนเองต้องใช้เวลามากจากพนักงานและกองกำลัง ด้วยการเพิ่มจำนวนคอมพิวเตอร์เพื่อเพิ่มพนักงานที่ให้บริการ นอกจากนี้ ด้วยเครื่องจักรจำนวนมาก การตรวจสอบการปฏิบัติตามมาตรฐานที่องค์กรนำมาใช้จึงทำได้ยากขึ้น นโยบายกลุ่ม (Group Policy) เป็นเครื่องมือที่ครอบคลุมสำหรับการจัดการแบบรวมศูนย์ของคอมพิวเตอร์ที่ใช้ Windows 2000 และสูงกว่าในโดเมน Active Directory นโยบายกลุ่มจะไม่นำไปใช้กับคอมพิวเตอร์ที่ใช้ Windows NT4/9x: นโยบายเหล่านี้จะถูกควบคุมโดยนโยบายระบบ ซึ่งจะไม่กล่าวถึงในบทความนี้

GPO

การตั้งค่าทั้งหมดที่คุณสร้างภายใน Group Policies จะถูกจัดเก็บไว้ใน Group Policy Objects (GPO) GPO มีสองประเภท: GPO ภายในเครื่องและ GPO ของ Active Directory GPO ภายในพร้อมใช้งานบนคอมพิวเตอร์ที่ใช้ Windows 2000 และใหม่กว่า สามารถมีได้เพียงอันเดียว และเป็น GPO เดียวที่สามารถอยู่บนเครื่องที่ไม่ใช่โดเมนได้

Group Policy Object เป็นชื่อทั่วไปสำหรับชุดของไฟล์ ไดเร็กทอรี และรายการในฐานข้อมูล Active Directory (หากไม่ใช่วัตถุในเครื่อง) ที่จัดเก็บการตั้งค่าของคุณและกำหนดการตั้งค่าอื่นๆ ที่คุณสามารถเปลี่ยนแปลงได้โดยใช้ Group Policies โดยการสร้างนโยบาย คุณกำลังสร้างและปรับเปลี่ยน GPO จริงๆ GPO ภายในเครื่องถูกเก็บไว้ใน %SystemRoot%\System32\GroupPolicy GPO ของ Active Directory ถูกจัดเก็บไว้ในตัวควบคุมโดเมนและสามารถเชื่อมโยงกับไซต์ โดเมน หรือ OU (หน่วยองค์กร หน่วยองค์กร หรือหน่วยองค์กร) การผูกของวัตถุจะกำหนดขอบเขตของมัน ตามค่าเริ่มต้น GPO สองตัวจะถูกสร้างขึ้นในโดเมน: นโยบายโดเมนเริ่มต้นและนโยบายตัวควบคุมโดเมนเริ่มต้น อันดับแรกกำหนดนโยบายเริ่มต้นสำหรับรหัสผ่านและบัญชีในโดเมน ส่วนที่สองสื่อสารกับตัวควบคุมโดเมน OU และเพิ่มการตั้งค่าความปลอดภัยสำหรับตัวควบคุมโดเมน

สร้าง GPO

ในการสร้างนโยบาย (นั่นคือสร้าง GPO ใหม่จริงๆ) ให้เปิด Active Directory Users & Computers แล้วเลือกตำแหน่งที่จะสร้างวัตถุใหม่ คุณสามารถสร้างและเชื่อมโยง GPO กับไซต์ โดเมน หรือวัตถุ OU ได้เท่านั้น

ข้าว. 1. สร้าง GPO

หากต้องการสร้าง GPO และเชื่อมโยง ตัวอย่างเช่น ผู้ทดสอบ OU ให้คลิกขวาที่ OU นี้แล้วเลือกคุณสมบัติจากเมนูบริบท ในหน้าต่างคุณสมบัติที่เปิดขึ้น ให้เปิดแท็บ Group Policy แล้วคลิก New

ข้าว. 2. สร้าง GPO

เราตั้งชื่อให้กับวัตถุ GP หลังจากนั้นวัตถุจะถูกสร้างขึ้น และคุณสามารถเริ่มกำหนดค่านโยบายได้ ดับเบิลคลิกที่วัตถุที่สร้างขึ้นหรือกดปุ่มแก้ไข หน้าต่างตัวแก้ไข GPO จะเปิดขึ้น ซึ่งคุณสามารถกำหนดค่าพารามิเตอร์เฉพาะของวัตถุได้

ข้าว. 3. คำอธิบายการตั้งค่าในแท็บขยาย

การตั้งค่าหลักส่วนใหญ่นั้นใช้งานง่าย (มีคำอธิบายด้วยหากคุณเปิดแท็บขยาย) และเราจะไม่ลงรายละเอียดในแต่ละรายการ ดังจะเห็นได้จากรูป 3 GPO ประกอบด้วยสองส่วน: การกำหนดค่าคอมพิวเตอร์และการกำหนดค่าผู้ใช้ การตั้งค่าในส่วนแรกจะถูกนำไปใช้ในเวลาบูต Windows กับคอมพิวเตอร์ในคอนเทนเนอร์นี้และด้านล่าง (ยกเว้นกรณีที่การสืบทอดถูกแทนที่) และไม่ขึ้นกับผู้ใช้ที่เข้าสู่ระบบ การตั้งค่าของส่วนที่สองจะถูกนำไปใช้ระหว่างการเข้าสู่ระบบของผู้ใช้

ลำดับการสมัคร GPO

เมื่อคอมพิวเตอร์เริ่มทำงาน การดำเนินการต่อไปนี้จะเกิดขึ้น:

1. รีจิสตรีถูกอ่านและพิจารณาว่าคอมพิวเตอร์เป็นของไซต์ใด มีการสืบค้นไปยังเซิร์ฟเวอร์ DNS เพื่อรับที่อยู่ IP ของตัวควบคุมโดเมนที่อยู่ในไซต์นี้
2. เมื่อได้รับที่อยู่แล้ว คอมพิวเตอร์จะเชื่อมต่อกับตัวควบคุมโดเมน
3. ไคลเอนต์ขอรายการวัตถุ GP จากตัวควบคุมโดเมนและนำไปใช้ หลังส่งรายการของวัตถุ GP ตามลำดับที่ควรนำไปใช้
4. เมื่อผู้ใช้เข้าสู่ระบบ คอมพิวเตอร์จะร้องขอรายการวัตถุ GP อีกครั้งเพื่อนำไปใช้กับผู้ใช้ ดึงข้อมูลและนำไปใช้

นโยบายกลุ่มจะถูกนำไปใช้เมื่อบูต OC และเมื่อผู้ใช้เข้าสู่ระบบ จากนั้นจะถูกนำไปใช้ทุกๆ 90 นาที โดยมีการเปลี่ยนแปลง 30 นาทีเพื่อหลีกเลี่ยงการโอเวอร์โหลดตัวควบคุมโดเมนหากมีการร้องขอไคลเอนต์จำนวนมากในเวลาเดียวกัน สำหรับตัวควบคุมโดเมน ช่วงเวลาการอัปเดตคือ 5 นาที คุณสามารถเปลี่ยนลักษณะการทำงานนี้ได้ใน Computer Configuration\Administrative Templates\System\Group Policy GPO สามารถดำเนินการกับวัตถุคอมพิวเตอร์และผู้ใช้เท่านั้น นโยบายนี้ใช้เฉพาะกับวัตถุที่อยู่ในไดเรกทอรีวัตถุ (ไซต์ โดเมน หน่วยขององค์กร) ซึ่ง GPO เชื่อมโยงอยู่และต่อจากแผนผัง (ยกเว้นกรณีที่การสืบทอดถูกปิดใช้งาน) ตัวอย่างเช่น: มีการสร้าง GPO ในตัวทดสอบ OU (ดังที่เราทำไว้ข้างต้น)

ข้าว. 4. การสืบทอดการตั้งค่า

การตั้งค่าทั้งหมดที่ทำใน GPO นี้จะมีผลเฉพาะกับผู้ใช้และคอมพิวเตอร์ที่อยู่ในเครื่องทดสอบ OU และเครื่องทดสอบ OU เท่านั้น มาดูวิธีการใช้นโยบายโดยใช้ตัวอย่าง การทดสอบผู้ใช้ ซึ่งอยู่ใน OU ผู้ทดสอบ เข้าสู่ระบบคอมพิวเตอร์คอมพ์ ซึ่งอยู่ใน OU compOU (ดูรูปที่ 5)

ข้าว. 5. ลำดับการใช้นโยบาย

มี GPO สี่รายการในโดเมน:

1. SitePolicy ที่เกี่ยวข้องกับคอนเทนเนอร์ของไซต์
2. นโยบายโดเมนเริ่มต้นที่เกี่ยวข้องกับคอนเทนเนอร์โดเมน
3. Policy1 ที่เกี่ยวข้องกับผู้ทดสอบ OU;
4. Policy2 ที่เกี่ยวข้องกับ OU compOU

เมื่อบูต Windows บนคอมเวิร์กสเตชัน การตั้งค่าที่กำหนดไว้ในส่วนการกำหนดค่าคอมพิวเตอร์จะถูกนำไปใช้ตามลำดับนี้:

1. การตั้งค่า GPO ท้องถิ่น;
2. การตั้งค่า GPO SitePolicy;

4. การตั้งค่า GPO Policy2

เมื่อผู้ใช้ทดสอบเข้าสู่ระบบคอมพิวเตอร์คอมพ์ พารามิเตอร์ที่กำหนดไว้ในส่วนการกำหนดค่าผู้ใช้คือ:

1. การตั้งค่า GPO ท้องถิ่น;
2. การตั้งค่า GPO SitePolicy;
3. การตั้งค่านโยบายโดเมนเริ่มต้นของ GPO;
4. การตั้งค่า GPO Policy1

นั่นคือ GPO จะถูกนำไปใช้ตามลำดับนี้: นโยบายท้องถิ่น นโยบายระดับไซต์ นโยบายระดับโดเมน นโยบายระดับ OU

นโยบายกลุ่มจะถูกนำไปใช้แบบอะซิงโครนัสกับไคลเอ็นต์ Windows XP และซิงโครนัสกับไคลเอ็นต์ Windows 2000 ซึ่งหมายความว่าหน้าจอการเข้าสู่ระบบของผู้ใช้จะปรากฏขึ้นหลังจากใช้นโยบายคอมพิวเตอร์ทั้งหมดเท่านั้น และนโยบายผู้ใช้จะถูกนำไปใช้ก่อนที่เดสก์ท็อปจะปรากฏขึ้น การบังคับใช้นโยบายแบบอะซิงโครนัสหมายความว่าหน้าจอการเข้าสู่ระบบของผู้ใช้ปรากฏขึ้นก่อนที่นโยบายทั้งหมดของคอมพิวเตอร์จะถูกนำไปใช้ และเดสก์ท็อปจะปรากฏขึ้นก่อนที่จะมีการใช้นโยบายทั้งหมดของผู้ใช้ ส่งผลให้ผู้ใช้โหลดและเข้าสู่ระบบได้เร็วขึ้น
พฤติกรรมที่อธิบายไว้ข้างต้นจะเปลี่ยนไปในสองกรณี ประการแรก คอมพิวเตอร์ไคลเอ็นต์ตรวจพบการเชื่อมต่อเครือข่ายที่ช้า ตามค่าเริ่มต้น ในกรณีนี้จะใช้เฉพาะการตั้งค่าความปลอดภัยและเทมเพลตการดูแลระบบเท่านั้น การเชื่อมต่อที่มีแบนด์วิธน้อยกว่า 500 Kb/s ถือว่าช้า คุณสามารถเปลี่ยนค่านี้ได้ในการตรวจจับลิงก์ช้าของ Computer Configuration\Administrative Templates\System\Group Policy\Group Policy นอกจากนี้ ในส่วน Computer Configuration\Administrative Templates\System\Group Policy คุณสามารถกำหนดการตั้งค่านโยบายอื่นๆ เพื่อให้ประมวลผลผ่านการเชื่อมต่อที่ช้าได้เช่นกัน วิธีที่สองในการเปลี่ยนลำดับการใช้นโยบายคือตัวเลือกการประมวลผลย้อนกลับของนโยบายกลุ่มผู้ใช้ ตัวเลือกนี้จะเปลี่ยนลำดับการใช้นโยบายเริ่มต้น โดยนโยบายผู้ใช้จะถูกนำไปใช้หลังจากนโยบายคอมพิวเตอร์และแทนที่นโยบายหลัง คุณสามารถตั้งค่าตัวเลือกการย้อนกลับเพื่อใช้นโยบายคอมพิวเตอร์หลังจากนโยบายผู้ใช้ และเขียนทับนโยบายผู้ใช้ใดๆ ที่ขัดแย้งกับนโยบายคอมพิวเตอร์ พารามิเตอร์ย้อนกลับมี 2 โหมด:

1. ผสาน (เพื่อเชื่อมต่อ) - ในตอนแรกจะใช้นโยบายคอมพิวเตอร์ จากนั้นผู้ใช้และคอมพิวเตอร์อีกครั้ง ในกรณีนี้ นโยบายคอมพิวเตอร์จะแทนที่การตั้งค่าของนโยบายผู้ใช้ที่ขัดแย้งกับนโยบายของตนเอง
2. แทนที่ (แทนที่) - นโยบายผู้ใช้ไม่ได้รับการประมวลผล

เพื่อแสดงการใช้การตั้งค่าการประมวลผลย้อนกลับของนโยบายกลุ่มผู้ใช้ ตัวอย่างเช่น บนคอมพิวเตอร์สาธารณะ ซึ่งคุณจำเป็นต้องมีการตั้งค่าแบบจำกัดเดียวกัน โดยไม่คำนึงว่าผู้ใช้รายใดจะใช้

ลำดับความสำคัญ การสืบทอด และการแก้ไขข้อขัดแย้ง

ดังที่คุณได้สังเกตเห็นแล้ว ในทุกระดับ GPO มีการตั้งค่าเดียวกัน และการตั้งค่าเดียวกันสามารถกำหนดแตกต่างกันในหลายระดับ ในกรณีนี้ ค่าที่ใช้ล่าสุดจะเป็นค่าที่มีประสิทธิผล กฎนี้ใช้กับการตั้งค่าทั้งหมด ยกเว้นการตั้งค่าที่ไม่ได้กำหนดค่า สำหรับการตั้งค่าเหล่านี้ Windows จะไม่ดำเนินการใดๆ แต่มีข้อยกเว้นอย่างหนึ่ง: การตั้งค่าบัญชีและรหัสผ่านทั้งหมดสามารถกำหนดได้ที่ระดับโดเมนเท่านั้น ในระดับอื่นๆ การตั้งค่าเหล่านี้จะถูกละเว้น

ข้าว. 6. ผู้ใช้ Active Directory และคอมพิวเตอร์

หากมี GPO หลายรายการในระดับเดียวกัน ระบบจะใช้จากล่างขึ้นบน โดยการเปลี่ยนตำแหน่งของวัตถุนโยบายในรายการ (โดยใช้ปุ่มขึ้นและลง) คุณสามารถเลือกลำดับแอปพลิเคชันที่ต้องการได้

ข้าว. 7. ลำดับการใช้นโยบาย

บางครั้งคุณต้องการให้ OU เฉพาะไม่รับการตั้งค่านโยบายจาก GPO ที่เชื่อมโยงกับคอนเทนเนอร์ต้นทาง ในกรณีนี้ คุณต้องปิดใช้งานการสืบทอดนโยบายโดยทำเครื่องหมายที่ช่องทำเครื่องหมายการสืบทอดนโยบายบล็อก การตั้งค่านโยบายที่รับมาทั้งหมดจะถูกบล็อก และไม่มีวิธีการบล็อกการตั้งค่าแต่ละรายการ ไม่สามารถล็อกการตั้งค่าระดับโดเมนที่กำหนดนโยบายรหัสผ่านและนโยบายบัญชีได้

ข้าว. 9. การบล็อกการสืบทอดนโยบาย

หากคุณต้องการไม่ให้เขียนทับการตั้งค่าบางอย่างใน GPO ที่กำหนด ให้เลือก GPO ที่ต้องการ กดปุ่มตัวเลือก แล้วเลือก ไม่มีการแทนที่ ตัวเลือกนี้บังคับให้ใช้การตั้งค่า GPO ที่การสืบทอดนโยบายถูกบล็อก ไม่มีการตั้งค่าการแทนที่ในตำแหน่งที่ GPO เชื่อมโยงกับวัตถุไดเร็กทอรี ไม่ใช่ที่ GPO เอง หาก GPO เชื่อมโยงกับหลายคอนเทนเนอร์ในโดเมน การตั้งค่านี้จะไม่ได้รับการกำหนดค่าโดยอัตโนมัติสำหรับลิงก์ที่เหลือ หากมีการกำหนดค่าการตั้งค่า No Override สำหรับหลายลิงก์ในระดับเดียวกัน การตั้งค่า GPO ที่ด้านบนสุดของรายการจะมีความสำคัญกว่า (และมีผล) ถ้าไม่มีการกำหนดค่าการตั้งค่าสำหรับ GPO หลายรายการในระดับที่แตกต่างกัน การตั้งค่า GPO ที่สูงกว่าในลำดับชั้นไดเรกทอรีจะมีผล นั่นคือ ถ้าการตั้งค่า No override ถูกกำหนดค่าให้เชื่อมโยง GPO กับวัตถุโดเมน และเชื่อมโยง GPO ไปยัง OU การตั้งค่าที่กำหนดในระดับโดเมนจะมีผล กล่องกาเครื่องหมายปิดใช้งานจะยกเลิกผลกระทบของ GPO นี้ในคอนเทนเนอร์นี้

ข้าว. 10. ตัวเลือกไม่มีการแทนที่และปิดใช้งาน

ตามที่กล่าวไว้ข้างต้น นโยบายจะมีผลเฉพาะกับผู้ใช้และคอมพิวเตอร์เท่านั้น คำถามมักเกิดขึ้น: "จะทำให้นโยบายบางอย่างมีผลกับผู้ใช้ทั้งหมดที่รวมอยู่ในกลุ่มความปลอดภัยได้อย่างไร" ในการทำเช่นนี้ GPO จะเชื่อมโยงกับวัตถุโดเมน (หรือคอนเทนเนอร์ใดๆ ที่อยู่เหนือคอนเทนเนอร์หรือ OU ซึ่งมีวัตถุผู้ใช้ทั้งหมดจากกลุ่มที่ต้องการอยู่) และการตั้งค่าการเข้าถึงจะได้รับการกำหนดค่า คลิก Properties บนแท็บ Security ลบกลุ่ม Authenticated Users และเพิ่มกลุ่มที่ต้องการด้วยสิทธิ์ Read and Apply Group Policy

การกำหนดการตั้งค่าที่ส่งผลต่อคอมพิวเตอร์ของผู้ใช้

ในการระบุการกำหนดค่าขั้นสุดท้ายและระบุปัญหา คุณจำเป็นต้องทราบว่าการตั้งค่านโยบายใดที่มีผลบังคับใช้สำหรับผู้ใช้หรือคอมพิวเตอร์ที่กำหนด ในการทำเช่นนี้ มีเครื่องมือชุดนโยบายผลลัพธ์ (ชุดนโยบายผลลัพธ์, RSoP) RSoP สามารถทำงานได้ทั้งในโหมดการลงทะเบียนและโหมดการตั้งเวลา หากต้องการเรียกใช้ RSoP ให้คลิกขวาที่วัตถุผู้ใช้หรือคอมพิวเตอร์แล้วเลือกงานทั้งหมด

ข้าว. 11. การเรียกชุดผลลัพธ์ของเครื่องมือนโยบาย

เมื่อเปิดใช้งาน (ในโหมดบันทึก) ระบบจะขอให้คุณเลือกคอมพิวเตอร์และผู้ใช้เครื่องใดเพื่อกำหนดชุดผลลัพธ์ และหน้าต่างการตั้งค่าผลลัพธ์จะปรากฏขึ้นเพื่อระบุว่า GPO ใดใช้การตั้งค่าใด

ข้าว. 12. ชุดนโยบายที่เป็นผลลัพธ์

เครื่องมือจัดการนโยบายกลุ่มอื่นๆ

GPResult เป็นเครื่องมือบรรทัดคำสั่งที่มีฟังก์ชัน RSoP บางอย่าง GPResult พร้อมใช้งานตามค่าเริ่มต้นในคอมพิวเตอร์ทุกเครื่องที่ใช้ Windows XP และ Windows Server 2003

GPUpdate บังคับใช้นโยบายกลุ่ม - ทั้งแบบโลคัลและแบบ Active Directory ใน Windows XP/2003 แทนที่ตัวเลือก /refreshpolicy ในเครื่องมือ secedit สำหรับ Windows 2000

คำอธิบายของไวยากรณ์คำสั่งจะพร้อมใช้งานเมื่อคุณเรียกใช้ด้วยปุ่ม /?

แทนที่จะเป็นข้อสรุป

บทความนี้ไม่ได้มีเป้าหมายเพื่ออธิบายทุกแง่มุมของการทำงานกับนโยบายกลุ่ม แต่ไม่ได้มีไว้สำหรับผู้ดูแลระบบที่มีประสบการณ์ ในความคิดของฉันทั้งหมดข้างต้นควรช่วยให้เข้าใจหลักการพื้นฐานของการทำงานกับนักการเมืองสำหรับผู้ที่ไม่เคยทำงานกับพวกเขาหรือเพิ่งเริ่มเชี่ยวชาญ

ยูทิลิตี้ GPRResult.exe– เป็นแอปพลิเคชันคอนโซลที่ออกแบบมาเพื่อวิเคราะห์การตั้งค่าและวิเคราะห์นโยบายกลุ่มที่ใช้กับคอมพิวเตอร์และ/หรือผู้ใช้ในโดเมน Active Directory โดยเฉพาะอย่างยิ่ง GPResult ช่วยให้คุณได้รับข้อมูลจากชุดผลลัพธ์ของนโยบาย (ชุดผลลัพธ์ของนโยบาย, RSOP) รายการนโยบายโดเมนที่ใช้ (GPO) การตั้งค่า และข้อมูลโดยละเอียดเกี่ยวกับข้อผิดพลาดในการประมวลผล ยูทิลิตีนี้เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows ตั้งแต่สมัย Windows XP ยูทิลิตี GPResult ช่วยให้คุณตอบคำถามต่างๆ เช่น นโยบายเฉพาะมีผลกับคอมพิวเตอร์หรือไม่ ซึ่ง GPO เปลี่ยนการตั้งค่า Windows เฉพาะ และเพื่อหาสาเหตุ

ในบทความนี้ เราจะพิจารณาเฉพาะของการใช้คำสั่ง GPResult เพื่อวินิจฉัยและดีบักแอปพลิเคชันของนโยบายกลุ่มในโดเมน Active Directory

ในขั้นต้น เพื่อวินิจฉัยการใช้นโยบายกลุ่มใน Windows จะใช้คอนโซลกราฟิก RSOP.msc ซึ่งทำให้สามารถรับการตั้งค่าของนโยบายที่เป็นผลลัพธ์ (โดเมน + โลคัล) ที่ใช้กับคอมพิวเตอร์และผู้ใช้ในรูปแบบกราฟิกที่คล้ายกับ คอนโซลตัวแก้ไข GPO (ด้านล่าง ในตัวอย่างมุมมองคอนโซล RSOP.msc คุณจะเห็นว่ามีการตั้งค่าการอัปเดต)

อย่างไรก็ตาม คอนโซล RSOP.msc ใน Windows รุ่นใหม่ๆ ไม่สามารถใช้งานได้จริง เนื่องจาก ไม่สะท้อนถึงการตั้งค่าที่ใช้โดยส่วนขยายฝั่งไคลเอ็นต์ (CSE) ต่างๆ เช่น GPP (การตั้งค่านโยบายกลุ่ม) ไม่อนุญาตให้ค้นหา ให้ข้อมูลการวินิจฉัยเพียงเล็กน้อย ดังนั้นในขณะนี้ คำสั่ง GPResult จึงเป็นเครื่องมือหลักในการวินิจฉัยการใช้ GPO ใน Windows (ใน Windows 10 มีแม้กระทั่งคำเตือนว่า RSOP ไม่ได้ให้รายงานที่สมบูรณ์ ซึ่งแตกต่างจาก GPResult)

การใช้ยูทิลิตี GPResult.exe

คำสั่ง GPResult ถูกเรียกใช้บนคอมพิวเตอร์ที่คุณต้องการทดสอบแอปพลิเคชันของนโยบายกลุ่ม คำสั่ง GPResult มีไวยากรณ์ดังต่อไปนี้:

GPRESULT ]] [(/X | /H) ]

หากต้องการรับข้อมูลโดยละเอียดเกี่ยวกับนโยบายกลุ่มที่ใช้กับวัตถุ AD ที่กำหนด (ผู้ใช้และคอมพิวเตอร์) และการตั้งค่าอื่นๆ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน GPO (เช่น การตั้งค่านโยบาย GPO ที่เป็นผลลัพธ์ - RsoP) ให้เรียกใช้คำสั่ง:

ผลลัพธ์ของการดำเนินการคำสั่งแบ่งออกเป็น 2 ส่วน:

• คอมพิวเตอร์ การตั้งค่า (การกำหนดค่าคอมพิวเตอร์) – ส่วนนี้มีข้อมูลเกี่ยวกับวัตถุ GPO ที่ส่งผลกระทบต่อคอมพิวเตอร์ (เป็นวัตถุ Active Directory)
• ผู้ใช้ การตั้งค่า – ส่วนผู้ใช้ของนโยบาย (นโยบายที่ใช้กับบัญชีผู้ใช้ใน AD)

มาดูพารามิเตอร์/ส่วนหลักที่เราอาจสนใจโดยสังเขปในผลลัพธ์ของ GPResult:

• เว็บไซต์ชื่อ(ชื่อไซต์:) - ชื่อของไซต์ AD ซึ่งเป็นที่ตั้งของคอมพิวเตอร์
• ซี.เอ็น– ผู้ใช้/คอมพิวเตอร์ตามรูปแบบมาตรฐานเต็มรูปแบบซึ่งข้อมูล RSoP ถูกสร้างขึ้น
• ล่าสุดเวลากลุ่มนโยบายเคยเป็นสมัครแล้ว(นโยบายกลุ่มที่ใช้ล่าสุด) - เวลาที่ใช้นโยบายกลุ่มครั้งล่าสุด
• กลุ่มนโยบายเคยเป็นสมัครแล้วจาก(ใช้นโยบายกลุ่มจาก) - ตัวควบคุมโดเมนที่โหลด GPO เวอร์ชันล่าสุด
• โดเมนชื่อและโดเมนพิมพ์(ชื่อโดเมน, ประเภทโดเมน) – ชื่อและเวอร์ชันของโดเมน Active Directory;
• สมัครแล้วกลุ่มนโยบายวัตถุ(ประยุกต์ใช้ GPO)– รายการของวัตถุนโยบายกลุ่มที่ใช้งานอยู่;
• เดอะกำลังติดตามGPOคือไม่สมัครแล้วเพราะพวกเขาคือกรองออก(ไม่ได้ใช้นโยบาย GPO ต่อไปนี้เนื่องจากถูกกรอง) - ไม่ได้ใช้ (กรองแล้ว) GPOs;
• เดอะผู้ใช้/คอมพิวเตอร์เป็นกส่วนหนึ่งของเดอะกำลังติดตามความปลอดภัยกลุ่ม(ผู้ใช้/คอมพิวเตอร์เป็นสมาชิกของกลุ่มความปลอดภัยต่อไปนี้) – กลุ่มโดเมนที่ผู้ใช้เป็นสมาชิก

ในตัวอย่างของเรา คุณจะเห็นว่าวัตถุผู้ใช้ได้รับผลกระทบจากนโยบายกลุ่ม 4 ข้อ

• นโยบายโดเมนเริ่มต้น
• เปิดใช้งานไฟร์วอลล์ Windows;
• รายการค้นหาส่วนต่อท้าย DNS

หากคุณไม่ต้องการให้คอนโซลแสดงข้อมูลเกี่ยวกับทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์พร้อมกัน คุณสามารถใช้ตัวเลือก /scope เพื่อแสดงเฉพาะส่วนที่คุณสนใจ ผลลัพธ์เฉพาะนโยบายผู้ใช้:

gpresult /r /scope:user

หรือนโยบายเครื่องที่ใช้เท่านั้น:

gpresult /r /scope:คอมพิวเตอร์

เพราะ ยูทิลิตี้ Gpresult ส่งออกข้อมูลโดยตรงไปยังคอนโซลบรรทัดคำสั่งซึ่งไม่สะดวกสำหรับการวิเคราะห์ในภายหลัง เอาต์พุตสามารถเปลี่ยนเส้นทางไปยังคลิปบอร์ด:

gpresult /r |คลิป

หรือไฟล์ข้อความ:

gpresult /r > c:\gpresult.txt

หากต้องการแสดงข้อมูล RSOP ที่มีรายละเอียดสูง ให้เพิ่มสวิตช์ /z

รายงาน HTML RSOP โดยใช้ GPResult

นอกจากนี้ ยูทิลิตี GPResult ยังสามารถสร้างรายงาน HTML เกี่ยวกับนโยบายผลลัพธ์ที่ใช้ (มีให้ใช้งานใน Windows 7 และใหม่กว่า) รายงานนี้จะประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่าระบบทั้งหมดที่กำหนดโดยนโยบายกลุ่มและชื่อของ GPO เฉพาะที่ตั้งค่าไว้ (รายงานผลลัพธ์ในโครงสร้างจะคล้ายกับแท็บการตั้งค่าในคอนโซลการจัดการนโยบายกลุ่มโดเมน - GPMC) คุณสามารถสร้างรายงาน HTML GPResult โดยใช้คำสั่ง:

GPResult /h c:\gp-report\report.html /f

หากต้องการสร้างรายงานและเปิดโดยอัตโนมัติในเบราว์เซอร์ ให้รันคำสั่ง:

GPResult /h GPResult.html & GPResult.html

รายงาน gpresult HTML มีข้อมูลที่เป็นประโยชน์ค่อนข้างมาก: ข้อผิดพลาดของแอปพลิเคชัน GPO, เวลาในการประมวลผล (เป็น ms) และการใช้นโยบายเฉพาะและ CSE (ในส่วนรายละเอียดคอมพิวเตอร์ -> สถานะคอมโพเนนต์) สามารถมองเห็นได้ ตัวอย่างเช่น ในภาพหน้าจอด้านบน คุณจะเห็นว่านโยบายที่มีการตั้งค่า 24 รหัสผ่านที่จำไว้ถูกนำไปใช้โดยนโยบายโดเมนเริ่มต้น (คอลัมน์ Winning GPO) อย่างที่คุณเห็น รายงาน HTML นั้นสะดวกสำหรับการวิเคราะห์นโยบายที่ใช้มากกว่าคอนโซล rsop.msc

รับข้อมูล GPResult จากคอมพิวเตอร์ระยะไกล

นอกจากนี้ GPResult ยังสามารถรวบรวมข้อมูลจากคอมพิวเตอร์ระยะไกล ทำให้ผู้ดูแลระบบไม่จำเป็นต้องเข้าสู่ระบบภายในเครื่องหรือ RDP ไปยังคอมพิวเตอร์ระยะไกล รูปแบบคำสั่งสำหรับการรวบรวมข้อมูล RSOP จากคอมพิวเตอร์ระยะไกลมีดังนี้:

GPResult /s เซิร์ฟเวอร์-ts1 /r

ในทำนองเดียวกัน คุณสามารถรวบรวมข้อมูลจากทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์จากระยะไกล

ชื่อผู้ใช้ไม่มีข้อมูล RSOP

เมื่อเปิดใช้งาน UAC การเรียกใช้ GPResult โดยไม่มีสิทธิ์ยกระดับจะแสดงเฉพาะการตั้งค่าสำหรับส่วนที่กำหนดเองของ Group Policy หากคุณต้องการแสดงทั้งสองส่วน (การตั้งค่าผู้ใช้และการตั้งค่าคอมพิวเตอร์) พร้อมกัน ต้องเรียกใช้คำสั่ง หากพรอมต์คำสั่งที่ยกระดับอยู่ในระบบอื่นที่ไม่ใช่ผู้ใช้ปัจจุบัน ยูทิลิตีจะออกคำเตือน ข้อมูล: เดอะผู้ใช้"โดเมน\ผู้ใช้"ทำไม่มีร.ส.พข้อมูล (ผู้ใช้ 'โดเมน\ผู้ใช้' ไม่มีข้อมูล RSOP) นี่เป็นเพราะ GPResult พยายามรวบรวมข้อมูลสำหรับผู้ใช้ที่เรียกใช้ แต่เนื่องจาก ผู้ใช้รายนี้ไม่ได้เข้าสู่ระบบและไม่มีข้อมูล RSOP สำหรับผู้ใช้รายนี้ ในการรวบรวมข้อมูล RSOP สำหรับผู้ใช้ที่มีเซสชันที่ใช้งาน คุณต้องระบุบัญชีของเขา:

gpresult /r /user:tn\edward

หากคุณไม่ทราบชื่อบัญชีที่ล็อกอินบนคอมพิวเตอร์ระยะไกล คุณจะได้รับบัญชีดังต่อไปนี้:

qwinsta /SERVER:remotePC1

ตรวจสอบเวลาของลูกค้าด้วย เวลาต้องตรงกับเวลาบน PDC (Primary Domain Controller)

นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้ เนื่องจากถูกกรองออก

เมื่อแก้ไขปัญหานโยบายกลุ่ม คุณควรใส่ใจกับส่วนนี้ด้วย: GPOs ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก (นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก) ส่วนนี้แสดงรายการของ GPO ที่ไม่นำไปใช้กับวัตถุนี้ด้วยเหตุผลใดก็ตาม ตัวเลือกที่เป็นไปได้ที่นโยบายอาจไม่มีผลใช้บังคับ:

คุณยังสามารถเข้าใจได้ว่าควรใช้นโยบายกับวัตถุโฆษณาเฉพาะบนแท็บสิทธิ์ใช้งานจริง (ขั้นสูง -> การเข้าถึงที่มีประสิทธิภาพ)

ดังนั้น ในบทความนี้ เราจึงตรวจสอบคุณลักษณะของการวินิจฉัยการใช้นโยบายกลุ่มโดยใช้ยูทิลิตี้ GPResult และตรวจสอบสถานการณ์ทั่วไปสำหรับการใช้งาน

ฟังก์ชันการทำงานในระบบปฏิบัติการ Windows Server ได้รับการคำนวณและปรับปรุงจากเวอร์ชันหนึ่งไปอีกเวอร์ชัน มีบทบาทและส่วนประกอบมากขึ้นเรื่อยๆ ดังนั้นในบทความวันนี้ฉันจะพยายามอธิบายสั้นๆ คำอธิบายและวัตถุประสงค์ของแต่ละบทบาทใน Windows Server 2016.

ก่อนดำเนินการตามคำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server มาดูกันว่าอะไรคือ " บทบาทของเซิร์ฟเวอร์» บนระบบปฏิบัติการ Windows Server

"บทบาทเซิร์ฟเวอร์" ใน Windows Server คืออะไร

บทบาทของเซิร์ฟเวอร์- นี่คือชุดซอฟต์แวร์ที่รับรองประสิทธิภาพของฟังก์ชันบางอย่างโดยเซิร์ฟเวอร์ และฟังก์ชันนี้เป็นฟังก์ชันหลัก กล่าวอีกนัยหนึ่ง " บทบาทของเซิร์ฟเวอร์' คือปลายทางของเซิร์ฟเวอร์ เช่น มันมีไว้เพื่ออะไร เพื่อให้เซิร์ฟเวอร์สามารถทำหน้าที่หลักได้นั่นคือ บทบาทบางอย่างใน บทบาทของเซิร์ฟเวอร์» รวมซอฟต์แวร์ที่จำเป็นทั้งหมดสำหรับสิ่งนี้ ( โปรแกรม บริการ).

เซิร์ฟเวอร์สามารถมีหนึ่งบทบาทหากใช้งานอยู่ หรือหลายบทบาทหากแต่ละบทบาทไม่โหลดเซิร์ฟเวอร์หนักและไม่ค่อยได้ใช้

บทบาทเซิร์ฟเวอร์สามารถรวมบริการหลายบทบาทที่มีฟังก์ชันการทำงานของบทบาทนั้น ตัวอย่างเช่น ในบทบาทเซิร์ฟเวอร์ " เว็บเซิร์ฟเวอร์ (IIS)” รวมถึงบริการจำนวนมากพอสมควร และบทบาท “ เซิร์ฟเวอร์ DNS» ไม่รวมบริการบทบาท เนื่องจากบทบาทนี้ทำหน้าที่เดียวเท่านั้น

Role Services สามารถติดตั้งพร้อมกันทั้งหมดหรือทีละรายการก็ได้ ขึ้นอยู่กับความต้องการของคุณ โดยพื้นฐานแล้ว การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งบริการ

Windows Server ยังมี " ส่วนประกอบ» เซิร์ฟเวอร์

ส่วนประกอบเซิร์ฟเวอร์ (คุณสมบัติ)เป็นเครื่องมือซอฟต์แวร์ที่ไม่ใช่บทบาทของเซิร์ฟเวอร์ แต่ขยายขีดความสามารถของหนึ่งบทบาทขึ้นไป หรือจัดการหนึ่งบทบาทขึ้นไป

ไม่สามารถติดตั้งบางบทบาทได้หากเซิร์ฟเวอร์ไม่มีบริการหรือส่วนประกอบที่จำเป็นสำหรับบทบาทในการทำงาน ดังนั้นในขณะที่ติดตั้งบทบาทดังกล่าว " ตัวช่วยสร้างการเพิ่มบทบาทและคุณสมบัติ» เอง จะแจ้งให้คุณติดตั้งบริการหรือส่วนประกอบเพิ่มเติมที่จำเป็นโดยอัตโนมัติ

คำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server 2016

คุณอาจคุ้นเคยกับบทบาทต่างๆ ที่อยู่ใน Windows Server 2016 อยู่แล้ว เนื่องจากมีมานานแล้ว แต่อย่างที่ฉันได้กล่าวไปแล้ว ใน Windows Server เวอร์ชันใหม่แต่ละเวอร์ชัน จะมีการเพิ่มบทบาทใหม่ที่คุณอาจไม่เคยทำงาน ด้วย แต่เราอยากรู้ว่ามันมีไว้เพื่ออะไร ดังนั้น เรามาเริ่มดูกันเลย

บันทึก! คุณสามารถอ่านเกี่ยวกับคุณสมบัติใหม่ของระบบปฏิบัติการ Windows Server 2016 ได้ในเนื้อหา "การติดตั้ง Windows Server 2016 และภาพรวมของคุณสมบัติใหม่".

เนื่องจากบ่อยครั้งที่การติดตั้งและการจัดการบทบาท บริการ และส่วนประกอบเกิดขึ้นโดยใช้ Windows PowerShell ฉันจะระบุชื่อสำหรับแต่ละบทบาทและบริการที่สามารถใช้ใน PowerShell ตามลำดับสำหรับการติดตั้งหรือเพื่อการจัดการ

เซิร์ฟเวอร์ DHCP

บทบาทนี้ช่วยให้คุณกำหนดค่าที่อยู่ IP แบบไดนามิกและการตั้งค่าที่เกี่ยวข้องจากส่วนกลางสำหรับคอมพิวเตอร์และอุปกรณ์บนเครือข่ายของคุณ บทบาทเซิร์ฟเวอร์ DHCP ไม่มีบริการบทบาท

ชื่อสำหรับ Windows PowerShell คือ DHCP

เซิร์ฟเวอร์ DNS

บทบาทนี้มีไว้สำหรับการจำแนกชื่อในเครือข่าย TCP/IP บทบาทเซิร์ฟเวอร์ DNS จัดเตรียมและดูแล DNS เพื่อให้การจัดการเซิร์ฟเวอร์ DNS ง่ายขึ้น โดยปกติแล้วจะติดตั้งบนเซิร์ฟเวอร์เดียวกันกับ Active Directory Domain Services บทบาทเซิร์ฟเวอร์ DNS ไม่มีบริการตามบทบาท

ชื่อบทบาทสำหรับ PowerShell คือ DNS

ไฮเปอร์-วี

ด้วยบทบาท Hyper-V คุณสามารถสร้างและจัดการสภาพแวดล้อมเสมือนจริงได้ เป็นเครื่องมือสำหรับสร้างและจัดการเครื่องเสมือน

ชื่อบทบาทสำหรับ Windows PowerShell คือ Hyper-V

การรับรองความสมบูรณ์ของอุปกรณ์

บทบาท " » ช่วยให้คุณสามารถประเมินความสมบูรณ์ของอุปกรณ์ตามตัวบ่งชี้ที่วัดได้ของพารามิเตอร์ความปลอดภัย เช่น ตัวบ่งชี้สถานะของการบูตแบบปลอดภัยและ Bitlocker บนไคลเอ็นต์

สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบริการและส่วนประกอบของบทบาทจำนวนมาก ตัวอย่างเช่น: บริการหลายอย่างจากบทบาท " เว็บเซิร์ฟเวอร์ (IIS)", ส่วนประกอบ " ", ส่วนประกอบ " คุณสมบัติ .NET Framework 4.6».

ระหว่างการติดตั้ง บริการและคุณลักษณะที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติ บทบาท " การรับรองความสมบูรณ์ของอุปกรณ์» ไม่มีบริการตามบทบาท

ชื่อสำหรับ PowerShell คือ DeviceHealthAttestationService

เว็บเซิร์ฟเวอร์ (IIS)

จัดเตรียมโครงสร้างพื้นฐานเว็บแอปพลิเคชันที่เชื่อถือได้ จัดการได้ และปรับขนาดได้ ประกอบด้วยบริการจำนวนมากพอสมควร (43)

ชื่อสำหรับ Windows PowerShell คือเว็บเซิร์ฟเวอร์

รวมบริการบทบาทต่อไปนี้ ( ในวงเล็บ ฉันจะระบุชื่อสำหรับ Windows PowerShell):

เว็บเซิร์ฟเวอร์ (Web-Web Server)- กลุ่มบริการบทบาทที่ให้การสนับสนุนเว็บไซต์ HTML, ส่วนขยาย ASP.NET, ASP และเว็บเซิร์ฟเวอร์ ประกอบด้วยบริการดังต่อไปนี้:

• ความปลอดภัย (ความปลอดภัยของเว็บ)- ชุดบริการเพื่อความปลอดภัยของเว็บเซิร์ฟเวอร์
  • การกรองคำขอ (การกรองเว็บ) - โดยใช้เครื่องมือเหล่านี้ คุณสามารถประมวลผลคำขอทั้งหมดที่มาถึงเซิร์ฟเวอร์และกรองคำขอเหล่านี้ตามกฎพิเศษที่กำหนดโดยผู้ดูแลเว็บเซิร์ฟเวอร์
  • ข้อจำกัดที่อยู่ IP และโดเมน (Web-IP-Security) - เครื่องมือเหล่านี้อนุญาตให้คุณอนุญาตหรือปฏิเสธการเข้าถึงเนื้อหาบนเว็บเซิร์ฟเวอร์ตามที่อยู่ IP หรือชื่อโดเมนของแหล่งที่มาในคำขอ
  • การอนุญาต URL (Web-Url-Auth) - เครื่องมือช่วยให้คุณพัฒนากฎเพื่อจำกัดการเข้าถึงเนื้อหาเว็บและเชื่อมโยงกับผู้ใช้ กลุ่ม หรือคำสั่งส่วนหัว HTTP
  • Digest Authentication (Web-Digest-Auth) - การรับรองความถูกต้องนี้มีความปลอดภัยในระดับที่สูงกว่าการรับรองความถูกต้องพื้นฐาน การรับรองความถูกต้องแยกย่อยสำหรับการรับรองความถูกต้องของผู้ใช้ทำงานเหมือนกับการส่งผ่านแฮชรหัสผ่านไปยังตัวควบคุมโดเมนของ Windows;
  • การรับรองความถูกต้องพื้นฐาน (Web-Basic-Auth) - วิธีการรับรองความถูกต้องนี้ให้ความเข้ากันได้ของเว็บเบราว์เซอร์ที่แข็งแกร่ง ขอแนะนำให้ใช้ในเครือข่ายภายในขนาดเล็ก ข้อเสียเปรียบหลักของวิธีนี้คือรหัสผ่านที่ส่งผ่านเครือข่ายสามารถถูกสกัดกั้นและถอดรหัสได้ค่อนข้างง่าย ดังนั้นให้ใช้วิธีนี้ร่วมกับ SSL
  • Windows Authentication (Web-Windows-Auth) เป็นการรับรองความถูกต้องตามการรับรองความถูกต้องของโดเมน Windows คุณสามารถใช้บัญชี Active Directory เพื่อรับรองความถูกต้องของผู้ใช้เว็บไซต์ของคุณ
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ (เว็บไคลเอ็นต์-Auth) - วิธีการตรวจสอบความถูกต้องนี้ใช้ใบรับรองไคลเอ็นต์ ประเภทนี้ใช้บริการ Active Directory เพื่อให้การแมปใบรับรอง
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ IIS (Web-Cert-Auth) - วิธีนี้ยังใช้ใบรับรองไคลเอ็นต์สำหรับการตรวจสอบสิทธิ์ แต่ใช้ IIS เพื่อให้การแมปใบรับรอง ประเภทนี้ให้ประสิทธิภาพที่ดีกว่า
  • รองรับใบรับรอง SSL แบบรวมศูนย์ (Web-CertProvider) - เครื่องมือเหล่านี้ช่วยให้คุณจัดการใบรับรองเซิร์ฟเวอร์ SSL จากส่วนกลาง ซึ่งช่วยลดความยุ่งยากในกระบวนการจัดการใบรับรองเหล่านี้
• ความสามารถในการให้บริการและการวินิจฉัย (สถานภาพบนเว็บ)– ชุดบริการสำหรับตรวจสอบ จัดการ และแก้ไขปัญหาเว็บเซิร์ฟเวอร์ เว็บไซต์ และแอปพลิเคชัน:
  • การบันทึก http (การบันทึกเว็บ HTTP) - เครื่องมือจัดเตรียมการบันทึกกิจกรรมเว็บไซต์บนเซิร์ฟเวอร์ที่กำหนด เช่น รายการบันทึก;
  • การบันทึก ODBC (การบันทึกเว็บ ODBC) – เครื่องมือเหล่านี้ยังมีการบันทึกกิจกรรมบนเว็บไซต์ แต่สนับสนุนการบันทึกกิจกรรมนั้นไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
  • การตรวจสอบคำขอ (Web-Request-Monitor) เป็นเครื่องมือที่ช่วยให้คุณตรวจสอบความสมบูรณ์ของเว็บแอปพลิเคชันโดยการสกัดกั้นข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
  • การบันทึกแบบกำหนดเอง (การบันทึกเว็บแบบกำหนดเอง) - การใช้เครื่องมือเหล่านี้ คุณสามารถกำหนดค่าการบันทึกกิจกรรมเว็บเซิร์ฟเวอร์ในรูปแบบที่แตกต่างจากรูปแบบ IIS มาตรฐานอย่างมาก คุณสามารถสร้างโมดูลการบันทึกของคุณเองได้
  • เครื่องมือบันทึก (Web-Log-Libraries) เป็นเครื่องมือสำหรับจัดการบันทึกเว็บเซิร์ฟเวอร์และทำงานบันทึกโดยอัตโนมัติ
  • Tracing (Web-Http-Tracing) เป็นเครื่องมือสำหรับวินิจฉัยและแก้ไขการละเมิดในเว็บแอปพลิเคชัน
• http ฟังก์ชันทั่วไป (เว็บทั่วไป HTTP)– ชุดบริการที่มีฟังก์ชัน HTTP พื้นฐาน:
  • เอกสารเริ่มต้น (Web-Default-Doc) - คุณสมบัตินี้ช่วยให้คุณกำหนดค่าเว็บเซิร์ฟเวอร์ให้ส่งคืนเอกสารเริ่มต้นเมื่อผู้ใช้ไม่ได้ระบุเอกสารเฉพาะใน URL คำขอ ทำให้ผู้ใช้เข้าถึงเว็บไซต์ได้ง่ายขึ้น ตัวอย่างเช่น โดย โดเมนโดยไม่ระบุไฟล์
  • Directory Browsing (Web-Dir-Browsing) - เครื่องมือนี้สามารถใช้เพื่อกำหนดค่าเว็บเซิร์ฟเวอร์เพื่อให้ผู้ใช้สามารถดูรายการไดเร็กทอรีและไฟล์ทั้งหมดบนเว็บไซต์ ตัวอย่างเช่น สำหรับกรณีที่ผู้ใช้ไม่ได้ระบุไฟล์ใน URL คำขอ และเอกสารเริ่มต้นถูกปิดใช้งานหรือไม่ได้กำหนดค่า
  • ข้อผิดพลาด http (ข้อผิดพลาด Web-Http) - คุณสมบัตินี้ช่วยให้คุณกำหนดค่าข้อความแสดงข้อผิดพลาดที่จะส่งคืนไปยังเว็บเบราว์เซอร์ของผู้ใช้เมื่อเว็บเซิร์ฟเวอร์ตรวจพบข้อผิดพลาด เครื่องมือนี้ใช้เพื่อนำเสนอข้อความแสดงข้อผิดพลาดแก่ผู้ใช้ได้ง่ายขึ้น
  • เนื้อหาคงที่ (Web-Static-Content) - เครื่องมือนี้ช่วยให้คุณใช้เนื้อหาบนเว็บเซิร์ฟเวอร์ในรูปแบบของรูปแบบไฟล์คงที่เช่นไฟล์ HTML หรือไฟล์รูปภาพ
  • เปลี่ยนเส้นทาง http (เปลี่ยนเส้นทางเว็บ HTTP) - เมื่อใช้คุณสมบัตินี้ คุณสามารถเปลี่ยนเส้นทางคำขอของผู้ใช้ไปยังปลายทางเฉพาะได้ เช่น นี่คือการเปลี่ยนเส้นทาง
  • WebDAV Publishing (Web-DAV-Publishing) - อนุญาตให้คุณใช้เทคโนโลยี WebDAV บนเซิร์ฟเวอร์ IIS WEB เว็บDAV ( การเขียนแบบกระจายเว็บและการกำหนดเวอร์ชัน) เป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถทำงานร่วมกันได้ ( อ่าน แก้ไข อ่านคุณสมบัติ คัดลอก ย้าย) บนไฟล์บนเว็บเซิร์ฟเวอร์ระยะไกลโดยใช้โปรโตคอล HTTP
• ประสิทธิภาพ (ประสิทธิภาพของเว็บ)- ชุดบริการเพื่อให้ได้ประสิทธิภาพของเว็บเซิร์ฟเวอร์ที่สูงขึ้น ผ่านการแคชเอาต์พุตและกลไกการบีบอัดทั่วไป เช่น Gzip และ Deflate:
  • Static Content Compression (Web-Stat-Compression) เป็นเครื่องมือในการปรับแต่งการบีบอัดเนื้อหา http แบบคงที่ ซึ่งช่วยให้ใช้แบนด์วิธได้อย่างมีประสิทธิภาพมากขึ้น ในขณะที่ไม่ต้องโหลด CPU โดยไม่จำเป็น
  • การบีบอัดเนื้อหาแบบไดนามิก (Web-Dyn-Compression) เป็นเครื่องมือสำหรับกำหนดค่าการบีบอัดเนื้อหา HTTP แบบไดนามิก เครื่องมือนี้ช่วยให้ใช้แบนด์วิธได้อย่างมีประสิทธิภาพมากขึ้น แต่ในกรณีนี้ โหลด CPU ของเซิร์ฟเวอร์ที่เกี่ยวข้องกับการบีบอัดแบบไดนามิกอาจทำให้ไซต์ทำงานช้าลงหากโหลด CPU สูงแม้ว่าจะไม่มีการบีบอัดก็ตาม
• การพัฒนาแอปพลิเคชัน (Web-App-Dev)- ชุดบริการและเครื่องมือสำหรับการพัฒนาและโฮสต์เว็บแอปพลิเคชัน หรืออีกนัยหนึ่งคือเทคโนโลยีการพัฒนาเว็บไซต์:
  • ASP (Web-ASP) เป็นสภาพแวดล้อมสำหรับสนับสนุนและพัฒนาเว็บไซต์และเว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP ในขณะนี้มีเทคโนโลยีการพัฒนาเว็บไซต์ที่ใหม่กว่าและทันสมัยกว่า - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) เป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP.NET
  • ASP.NET 4.6 (Web-Asp-Net45) ยังเป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้ ASP.NET เวอร์ชันใหม่
  • CGI (Web-CGI) คือความสามารถในการใช้ CGI เพื่อส่งผ่านข้อมูลจากเว็บเซิร์ฟเวอร์ไปยังโปรแกรมภายนอก CGI เป็นมาตรฐานอินเทอร์เฟซประเภทหนึ่งสำหรับเชื่อมต่อโปรแกรมภายนอกกับเว็บเซิร์ฟเวอร์ มีข้อเสียคือการใช้ CGI ส่งผลต่อประสิทธิภาพ
  • การรวมฝั่งเซิร์ฟเวอร์ (SSI) (การรวมเว็บ) รองรับภาษาสคริปต์ SSI ( เปิดใช้งานฝั่งเซิร์ฟเวอร์) ซึ่งใช้เพื่อสร้างหน้า HTML แบบไดนามิก
  • การเริ่มต้นแอปพลิเคชัน (Web-AppInit) - เครื่องมือนี้ทำงานของการเริ่มต้นเว็บแอปพลิเคชันก่อนที่จะส่งหน้าเว็บ
  • โปรโตคอล WebSocket (Web-WebSockets) - เพิ่มความสามารถในการสร้างแอปพลิเคชันเซิร์ฟเวอร์ที่สื่อสารโดยใช้โปรโตคอล WebSocket WebSocket เป็นโปรโตคอลที่สามารถส่งและรับข้อมูลพร้อมกันระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์ผ่านการเชื่อมต่อ TCP ซึ่งเป็นส่วนขยายชนิดหนึ่งของโปรโตคอล HTTP
  • ส่วนขยาย ISAPI (Web-ISAPI-Ext) - รองรับการพัฒนาเนื้อหาเว็บแบบไดนามิกโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน ISAPI ISAPI เป็น API สำหรับเว็บเซิร์ฟเวอร์ IIS แอปพลิเคชัน ISAPI เร็วกว่าไฟล์ ASP หรือไฟล์ที่เรียกคอมโพเนนต์ COM+ มาก
  • ความสามารถในการขยาย .NET 3.5 (Web-Net-Ext) เป็นคุณลักษณะการขยาย .NET 3.5 ที่ช่วยให้คุณสามารถปรับเปลี่ยน เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ตลอดกระบวนการประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
  • ความสามารถในการขยาย .NET 4.6 (Web-Net-Ext45) เป็นคุณลักษณะความสามารถในการขยาย .NET 4.6 ที่ยังช่วยให้คุณสามารถแก้ไข เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ทั่วทั้งไปป์ไลน์การประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
  • ตัวกรอง ISAPI (ตัวกรองเว็บ ISAPI) - เพิ่มการรองรับตัวกรอง ISAPI ตัวกรอง ISAPI เป็นโปรแกรมที่เรียกใช้เมื่อเว็บเซิร์ฟเวอร์ได้รับคำขอ HTTP เฉพาะที่จะดำเนินการโดยตัวกรองนี้

FTP - เซิร์ฟเวอร์ (เว็บ-Ftp-เซิร์ฟเวอร์)– บริการที่ให้การสนับสนุนโปรโตคอล FTP เราได้พูดคุยรายละเอียดเพิ่มเติมเกี่ยวกับเซิร์ฟเวอร์ FTP ในเนื้อหา - "การติดตั้งและกำหนดค่าเซิร์ฟเวอร์ FTP บน Windows Server 2016" ประกอบด้วยบริการดังต่อไปนี้:

• บริการ FTP (Web-Ftp-Service) - เพิ่มการรองรับโปรโตคอล FTP บนเว็บเซิร์ฟเวอร์
• ความสามารถในการขยาย FTP (Web-Ftp-Ext) - ขยายความสามารถมาตรฐานของ FTP เช่น การเพิ่มการรองรับคุณสมบัติต่างๆ เช่น ผู้ให้บริการแบบกำหนดเอง ผู้ใช้ ASP.NET หรือผู้ใช้ตัวจัดการ IIS

เครื่องมือการจัดการ (Web-Mgmt-Tools)เป็นเครื่องมือการจัดการสำหรับเว็บเซิร์ฟเวอร์ IIS 10 ซึ่งรวมถึง: อินเทอร์เฟซผู้ใช้ IIS เครื่องมือบรรทัดคำสั่ง และสคริปต์

• IIS Management Console (Web-Mgmt-Console) เป็นส่วนติดต่อผู้ใช้สำหรับจัดการ IIS;
• ชุดอักขระและเครื่องมือจัดการ IIS (Web-Scripting-Tools) เป็นเครื่องมือและสคริปต์สำหรับจัดการ IIS โดยใช้บรรทัดคำสั่งหรือสคริปต์ ตัวอย่างเช่นสามารถใช้เพื่อทำให้การควบคุมเป็นไปโดยอัตโนมัติ
• บริการการจัดการ (Web-Mgmt-Service) - บริการนี้เพิ่มความสามารถในการจัดการเว็บเซิร์ฟเวอร์จากระยะไกลจากคอมพิวเตอร์เครื่องอื่นโดยใช้ IIS Manager
• การจัดการความเข้ากันได้ของ IIS 6 (Web-Mgmt-Compat) - ให้ความเข้ากันได้สำหรับแอปพลิเคชันและสคริปต์ที่ใช้ IIS API สองตัว สามารถใช้สคริปต์ IIS 6 ที่มีอยู่เพื่อจัดการเว็บเซิร์ฟเวอร์ IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) เป็นเครื่องมือความเข้ากันได้ที่ช่วยให้คุณเรียกใช้แอปพลิเคชันและชุดอักขระที่ย้ายจาก IIS เวอร์ชันก่อนหน้า
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - เครื่องมือเหล่านี้ช่วยให้คุณสามารถใช้บริการการเขียนสคริปต์ IIS 6 แบบเดียวกับที่สร้างขึ้นเพื่อจัดการ IIS 6 ใน IIS 10
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) เป็นเครื่องมือสำหรับจัดการเซิร์ฟเวอร์ IIS 6.0 ระยะไกล
  • ความเข้ากันได้ของ IIS 6 WMI (Web-WMI) เป็นอินเทอร์เฟซการเขียนสคริปต์ Windows Management Instrumentation (WMI) สำหรับการควบคุมทางโปรแกรมและการทำงานอัตโนมัติของเว็บเซิร์ฟเวอร์ IIS 10.0 โดยใช้ชุดของสคริปต์ที่สร้างขึ้นในผู้ให้บริการ WMI

บริการโดเมน Active Directory

บทบาท " บริการโดเมน Active Directory» (AD DS) จัดเตรียมฐานข้อมูลแบบกระจายที่จัดเก็บและประมวลผลข้อมูลเกี่ยวกับทรัพยากรเครือข่าย บทบาทนี้ใช้เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างการบรรจุแบบลำดับชั้น โครงสร้างลำดับชั้นประกอบด้วยฟอเรสต์ โดเมนภายในฟอเรสต์ และหน่วยองค์กร (OU) ภายในแต่ละโดเมน เซิร์ฟเวอร์ที่ใช้ AD DS เรียกว่าตัวควบคุมโดเมน

ชื่อบทบาทสำหรับ Windows PowerShell คือ AD-Domain-Services

โหมด Windows Server Essentials

บทบาทนี้เป็นโครงสร้างพื้นฐานของคอมพิวเตอร์และมีคุณสมบัติที่สะดวกและมีประสิทธิภาพ เช่น: การจัดเก็บข้อมูลไคลเอนต์ในตำแหน่งศูนย์กลางและปกป้องข้อมูลนี้โดยการสำรองข้อมูลเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอ็นต์ การเข้าถึงเว็บระยะไกล ซึ่งช่วยให้คุณเข้าถึงข้อมูลจากอุปกรณ์แทบทุกเครื่อง . บทบาทนี้ต้องการบริการและคุณสมบัติหลายบทบาท ตัวอย่างเช่น คุณสมบัติ BranchCache, Windows Server Backup, Group Policy Management, Role Service " DFS เนมสเปซ».

ชื่อสำหรับ PowerShell คือ ServerEssentialsRole

ตัวควบคุมเครือข่าย

เปิดตัวใน Windows Server 2016 บทบาทนี้ให้จุดเดียวของระบบอัตโนมัติสำหรับการจัดการ ตรวจสอบ และวินิจฉัยโครงสร้างพื้นฐานเครือข่ายจริงและเสมือนในศูนย์ข้อมูล เมื่อใช้บทบาทนี้ คุณสามารถกำหนดค่าเครือข่ายย่อย IP, VLAN, อะแดปเตอร์เครือข่ายจริงของโฮสต์ Hyper-V จากจุดเดียว, จัดการสวิตช์เสมือน, เราเตอร์จริง, การตั้งค่าไฟร์วอลล์และเกตเวย์ VPN

ชื่อของ Windows PowerShell คือ NetworkController

บริการโหนดการ์เดี้ยน

นี่คือบทบาทเซิร์ฟเวอร์ Hosted Guardian Service (HGS) และให้บริการการรับรองและการป้องกันคีย์ที่อนุญาตให้โฮสต์ที่ได้รับการป้องกันเรียกใช้เครื่องเสมือนที่มีการป้องกัน สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบทบาทและคอมโพเนนต์เพิ่มเติมหลายรายการ ตัวอย่างเช่น: Active Directory Domain Services, Web Server (IIS), the " การทำคลัสเตอร์ล้มเหลว" และคนอื่น ๆ.

ชื่อของ PowerShell คือ HostGuardianServiceRole

Active Directory บริการไดเรกทอรีน้ำหนักเบา

บทบาท " Active Directory บริการไดเรกทอรีน้ำหนักเบา» (AD LDS) เป็น AD DS รุ่นที่มีน้ำหนักเบาซึ่งมีฟังก์ชันการทำงานน้อยกว่า แต่ไม่ต้องการการปรับใช้โดเมนหรือตัวควบคุมโดเมน และไม่มีการขึ้นต่อกันและข้อจำกัดของโดเมนที่ AD DS กำหนด AD LDS ทำงานบนโปรโตคอล LDAP ( โปรโตคอลการเข้าถึงไดเรกทอรีที่มีน้ำหนักเบา). คุณสามารถปรับใช้อินสแตนซ์ AD LDS หลายรายการบนเซิร์ฟเวอร์เดียวกันด้วยสกีมาที่มีการจัดการโดยอิสระ

ชื่อของ PowerShell คือ ADLDS

บริการหลายจุด

นอกจากนี้ยังเป็นบทบาทใหม่ใน Windows Server 2016 บริการ MultiPoint (MPS) มีฟังก์ชันเดสก์ท็อประยะไกลพื้นฐานที่ช่วยให้ผู้ใช้หลายคนทำงานพร้อมกันและเป็นอิสระจากกันบนคอมพิวเตอร์เครื่องเดียวกัน ในการติดตั้งและใช้งานบทบาทนี้ คุณต้องติดตั้งบริการและส่วนประกอบเพิ่มเติมหลายอย่าง เช่น: Print Server, Windows Search Service, XPS Viewer และอื่นๆ ซึ่งทั้งหมดนี้จะถูกเลือกโดยอัตโนมัติระหว่างการติดตั้ง MPS

ชื่อของบทบาทสำหรับ PowerShell คือ MultiPointServerRole

บริการอัพเดต Windows Server

ด้วยบทบาทนี้ (WSUS) ผู้ดูแลระบบสามารถจัดการการอัปเดตของ Microsoft ตัวอย่างเช่น สร้างกลุ่มคอมพิวเตอร์แยกต่างหากสำหรับการอัปเดตชุดต่างๆ รวมถึงรับรายงานเกี่ยวกับความสอดคล้องของคอมพิวเตอร์กับข้อกำหนดและการอัปเดตที่จำเป็นต้องติดตั้ง เพื่อการทำงาน" บริการอัพเดต Windows Server» คุณต้องใช้บริการและส่วนประกอบตามบทบาทเช่น: เว็บเซิร์ฟเวอร์ (IIS), Windows Internal Database, Windows Process Activation Service

ชื่อสำหรับ Windows PowerShell คือ UpdateServices

• การเชื่อมต่อ WID (UpdateServices-WidDB) - ตั้งค่าเป็น WID ( ฐานข้อมูลภายใน Windows) ฐานข้อมูลที่ใช้โดย WSUS กล่าวอีกนัยหนึ่ง WSUS จะจัดเก็บข้อมูลบริการไว้ใน WID
• WSUS Services (UpdateServices-Services) คือบริการตามบทบาท WSUS เช่น Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service and DSS Authentication Web Service;
• การเชื่อมต่อเซิร์ฟเวอร์ SQL (UpdateServices-DB) คือการติดตั้งคอมโพเนนต์ที่อนุญาตให้บริการ WSUS เชื่อมต่อกับฐานข้อมูล Microsoft SQL Server ตัวเลือกนี้มีไว้สำหรับการจัดเก็บข้อมูลบริการในฐานข้อมูล Microsoft SQL Server ในกรณีนี้ คุณต้องติดตั้ง SQL Server อย่างน้อยหนึ่งอินสแตนซ์

บริการเปิดใช้งาน Volume License

ด้วยบทบาทเซิร์ฟเวอร์นี้ คุณสามารถทำให้การออก Volume License สำหรับซอฟต์แวร์จาก Microsoft เป็นไปโดยอัตโนมัติและลดความซับซ้อน และยังช่วยให้คุณจัดการใบอนุญาตเหล่านี้ได้อีกด้วย

ชื่อสำหรับ PowerShell คือ VolumeActivation

บริการสิ่งพิมพ์และเอกสาร

บทบาทเซิร์ฟเวอร์นี้ออกแบบมาเพื่อแชร์เครื่องพิมพ์และสแกนเนอร์บนเครือข่าย เพื่อกำหนดค่าและจัดการเซิร์ฟเวอร์การพิมพ์และสแกนจากส่วนกลาง และเพื่อจัดการเครื่องพิมพ์และสแกนเนอร์เครือข่าย บริการพิมพ์และเอกสารยังช่วยให้คุณสามารถส่งเอกสารที่สแกนผ่านทางอีเมล ไปยังเครือข่ายที่ใช้ร่วมกัน หรือไปยังไซต์ Windows SharePoint Services

ชื่อสำหรับ PowerShell คือ Print-Services

• เซิร์ฟเวอร์การพิมพ์ (เซิร์ฟเวอร์การพิมพ์) - บริการบทบาทนี้รวมถึง " การจัดการการพิมพ์” ซึ่งใช้ในการจัดการเครื่องพิมพ์หรือเซิร์ฟเวอร์การพิมพ์ เช่นเดียวกับการโยกย้ายเครื่องพิมพ์และเซิร์ฟเวอร์การพิมพ์อื่นๆ
• การพิมพ์ผ่านอินเทอร์เน็ต (Print-Internet) - หากต้องการดำเนินการพิมพ์ผ่านอินเทอร์เน็ต เว็บไซต์จะถูกสร้างขึ้นโดยที่ผู้ใช้สามารถจัดการงานพิมพ์บนเซิร์ฟเวอร์ได้ เพื่อให้บริการนี้ใช้งานได้ตามที่คุณเข้าใจ คุณต้องติดตั้ง " เว็บเซิร์ฟเวอร์ (IIS)". คอมโพเนนต์ที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติเมื่อคุณทำเครื่องหมายที่ช่องนี้ในระหว่างขั้นตอนการติดตั้งบริการบทบาท " การพิมพ์ทางอินเทอร์เน็ต»;
• Distributed Scan Server (Print-Scan-Server) เป็นบริการที่ช่วยให้คุณได้รับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและส่งไปยังปลายทาง บริการนี้ยังมี " การจัดการการสแกน” ซึ่งใช้ในการจัดการเครื่องสแกนเครือข่ายและกำหนดค่าการสแกน
• LPD Service (พิมพ์-LPD-Service) - บริการ LPD ( Line Printer Daemon) อนุญาตให้คอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์อื่นๆ ที่ใช้บริการ Line Printer Remote (LPR) พิมพ์ไปยังเครื่องพิมพ์ที่ใช้ร่วมกันของเซิร์ฟเวอร์

นโยบายเครือข่ายและบริการการเข้าถึง

บทบาท " » (NPAS) อนุญาตให้ Network Policy Server (NPS) ตั้งค่าและบังคับใช้การเข้าถึงเครือข่าย การรับรองความถูกต้องและการให้สิทธิ์ และนโยบายสถานภาพของไคลเอ็นต์ หรืออีกนัยหนึ่งคือ รักษาความปลอดภัยเครือข่าย

ชื่อสำหรับ Windows PowerShell คือ NPAS

บริการการปรับใช้ Windows

ด้วยบทบาทนี้ คุณสามารถติดตั้งระบบปฏิบัติการ Windows จากระยะไกลผ่านเครือข่ายได้

ชื่อบทบาทสำหรับ PowerShell คือ WDS

• Deployment Server (WDS-Deployment) - บริการบทบาทนี้ออกแบบมาสำหรับการปรับใช้ระยะไกลและการกำหนดค่าของระบบปฏิบัติการ Windows นอกจากนี้ยังช่วยให้คุณสร้างและปรับแต่งรูปภาพเพื่อใช้ซ้ำได้
• เซิร์ฟเวอร์การขนส่ง (WDS-Transport) - บริการนี้มีส่วนประกอบเครือข่ายพื้นฐานซึ่งคุณสามารถถ่ายโอนข้อมูลโดยมัลติคาสต์บนเซิร์ฟเวอร์แบบสแตนด์อโลน

บริการใบรับรอง Active Directory

บทบาทนี้มีไว้เพื่อสร้างผู้ออกใบรับรองและบริการตามบทบาทที่เกี่ยวข้อง ซึ่งอนุญาตให้คุณออกและจัดการใบรับรองสำหรับแอปพลิเคชันต่างๆ

ชื่อสำหรับ Windows PowerShell คือ AD-Certificate

รวมบริการบทบาทต่อไปนี้:

• ผู้ออกใบรับรอง (ADCS-Cert-Authority) - เมื่อใช้บริการบทบาทนี้ คุณสามารถออกใบรับรองให้กับผู้ใช้ คอมพิวเตอร์ และบริการ ตลอดจนจัดการความถูกต้องของใบรับรอง
• บริการเว็บนโยบายการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Pol) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์รับข้อมูลนโยบายการลงทะเบียนใบรับรองจากเว็บเบราว์เซอร์ แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม มันเป็นสิ่งจำเป็นสำหรับการทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการเว็บการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Svc) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์ลงทะเบียนและต่ออายุใบรับรองโดยใช้เว็บเบราว์เซอร์ผ่าน HTTPS แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม นอกจากนี้ยังจำเป็นต้องทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
• การตอบกลับออนไลน์ (ADCS-Online-Cert) - บริการนี้ได้รับการออกแบบมาเพื่อตรวจสอบการเพิกถอนใบรับรองสำหรับลูกค้า กล่าวอีกนัยหนึ่งคือ ยอมรับคำขอสถานะการเพิกถอนสำหรับใบรับรองเฉพาะ ประเมินสถานะของใบรับรองเหล่านั้น และส่งการตอบกลับที่ลงชื่อกลับพร้อมข้อมูลเกี่ยวกับสถานะ เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการลงทะเบียนเว็บของผู้ออกใบรับรอง (ADCS-Web-Enrollment) - บริการนี้มีเว็บอินเทอร์เฟซสำหรับผู้ใช้เพื่อดำเนินการต่างๆ เช่น การร้องขอและการต่ออายุใบรับรอง การรับ CRL และการลงทะเบียนใบรับรองสมาร์ทการ์ด เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการลงทะเบียนอุปกรณ์เครือข่าย (ADCS-Device-Enrollment)—เมื่อใช้บริการนี้ คุณสามารถออกและจัดการใบรับรองสำหรับเราเตอร์และอุปกรณ์เครือข่ายอื่นๆ ที่ไม่มีบัญชีเครือข่าย เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)».

บริการเดสก์ท็อประยะไกล

บทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อเข้าถึงเดสก์ท็อปเสมือน เดสก์ท็อปตามเซสชัน และ RemoteApps

ชื่อบทบาทสำหรับ Windows PowerShell คือ Remote-Desktop-Services

ประกอบด้วยบริการดังต่อไปนี้:

• การเข้าถึงเว็บเดสก์ท็อประยะไกล (RDS-Web-Access) - บริการบทบาทนี้อนุญาตให้ผู้ใช้เข้าถึงเดสก์ท็อประยะไกลและแอปพลิเคชัน RemoteApp ผ่าน " เริ่ม» หรือใช้เว็บเบราว์เซอร์
• สิทธิ์ใช้งานเดสก์ท็อประยะไกล (สิทธิ์ใช้งาน RDS) - บริการนี้ออกแบบมาเพื่อจัดการสิทธิ์การใช้งานที่จำเป็นในการเชื่อมต่อกับเซิร์ฟเวอร์โฮสต์เซสชันเดสก์ท็อประยะไกลหรือเดสก์ท็อปเสมือน สามารถใช้ในการติดตั้ง ออกใบอนุญาต และติดตามความพร้อมใช้งาน บริการนี้ต้องการ " เว็บเซิร์ฟเวอร์ (IIS)»;
• นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล (RDS-Connection-Broker) เป็นบริการตามบทบาทที่มีความสามารถดังต่อไปนี้: เชื่อมต่อผู้ใช้อีกครั้งกับเดสก์ท็อปเสมือนที่มีอยู่ แอปพลิเคชัน RemoteApp และเดสก์ท็อปตามเซสชัน ตลอดจนโหลดบาลานซ์ระหว่างเดสก์ท็อปเซิร์ฟเวอร์โฮสต์เซสชันระยะไกล หรือระหว่างเดสก์ท็อปเสมือนแบบพูล บริการนี้ต้องการ " »;
• Remote Desktop Virtualization Host (DS-Virtualization) - บริการนี้อนุญาตให้ผู้ใช้เชื่อมต่อกับเดสก์ท็อปเสมือนโดยใช้ RemoteApp และ Desktop Connection บริการนี้ทำงานร่วมกับ Hyper-V เช่น ต้องติดตั้งบทบาทนี้
• โฮสต์เซสชันเดสก์ท็อประยะไกล (RDS-RD-เซิร์ฟเวอร์) - บริการนี้สามารถโฮสต์แอปพลิเคชัน RemoteApp และเดสก์ท็อปที่ใช้เซสชันบนเซิร์ฟเวอร์ การเข้าถึงผ่านไคลเอนต์ Remote Desktop Connection หรือ RemoteApps
• Remote Desktop Gateway (RDS-Gateway) - บริการนี้ช่วยให้ผู้ใช้ระยะไกลที่ได้รับอนุญาตสามารถเชื่อมต่อกับเดสก์ท็อปเสมือน, RemoteApps และเดสก์ท็อปที่ใช้เซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต บริการนี้ต้องการบริการและส่วนประกอบเพิ่มเติมดังต่อไปนี้: เว็บเซิร์ฟเวอร์ (IIS)», « นโยบายเครือข่ายและบริการการเข้าถึง», « RPC ผ่านพร็อกซี HTTP».

AD RMS

นี่คือบทบาทของเซิร์ฟเวอร์ที่จะช่วยให้คุณสามารถปกป้องข้อมูลจากการใช้งานโดยไม่ได้รับอนุญาต ตรวจสอบตัวตนของผู้ใช้และให้สิทธิ์การใช้งานแก่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลที่ได้รับการป้องกัน บทบาทนี้ต้องการบริการและส่วนประกอบเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « บริการเปิดใช้งานกระบวนการของ Windows», « คุณสมบัติ .NET Framework 4.6».

ชื่อสำหรับ Windows PowerShell คือ ADRMS

• Active Directory Rights Management Server (ADRMS-Server) - บริการบทบาทหลักที่จำเป็นสำหรับการติดตั้ง
• Identity Federation Support (ADRMS-Identity) เป็นบริการเสริมตามบทบาทที่ช่วยให้ข้อมูลประจำตัวที่เชื่อมโยงสามารถใช้เนื้อหาที่มีการป้องกันโดยใช้ Active Directory Federation Services

AD FS

บทบาทนี้มอบฟังก์ชันการรวมข้อมูลประจำตัวที่ง่ายและปลอดภัยและการลงชื่อเข้าใช้ครั้งเดียว (SSO) ไปยังเว็บไซต์โดยใช้เบราว์เซอร์

ชื่อสำหรับ PowerShell คือ ADFS-Federation

การเข้าถึงระยะไกล

บทบาทนี้มีการเชื่อมต่อผ่าน DirectAccess, VPN และ Web Application Proxy บทบาทอีกด้วย การเข้าถึงระยะไกล"ให้ความสามารถในการกำหนดเส้นทางแบบดั้งเดิม รวมถึงการแปลที่อยู่เครือข่าย (NAT) และตัวเลือกการเชื่อมต่ออื่นๆ บทบาทนี้ต้องการบริการและคุณสมบัติเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « ฐานข้อมูลภายใน Windows».

ชื่อบทบาทสำหรับ Windows PowerShell คือ RemoteAccess

• DirectAccess และ VPN (RAS) (DirectAccess-VPN) - บริการนี้ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายองค์กรได้ตลอดเวลาด้วยการเข้าถึงอินเทอร์เน็ตผ่าน DirectAccess รวมถึงจัดระเบียบการเชื่อมต่อ VPN ร่วมกับเทคโนโลยีการขุดอุโมงค์และการเข้ารหัสข้อมูล
• การกำหนดเส้นทาง (การกำหนดเส้นทาง) - บริการนี้ให้การสนับสนุนเราเตอร์ NAT, เราเตอร์ LAN พร้อมโปรโตคอล BGP, โปรโตคอล RIP และเราเตอร์ที่รองรับมัลติคาสต์ (พร็อกซี IGMP)
• พร็อกซีแอปพลิเคชันเว็บ (เว็บแอปพลิเคชันพร็อกซี) - บริการนี้อนุญาตให้คุณเผยแพร่แอปพลิเคชันตามโปรโตคอล HTTP และ HTTPS จากเครือข่ายองค์กรไปยังอุปกรณ์ไคลเอ็นต์ที่อยู่นอกเครือข่ายองค์กร

บริการไฟล์และที่เก็บข้อมูล

นี่คือบทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อแชร์ไฟล์และโฟลเดอร์ จัดการและควบคุมการแชร์ จำลองไฟล์ ค้นหาไฟล์อย่างรวดเร็ว และให้สิทธิ์การเข้าถึงแก่คอมพิวเตอร์ไคลเอนต์ UNIX เราได้กล่าวถึงบริการไฟล์และโดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์ไฟล์ในรายละเอียดเพิ่มเติมในเนื้อหา "การติดตั้งเซิร์ฟเวอร์ไฟล์ (File Server) บน Windows Server 2016"

ชื่อสำหรับ Windows PowerShell คือ FileAndStorage-Services

บริการจัดเก็บ- บริการนี้มีฟังก์ชันการจัดการพื้นที่เก็บข้อมูลที่ติดตั้งอยู่เสมอและไม่สามารถลบออกได้

บริการไฟล์และบริการ iSCSI (บริการไฟล์)เป็นเทคโนโลยีที่ทำให้การจัดการเซิร์ฟเวอร์ไฟล์และพื้นที่จัดเก็บง่ายขึ้น ประหยัดเนื้อที่ดิสก์ ให้การจำลองแบบและการแคชไฟล์ในสาขา และยังให้บริการการแชร์ไฟล์ผ่านโปรโตคอล NFS รวมบริการบทบาทต่อไปนี้:

• File Server (FS-FileServer) - บริการตามบทบาทที่จัดการโฟลเดอร์ที่ใช้ร่วมกันและให้ผู้ใช้สามารถเข้าถึงไฟล์บนคอมพิวเตอร์เครื่องนี้ผ่านเครือข่าย
• การขจัดข้อมูลซ้ำซ้อน (FS-Data-Deduplication) - บริการนี้ช่วยประหยัดพื้นที่ดิสก์โดยจัดเก็บข้อมูลที่เหมือนกันเพียงชุดเดียวในโวลุ่ม
• File Server Resource Manager (FS-Resource-Manager) - เมื่อใช้บริการนี้ คุณสามารถจัดการไฟล์และโฟลเดอร์บนเซิร์ฟเวอร์ไฟล์ สร้างรายงานการจัดเก็บ จัดประเภทไฟล์และโฟลเดอร์ กำหนดค่าโควต้าโฟลเดอร์ และกำหนดนโยบายการบล็อกไฟล์
• ผู้ให้บริการพื้นที่เก็บข้อมูลเป้าหมาย iSCSI (ผู้ให้บริการฮาร์ดแวร์ VDS และ VSS) (iSCSItarget-VSS-VDS) - บริการอนุญาตให้แอปพลิเคชันบนเซิร์ฟเวอร์ที่เชื่อมต่อกับเป้าหมาย iSCSI เพื่อเงาสำเนาวอลุ่มบนดิสก์เสมือน iSCSI;
• เนมสเปซ DFS (FS-DFS-เนมสเปซ) - เมื่อใช้บริการนี้ คุณสามารถจัดกลุ่มโฟลเดอร์ที่ใช้ร่วมกันที่โฮสต์บนเซิร์ฟเวอร์ที่แตกต่างกันเป็นเนมสเปซที่มีโครงสร้างเชิงตรรกะอย่างน้อยหนึ่งรายการ
• โฟลเดอร์งาน (FS-SyncShareService) - บริการนี้อนุญาตให้คุณใช้ไฟล์งานบนคอมพิวเตอร์เครื่องอื่น รวมถึงงานและส่วนบุคคล คุณสามารถจัดเก็บไฟล์ของคุณในโฟลเดอร์งาน ซิงโครไนซ์ไฟล์ และเข้าถึงได้จากเครือข่ายท้องถิ่นหรืออินเทอร์เน็ต เพื่อให้บริการทำงานได้ ส่วนประกอบ " IIS เว็บคอร์ในกระบวนการ»;
• DFS Replication (FS-DFS-Replication) เป็นเครื่องมือจำลองข้อมูลหลายเซิร์ฟเวอร์ที่ให้คุณซิงโครไนซ์โฟลเดอร์ผ่านการเชื่อมต่อ LAN หรือ WAN เทคโนโลยีนี้ใช้โปรโตคอล Remote Differential Compression (RDC) เพื่ออัปเดตเฉพาะส่วนของไฟล์ที่มีการเปลี่ยนแปลงตั้งแต่การจำลองแบบครั้งล่าสุด การจำลอง DFS สามารถใช้โดยมีหรือไม่มี DFS Namespaces;
• เซิร์ฟเวอร์สำหรับ NFS (FS-NFS-Service) - บริการนี้อนุญาตให้คอมพิวเตอร์เครื่องนี้แชร์ไฟล์กับคอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์เครื่องอื่นๆ ที่ใช้โปรโตคอล Network File System (NFS)
• เซิร์ฟเวอร์เป้าหมาย iSCSI (FS-iSCSItarget-Server) - ให้บริการและการจัดการสำหรับเป้าหมาย iSCSI
• บริการ BranchCache สำหรับไฟล์เครือข่าย (FS-BranchCache) - บริการนี้ให้การสนับสนุน BranchCache บนเซิร์ฟเวอร์ไฟล์นี้
• File Server VSS Agent Service (FS-VSS-Agent) - บริการนี้อนุญาตสำเนาเงาสำหรับแอปพลิเคชันที่เก็บไฟล์ข้อมูลบนเซิร์ฟเวอร์ไฟล์นี้

แฟกซ์เซิร์ฟเวอร์

บทบาทส่งและรับโทรสาร และอนุญาตให้คุณจัดการทรัพยากรโทรสาร เช่น งาน การตั้งค่า รายงาน และอุปกรณ์โทรสารบนคอมพิวเตอร์เครื่องนี้หรือบนเครือข่าย จำเป็นสำหรับการทำงาน เซิร์ฟเวอร์การพิมพ์».

ชื่อบทบาทสำหรับ Windows PowerShell คือ Fax

การตรวจสอบบทบาทเซิร์ฟเวอร์ Windows Server 2016 เสร็จสมบูรณ์แล้ว ฉันหวังว่าเนื้อหาจะเป็นประโยชน์สำหรับคุณในตอนนี้!

ก่อนพัฒนาเซิร์ฟเวอร์ซ็อกเก็ต คุณต้องสร้างเซิร์ฟเวอร์นโยบายที่แจ้ง Silverlight ว่าไคลเอนต์ใดได้รับอนุญาตให้เชื่อมต่อกับเซิร์ฟเวอร์ซ็อกเก็ต

ตามที่แสดงด้านบน Silverlight ไม่อนุญาตให้โหลดเนื้อหาหรือเรียกใช้บริการเว็บหากโดเมนไม่มีไฟล์ clientaccesspolicy .xml หรือไฟล์ข้ามโดเมน xml ที่อนุญาตการดำเนินการเหล่านี้อย่างชัดเจน ข้อจำกัดที่คล้ายกันนี้ใช้กับเซิร์ฟเวอร์ซ็อกเก็ต หากคุณไม่อนุญาตให้อุปกรณ์ไคลเอ็นต์ดาวน์โหลดไฟล์ .xml ของ clientaccesspolicy ที่อนุญาตการเข้าถึงระยะไกล Silverlight จะปฏิเสธที่จะสร้างการเชื่อมต่อ

ขออภัย การให้นโยบายการเข้าถึงลูกค้า cml ไปยังแอปพลิเคชันซ็อกเก็ตเป็นสิ่งที่ท้าทายมากกว่าการให้บริการผ่านเว็บไซต์ เมื่อใช้เว็บไซต์ ซอฟต์แวร์เว็บเซิร์ฟเวอร์อาจให้ไฟล์ clientaccesspolicy .xml อย่าลืมเพิ่มเข้าไปด้วย ในเวลาเดียวกัน เมื่อใช้แอปพลิเคชันซ็อกเก็ต คุณต้องเปิดซ็อกเก็ตที่แอปพลิเคชันไคลเอ็นต์สามารถเข้าถึงได้ด้วยคำขอนโยบาย นอกจากนี้ คุณต้องสร้างรหัสที่ให้บริการซ็อกเก็ตด้วยตนเอง เพื่อให้งานเหล่านี้สำเร็จ คุณต้องสร้างเซิร์ฟเวอร์นโยบาย

ต่อไปนี้ เราจะแสดงให้เห็นว่าเซิร์ฟเวอร์นโยบายทำงานในลักษณะเดียวกับเซิร์ฟเวอร์ข้อความ เพียงแต่จัดการกับการโต้ตอบที่ง่ายกว่าเล็กน้อย เซิร์ฟเวอร์ข้อความและนโยบายสามารถสร้างแยกกันหรือรวมกันในแอปพลิเคชันเดียว ในกรณีที่สอง พวกเขาต้องรับฟังคำขอในเธรดต่างๆ ในตัวอย่างนี้ เราจะสร้างเซิร์ฟเวอร์นโยบายแล้วรวมกับเซิร์ฟเวอร์ข้อความ

หากต้องการสร้างเซิร์ฟเวอร์นโยบาย คุณต้องสร้างแอปพลิเคชัน .NET ก่อน แอปพลิเคชัน .NET ทุกประเภทสามารถใช้เป็นเซิร์ฟเวอร์นโยบายได้ วิธีที่ง่ายที่สุดคือการใช้แอปพลิเคชันคอนโซล เมื่อคุณแก้ไขข้อบกพร่องของแอปพลิเคชันคอนโซลแล้ว คุณสามารถย้ายรหัสของคุณไปยังบริการ Windows เพื่อให้ทำงานในพื้นหลังตลอดเวลา

ไฟล์นโยบาย

ต่อไปนี้คือไฟล์นโยบายที่จัดเตรียมโดยเซิร์ฟเวอร์นโยบาย

ไฟล์นโยบายกำหนดกฎสามข้อ

อนุญาตให้เข้าถึงพอร์ตทั้งหมดตั้งแต่ 4502 ถึง 4532 (นี่คือพอร์ตทั้งหมดที่รองรับโดยโปรแกรมเสริม Silverlight) หากต้องการเปลี่ยนช่วงของพอร์ตที่มีอยู่ ให้เปลี่ยนค่าของแอตทริบิวต์พอร์ตขององค์ประกอบ

อนุญาตการเข้าถึง TCP (สิทธิ์ถูกกำหนดไว้ในแอตทริบิวต์โปรโตคอลขององค์ประกอบ)

อนุญาตการโทรจากโดเมนใดก็ได้ ดังนั้น แอปพลิเคชัน Silverlight ที่สร้างการเชื่อมต่อจึงสามารถโฮสต์โดยเว็บไซต์ใดก็ได้ หากต้องการเปลี่ยนกฎนี้ คุณต้องแก้ไขแอตทริบิวต์ uri ขององค์ประกอบ

เพื่อให้ง่ายขึ้น กฎนโยบายจะอยู่ในไฟล์ clientaccess-ploi.cy.xml ที่เพิ่มไปยังโปรเจ็กต์ ใน Visual Studio พารามิเตอร์ Copy to Output Directory ของไฟล์นโยบายต้องตั้งค่าเป็น Cop Always ควรค้นหาไฟล์ในฮาร์ดไดรฟ์ เปิด และส่งคืนเนื้อหาไปยังอุปกรณ์ไคลเอนต์

คลาส PolicyServer

ฟังก์ชันการทำงานของเซิร์ฟเวอร์นโยบายขึ้นอยู่กับคลาสหลักสองคลาส: PolicyServer และ PolicyConnection คลาส PolicyServer จัดการการรอการเชื่อมต่อ เมื่อได้รับการเชื่อมต่อ จะผ่านการควบคุมไปยังอินสแตนซ์ใหม่ของคลาส PoicyConnection ซึ่งจะส่งผ่านไฟล์นโยบายไปยังไคลเอ็นต์ ขั้นตอนสองส่วนนี้พบได้ทั่วไปในการเขียนโปรแกรมเครือข่าย คุณจะเห็นมากกว่าหนึ่งครั้งเมื่อทำงานกับเซิร์ฟเวอร์ข้อความ

คลาส PolicyServer โหลดไฟล์นโยบายจากฮาร์ดดิสก์และเก็บไว้ในฟิลด์เป็นอาร์เรย์ของไบต์

PolicyServer คลาสสาธารณะ

นโยบายไบต์ส่วนตัว

เซิร์ฟเวอร์นโยบายสาธารณะ (ไฟล์นโยบายสตริง) (

ในการเริ่มฟัง แอปพลิเคชันเซิร์ฟเวอร์ต้องเรียก PolicyServer เริ่ม(). มันสร้างวัตถุ TcpListener ที่รับฟังคำขอ ออบเจ็กต์ TcpListener ได้รับการกำหนดค่าให้รับฟังพอร์ต 943 ใน Silverlight พอร์ตนี้สงวนไว้สำหรับเซิร์ฟเวอร์นโยบาย เมื่อทำการร้องขอไฟล์นโยบาย แอปพลิเคชัน Silverlight จะกำหนดเส้นทางไปยังพอร์ต 943 โดยอัตโนมัติ

ผู้ฟัง TcpListener ส่วนตัว;

โมฆะสาธารณะ Start()

// สร้างผู้ฟัง

ผู้ฟัง = TcpListener ใหม่ (IPAddress.Any, 943);

// เริ่มฟัง; เมธอด Start() คืนค่า II ทันทีหลังจากเรียก Listener.Start();

// กำลังรอการเชื่อมต่อ; เมธอดจะคืนค่าทันที

II การรอเสร็จสิ้นในเธรดแยกต่างหาก

เมื่อต้องการยอมรับการเชื่อมต่อที่เสนอ เซิร์ฟเวอร์นโยบายเรียกเมธอด BeginAcceptTcpClient() เช่นเดียวกับเมธอด Beginxxx() ทั้งหมดของ .NET framework จะส่งกลับทันทีหลังจากถูกเรียกใช้ โดยดำเนินการที่จำเป็นบนเธรดแยกต่างหาก สำหรับแอ็พพลิเคชันเครือข่าย นี่เป็นปัจจัยที่สำคัญมาก เนื่องจากช่วยให้สามารถประมวลผลคำขอไฟล์นโยบายหลายรายการพร้อมกันได้

บันทึก. โปรแกรมเมอร์เครือข่ายมือใหม่มักสงสัยว่าสามารถประมวลผลคำขอมากกว่าหนึ่งรายการพร้อมกันได้อย่างไร และคิดว่าสิ่งนี้ต้องใช้เซิร์ฟเวอร์หลายเครื่อง อย่างไรก็ตามมันไม่ใช่ ด้วยวิธีนี้ แอปพลิเคชันไคลเอนต์จะหมดพอร์ตที่มีอยู่อย่างรวดเร็ว ในทางปฏิบัติ แอปพลิเคชันเซิร์ฟเวอร์ประมวลผลคำขอจำนวนมากผ่านพอร์ตเดียว กระบวนการนี้มองไม่เห็นสำหรับแอปพลิเคชัน เนื่องจากระบบย่อย TCP ในตัวใน Windows จะระบุข้อความโดยอัตโนมัติและกำหนดเส้นทางไปยังวัตถุที่เหมาะสมในรหัสแอปพลิเคชัน การเชื่อมต่อแต่ละรายการจะระบุเฉพาะตามพารามิเตอร์สี่ตัว: ที่อยู่ IP ของไคลเอ็นต์ หมายเลขพอร์ตไคลเอ็นต์ ที่อยู่ IP ของเซิร์ฟเวอร์ และหมายเลขพอร์ตของเซิร์ฟเวอร์

ในแต่ละคำขอ วิธีการเรียกกลับ OnAcceptTcpClient() จะเริ่มทำงาน เรียกใช้เมธอด BeginAcceptTcpClient O อีกครั้งเพื่อเริ่มรอคำขอถัดไปบนเธรดอื่น และจากนั้น เริ่มประมวลผลคำขอปัจจุบัน

โมฆะสาธารณะ OnAcceptTcpClient (IAsyncResult ar) (

ถ้า (หยุด) กลับ;

Console.WriteLine("ได้รับคำขอนโยบายแล้ว"); //รอการเชื่อมต่อครั้งต่อไป

ผู้ฟัง BeginAcceptTcpClient (OnAcceptTcpClient, null);

// จัดการการเชื่อมต่อปัจจุบัน

ลูกค้า TcpClient = ผู้ฟัง EndAcceptTcpClient (เท่); PolicyConnection policyConnection = PolicyConnection ใหม่ (ไคลเอ็นต์, นโยบาย); PolicyConnection.HandleRequest() ;

catch (ข้อผิดพลาดข้อยกเว้น) (

ทุกครั้งที่ได้รับการเชื่อมต่อใหม่ จะมีการสร้างวัตถุ PolicyConnection ใหม่เพื่อจัดการ นอกจากนี้ วัตถุ PolicyConnection ยังรักษาไฟล์นโยบาย

ส่วนประกอบสุดท้ายของคลาส PolicyServer คือเมธอด Stop() ซึ่งจะหยุดการรอคำขอ แอปพลิเคชันเรียกมันเมื่อสิ้นสุด

บูลส่วนตัวหยุด;

โมฆะสาธารณะ StopO(

isStopped = จริง;

ผู้ฟัง หยุด();

catch (ข้อผิดพลาดข้อยกเว้น) (

Console.WriteLine (ข้อความผิดพลาด);

รหัสต่อไปนี้ใช้ในเมธอด Main() ของแอ็พพลิเคชันเซิร์ฟเวอร์เพื่อเริ่มต้นเซิร์ฟเวอร์นโยบาย

โมฆะคงที่ Main (string args) (

PolicyServer policyServer = PolicyServer ใหม่ ("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("เริ่มเซิร์ฟเวอร์นโยบายแล้ว"); Console.WriteLine("กดปุ่ม Enter เพื่อออก");

// กำลังรอการกดปุ่ม; เมื่อใช้เมธอด // Console.ReadKey() คุณสามารถตั้งค่าให้รอบรรทัด // ที่ต้องการ (เช่น ออก) หรือกดแป้นใดก็ได้ Console.ReadLine();

นโยบายเซิร์ฟเวอร์หยุด ();

Console.WriteLine("สิ้นสุดเซิร์ฟเวอร์นโยบาย");

คลาสการเชื่อมต่อนโยบาย

คลาส PolicyConnection ทำงานที่ง่ายกว่า วัตถุ PolicyConnection เก็บการอ้างอิงถึงข้อมูลไฟล์นโยบาย จากนั้น หลังจากเรียกใช้เมธอด HandleRequest() แล้ว วัตถุ PolicyConnection จะดึงการเชื่อมต่อใหม่จากสตรีมเครือข่ายและพยายามอ่าน อุปกรณ์ไคลเอนต์ต้องส่งสตริงที่มีข้อความ หลังจากอ่าน ข้อความนี้ อุปกรณ์ไคลเอนต์จะเขียนข้อมูลนโยบายไปยังสตรีมและปิดการเชื่อมต่อ ต่อไปนี้คือโค้ดของคลาส PolicyConnection

PolicyConnection ระดับสาธารณะ (

ไคลเอนต์ TcpClient ส่วนตัว; นโยบายไบต์ส่วนตัว

การเชื่อมต่อนโยบายสาธารณะ (ไคลเอนต์ TcpClient นโยบายไบต์) (

this.client = ลูกค้า; this.policy = นโยบาย;

// สร้างคำขอไคลเอนต์ส่วนตัวของสตริงคงที่ policyRequestString = "

โมฆะสาธารณะ HandleRequest()(

สตรีม = client.GetStream(); // อ่านสตริงแบบสอบถามนโยบาย

บัฟเฟอร์ไบต์ = ไบต์ใหม่;

// รอเพียง 5 วินาที client.ReceiveTimeout = 5000;'

s.Read(บัฟเฟอร์, 0, buffer.Length);

// ผ่านนโยบาย (คุณสามารถตรวจสอบได้ว่าคำขอนโยบายมี // เนื้อหาที่จำเป็นหรือไม่) s.Write(policy, 0, policy.Length);

// ปิดไคลเอ็นต์การเชื่อมต่อ ปิด ();

Console.WriteLine("บริการไฟล์นโยบาย");

ดังนั้นเราจึงมีเซิร์ฟเวอร์นโยบายที่ใช้งานได้อย่างสมบูรณ์ ขออภัย ยังไม่สามารถทดสอบได้เนื่องจาก Add-in ของ Silverlight ไม่อนุญาตให้มีการร้องขอไฟล์นโยบายอย่างชัดแจ้ง แต่จะร้องขอโดยอัตโนมัติเมื่อพยายามใช้แอปพลิเคชันซ็อกเก็ต ก่อนที่คุณจะสามารถสร้างแอปพลิเคชันไคลเอ็นต์สำหรับแอปพลิเคชันซ็อกเก็ตนี้ คุณต้องสร้างเซิร์ฟเวอร์

ดำเนินการต่อหัวข้อ:

บทความใหม่

/

ก่อนพัฒนาเซิร์ฟเวอร์ซ็อกเก็ต คุณต้องสร้างเซิร์ฟเวอร์นโยบายที่แจ้ง Silverlight ว่าไคลเอนต์ใดได้รับอนุญาตให้เชื่อมต่อกับเซิร์ฟเวอร์ซ็อกเก็ต

ตามที่แสดงด้านบน Silverlight ไม่อนุญาตให้โหลดเนื้อหาหรือเรียกใช้บริการเว็บหากโดเมนไม่มีไฟล์ clientaccesspolicy .xml หรือไฟล์ข้ามโดเมน xml ที่อนุญาตการดำเนินการเหล่านี้อย่างชัดเจน ข้อจำกัดที่คล้ายกันนี้ใช้กับเซิร์ฟเวอร์ซ็อกเก็ต หากคุณไม่อนุญาตให้อุปกรณ์ไคลเอ็นต์ดาวน์โหลดไฟล์ .xml ของ clientaccesspolicy ที่อนุญาตการเข้าถึงระยะไกล Silverlight จะปฏิเสธที่จะสร้างการเชื่อมต่อ

ขออภัย การให้นโยบายการเข้าถึงลูกค้า cml ไปยังแอปพลิเคชันซ็อกเก็ตเป็นสิ่งที่ท้าทายมากกว่าการให้บริการผ่านเว็บไซต์ เมื่อใช้เว็บไซต์ ซอฟต์แวร์เว็บเซิร์ฟเวอร์อาจให้ไฟล์ clientaccesspolicy .xml อย่าลืมเพิ่มเข้าไปด้วย ในเวลาเดียวกัน เมื่อใช้แอปพลิเคชันซ็อกเก็ต คุณต้องเปิดซ็อกเก็ตที่แอปพลิเคชันไคลเอ็นต์สามารถเข้าถึงได้ด้วยคำขอนโยบาย นอกจากนี้ คุณต้องสร้างรหัสที่ให้บริการซ็อกเก็ตด้วยตนเอง เพื่อให้งานเหล่านี้สำเร็จ คุณต้องสร้างเซิร์ฟเวอร์นโยบาย

ต่อไปนี้ เราจะแสดงให้เห็นว่าเซิร์ฟเวอร์นโยบายทำงานในลักษณะเดียวกับเซิร์ฟเวอร์ข้อความ เพียงแต่จัดการกับการโต้ตอบที่ง่ายกว่าเล็กน้อย เซิร์ฟเวอร์ข้อความและนโยบายสามารถสร้างแยกกันหรือรวมกันในแอปพลิเคชันเดียว ในกรณีที่สอง พวกเขาต้องรับฟังคำขอในเธรดต่างๆ ในตัวอย่างนี้ เราจะสร้างเซิร์ฟเวอร์นโยบายแล้วรวมกับเซิร์ฟเวอร์ข้อความ

หากต้องการสร้างเซิร์ฟเวอร์นโยบาย คุณต้องสร้างแอปพลิเคชัน .NET ก่อน แอปพลิเคชัน .NET ทุกประเภทสามารถใช้เป็นเซิร์ฟเวอร์นโยบายได้ วิธีที่ง่ายที่สุดคือการใช้แอปพลิเคชันคอนโซล เมื่อคุณแก้ไขข้อบกพร่องของแอปพลิเคชันคอนโซลแล้ว คุณสามารถย้ายรหัสของคุณไปยังบริการ Windows เพื่อให้ทำงานในพื้นหลังตลอดเวลา

ไฟล์นโยบาย

ต่อไปนี้คือไฟล์นโยบายที่จัดเตรียมโดยเซิร์ฟเวอร์นโยบาย

ไฟล์นโยบายกำหนดกฎสามข้อ

อนุญาตให้เข้าถึงพอร์ตทั้งหมดตั้งแต่ 4502 ถึง 4532 (นี่คือพอร์ตทั้งหมดที่รองรับโดยโปรแกรมเสริม Silverlight) หากต้องการเปลี่ยนช่วงของพอร์ตที่มีอยู่ ให้เปลี่ยนค่าของแอตทริบิวต์พอร์ตขององค์ประกอบ

อนุญาตการเข้าถึง TCP (สิทธิ์ถูกกำหนดไว้ในแอตทริบิวต์โปรโตคอลขององค์ประกอบ)

อนุญาตการโทรจากโดเมนใดก็ได้ ดังนั้น แอปพลิเคชัน Silverlight ที่สร้างการเชื่อมต่อจึงสามารถโฮสต์โดยเว็บไซต์ใดก็ได้ หากต้องการเปลี่ยนกฎนี้ คุณต้องแก้ไขแอตทริบิวต์ uri ขององค์ประกอบ

เพื่อให้ง่ายขึ้น กฎนโยบายจะอยู่ในไฟล์ clientaccess-ploi.cy.xml ที่เพิ่มไปยังโปรเจ็กต์ ใน Visual Studio พารามิเตอร์ Copy to Output Directory ของไฟล์นโยบายต้องตั้งค่าเป็น Cop Always ควรค้นหาไฟล์ในฮาร์ดไดรฟ์ เปิด และส่งคืนเนื้อหาไปยังอุปกรณ์ไคลเอนต์

คลาส PolicyServer

ฟังก์ชันการทำงานของเซิร์ฟเวอร์นโยบายขึ้นอยู่กับคลาสหลักสองคลาส: PolicyServer และ PolicyConnection คลาส PolicyServer จัดการการรอการเชื่อมต่อ เมื่อได้รับการเชื่อมต่อ จะผ่านการควบคุมไปยังอินสแตนซ์ใหม่ของคลาส PoicyConnection ซึ่งจะส่งผ่านไฟล์นโยบายไปยังไคลเอ็นต์ ขั้นตอนสองส่วนนี้พบได้ทั่วไปในการเขียนโปรแกรมเครือข่าย คุณจะเห็นมากกว่าหนึ่งครั้งเมื่อทำงานกับเซิร์ฟเวอร์ข้อความ

คลาส PolicyServer โหลดไฟล์นโยบายจากฮาร์ดดิสก์และเก็บไว้ในฟิลด์เป็นอาร์เรย์ของไบต์

PolicyServer คลาสสาธารณะ

นโยบายไบต์ส่วนตัว

เซิร์ฟเวอร์นโยบายสาธารณะ (ไฟล์นโยบายสตริง) (

ในการเริ่มฟัง แอปพลิเคชันเซิร์ฟเวอร์ต้องเรียก PolicyServer เริ่ม(). มันสร้างวัตถุ TcpListener ที่รับฟังคำขอ ออบเจ็กต์ TcpListener ได้รับการกำหนดค่าให้รับฟังพอร์ต 943 ใน Silverlight พอร์ตนี้สงวนไว้สำหรับเซิร์ฟเวอร์นโยบาย เมื่อทำการร้องขอไฟล์นโยบาย แอปพลิเคชัน Silverlight จะกำหนดเส้นทางไปยังพอร์ต 943 โดยอัตโนมัติ

ผู้ฟัง TcpListener ส่วนตัว;

โมฆะสาธารณะ Start()

// สร้างผู้ฟัง

ผู้ฟัง = TcpListener ใหม่ (IPAddress.Any, 943);

// เริ่มฟัง; เมธอด Start() คืนค่า II ทันทีหลังจากเรียก Listener.Start();

// กำลังรอการเชื่อมต่อ; เมธอดจะคืนค่าทันที

II การรอเสร็จสิ้นในเธรดแยกต่างหาก

เมื่อต้องการยอมรับการเชื่อมต่อที่เสนอ เซิร์ฟเวอร์นโยบายเรียกเมธอด BeginAcceptTcpClient() เช่นเดียวกับเมธอด Beginxxx() ทั้งหมดของ .NET framework จะส่งกลับทันทีหลังจากถูกเรียกใช้ โดยดำเนินการที่จำเป็นบนเธรดแยกต่างหาก สำหรับแอ็พพลิเคชันเครือข่าย นี่เป็นปัจจัยที่สำคัญมาก เนื่องจากช่วยให้สามารถประมวลผลคำขอไฟล์นโยบายหลายรายการพร้อมกันได้

บันทึก. โปรแกรมเมอร์เครือข่ายมือใหม่มักสงสัยว่าสามารถประมวลผลคำขอมากกว่าหนึ่งรายการพร้อมกันได้อย่างไร และคิดว่าสิ่งนี้ต้องใช้เซิร์ฟเวอร์หลายเครื่อง อย่างไรก็ตามมันไม่ใช่ ด้วยวิธีนี้ แอปพลิเคชันไคลเอนต์จะหมดพอร์ตที่มีอยู่อย่างรวดเร็ว ในทางปฏิบัติ แอปพลิเคชันเซิร์ฟเวอร์ประมวลผลคำขอจำนวนมากผ่านพอร์ตเดียว กระบวนการนี้มองไม่เห็นสำหรับแอปพลิเคชัน เนื่องจากระบบย่อย TCP ในตัวใน Windows จะระบุข้อความโดยอัตโนมัติและกำหนดเส้นทางไปยังวัตถุที่เหมาะสมในรหัสแอปพลิเคชัน การเชื่อมต่อแต่ละรายการจะระบุเฉพาะตามพารามิเตอร์สี่ตัว: ที่อยู่ IP ของไคลเอ็นต์ หมายเลขพอร์ตไคลเอ็นต์ ที่อยู่ IP ของเซิร์ฟเวอร์ และหมายเลขพอร์ตของเซิร์ฟเวอร์

ในแต่ละคำขอ วิธีการเรียกกลับ OnAcceptTcpClient() จะเริ่มทำงาน เรียกใช้เมธอด BeginAcceptTcpClient O อีกครั้งเพื่อเริ่มรอคำขอถัดไปบนเธรดอื่น และจากนั้น เริ่มประมวลผลคำขอปัจจุบัน

โมฆะสาธารณะ OnAcceptTcpClient (IAsyncResult ar) (

ถ้า (หยุด) กลับ;

Console.WriteLine("ได้รับคำขอนโยบายแล้ว"); //รอการเชื่อมต่อครั้งต่อไป

ผู้ฟัง BeginAcceptTcpClient (OnAcceptTcpClient, null);

// จัดการการเชื่อมต่อปัจจุบัน

ลูกค้า TcpClient = ผู้ฟัง EndAcceptTcpClient (เท่); PolicyConnection policyConnection = PolicyConnection ใหม่ (ไคลเอ็นต์, นโยบาย); PolicyConnection.HandleRequest() ;

catch (ข้อผิดพลาดข้อยกเว้น) (

ทุกครั้งที่ได้รับการเชื่อมต่อใหม่ จะมีการสร้างวัตถุ PolicyConnection ใหม่เพื่อจัดการ นอกจากนี้ วัตถุ PolicyConnection ยังรักษาไฟล์นโยบาย

ส่วนประกอบสุดท้ายของคลาส PolicyServer คือเมธอด Stop() ซึ่งจะหยุดการรอคำขอ แอปพลิเคชันเรียกมันเมื่อสิ้นสุด

บูลส่วนตัวหยุด;

โมฆะสาธารณะ StopO(

isStopped = จริง;

ผู้ฟัง หยุด();

catch (ข้อผิดพลาดข้อยกเว้น) (

Console.WriteLine (ข้อความผิดพลาด);

รหัสต่อไปนี้ใช้ในเมธอด Main() ของแอ็พพลิเคชันเซิร์ฟเวอร์เพื่อเริ่มต้นเซิร์ฟเวอร์นโยบาย

โมฆะคงที่ Main (string args) (

PolicyServer policyServer = PolicyServer ใหม่ ("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("เริ่มเซิร์ฟเวอร์นโยบายแล้ว"); Console.WriteLine("กดปุ่ม Enter เพื่อออก");

// กำลังรอการกดปุ่ม; เมื่อใช้เมธอด // Console.ReadKey() คุณสามารถตั้งค่าให้รอบรรทัด // ที่ต้องการ (เช่น ออก) หรือกดแป้นใดก็ได้ Console.ReadLine();

นโยบายเซิร์ฟเวอร์หยุด ();

Console.WriteLine("สิ้นสุดเซิร์ฟเวอร์นโยบาย");

คลาสการเชื่อมต่อนโยบาย

คลาส PolicyConnection ทำงานที่ง่ายกว่า วัตถุ PolicyConnection เก็บการอ้างอิงถึงข้อมูลไฟล์นโยบาย จากนั้น หลังจากเรียกใช้เมธอด HandleRequest() แล้ว วัตถุ PolicyConnection จะดึงการเชื่อมต่อใหม่จากสตรีมเครือข่ายและพยายามอ่าน อุปกรณ์ไคลเอนต์ต้องส่งสตริงที่มีข้อความ หลังจากอ่าน ข้อความนี้ อุปกรณ์ไคลเอนต์จะเขียนข้อมูลนโยบายไปยังสตรีมและปิดการเชื่อมต่อ ต่อไปนี้คือโค้ดของคลาส PolicyConnection

PolicyConnection ระดับสาธารณะ (

ไคลเอนต์ TcpClient ส่วนตัว; นโยบายไบต์ส่วนตัว

การเชื่อมต่อนโยบายสาธารณะ (ไคลเอนต์ TcpClient นโยบายไบต์) (

this.client = ลูกค้า; this.policy = นโยบาย;

// สร้างคำขอไคลเอนต์ส่วนตัวของสตริงคงที่ policyRequestString = "

โมฆะสาธารณะ HandleRequest()(

สตรีม = client.GetStream(); // อ่านสตริงแบบสอบถามนโยบาย

บัฟเฟอร์ไบต์ = ไบต์ใหม่;

// รอเพียง 5 วินาที client.ReceiveTimeout = 5000;'

s.Read(บัฟเฟอร์, 0, buffer.Length);

// ผ่านนโยบาย (คุณสามารถตรวจสอบได้ว่าคำขอนโยบายมี // เนื้อหาที่จำเป็นหรือไม่) s.Write(policy, 0, policy.Length);

// ปิดไคลเอ็นต์การเชื่อมต่อ ปิด ();

Console.WriteLine("บริการไฟล์นโยบาย");

ดังนั้นเราจึงมีเซิร์ฟเวอร์นโยบายที่ใช้งานได้อย่างสมบูรณ์ ขออภัย ยังไม่สามารถทดสอบได้เนื่องจาก Add-in ของ Silverlight ไม่อนุญาตให้มีการร้องขอไฟล์นโยบายอย่างชัดแจ้ง แต่จะร้องขอโดยอัตโนมัติเมื่อพยายามใช้แอปพลิเคชันซ็อกเก็ต ก่อนที่คุณจะสามารถสร้างแอปพลิเคชันไคลเอ็นต์สำหรับแอปพลิเคชันซ็อกเก็ตนี้ คุณต้องสร้างเซิร์ฟเวอร์

ในบทความก่อนหน้าของชุดนี้ คุณได้เรียนรู้วิธีใช้ฟังก์ชันการทำงานของนโยบายความปลอดภัยในเครื่องอย่างมีประสิทธิภาพ ซึ่งช่วยให้คุณปกป้องโครงสร้างพื้นฐานขององค์กรได้สูงสุดจากการโจมตีโดยผู้ไม่หวังดีจากภายนอก ตลอดจนจากการกระทำส่วนใหญ่ของพนักงานที่ไร้ความสามารถ . คุณทราบวิธีตั้งค่านโยบายบัญชีอย่างมีประสิทธิภาพที่ช่วยให้คุณจัดการความซับซ้อนของรหัสผ่านของผู้ใช้ ตั้งค่านโยบายการตรวจสอบเพื่อวิเคราะห์การรับรองความถูกต้องของผู้ใช้เพิ่มเติมในบันทึกความปลอดภัย นอกจากนี้ คุณได้เรียนรู้วิธีกำหนดสิทธิ์ให้กับผู้ใช้ของคุณเพื่อหลีกเลี่ยงการทำอันตรายต่อระบบของคุณและแม้แต่คอมพิวเตอร์บนอินทราเน็ตของคุณ และวิธีที่คุณสามารถกำหนดค่าบันทึกเหตุการณ์ กลุ่มที่ถูกจำกัด บริการระบบ รีจิสทรี และระบบไฟล์ได้อย่างมีประสิทธิภาพ ในบทความนี้ เราจะศึกษานโยบายความปลอดภัยในพื้นที่ต่อไป และคุณจะได้เรียนรู้เกี่ยวกับการตั้งค่าความปลอดภัยเครือข่ายแบบใช้สายสำหรับองค์กรของคุณ

ระบบปฏิบัติการเซิร์ฟเวอร์ของ Microsoft เริ่มต้นด้วย Windows Server 2008 นำเสนอส่วนประกอบ Wired Network Policies (IEEE 802.3) ซึ่งให้การกำหนดค่าอัตโนมัติสำหรับการใช้บริการการเข้าถึงผ่านสายด้วยการรับรองความถูกต้อง IEEE 802.1X สำหรับไคลเอนต์เครือข่าย Ethernet 802.3 หากต้องการใช้การตั้งค่าความปลอดภัยสำหรับเครือข่ายแบบใช้สายโดยใช้นโยบายกลุ่ม ระบบปฏิบัติการจะใช้บริการ Wired AutoConfig (Wired AutoConfig - DOT3SVC) บริการปัจจุบันรับผิดชอบการรับรองความถูกต้อง IEEE 802.1X เมื่อเชื่อมต่อกับเครือข่ายอีเทอร์เน็ตโดยใช้สวิตช์ 802.1X ที่ใช้งานร่วมกันได้ และยังจัดการโปรไฟล์ที่ใช้เพื่อกำหนดค่าไคลเอ็นต์เครือข่ายสำหรับการเข้าถึงที่ผ่านการรับรองความถูกต้อง นอกจากนี้ ควรสังเกตว่าหากคุณใช้นโยบายเหล่านี้ ขอแนะนำให้ป้องกันไม่ให้ผู้ใช้ในโดเมนของคุณเปลี่ยนโหมดการเริ่มต้นของบริการนี้

การกำหนดค่านโยบายเครือข่ายแบบมีสาย

คุณสามารถตั้งค่านโยบายเครือข่ายแบบใช้สายได้โดยตรงจากสแน็ปอิน เมื่อต้องการกำหนดการตั้งค่าเหล่านี้ ให้ทำตามขั้นตอนเหล่านี้:

1. เปิดสแนปอินและเลือกโหนดในทรีคอนโซล คลิกขวาที่มันแล้วเลือกคำสั่งจากเมนูบริบท "การสร้างนโยบายเครือข่ายแบบมีสายใหม่สำหรับ Windows Vista และใหม่กว่า"ดังภาพประกอบต่อไปนี้

   ข้าว. 1. สร้างนโยบายเครือข่ายแบบมีสาย

2. ในกล่องโต้ตอบที่เปิดอยู่ "นโยบายใหม่สำหรับคุณสมบัติของเครือข่ายแบบมีสาย"บนแท็บ "เป็นเรื่องธรรมดา"คุณสามารถระบุให้ใช้บริการ Wired AutoConfig เพื่อกำหนดค่าอะแดปเตอร์ LAN เพื่อเชื่อมต่อกับเครือข่ายแบบใช้สาย นอกจากการตั้งค่านโยบายที่ใช้กับ Windows Vista และระบบปฏิบัติการที่ใหม่กว่าแล้ว ยังมีการตั้งค่านโยบายบางอย่างที่จะใช้กับระบบปฏิบัติการ Windows 7 และ Windows Server 2008 R2 เท่านั้น บนแท็บนี้ คุณสามารถทำสิ่งต่อไปนี้:
   • ชื่อกรมธรรม์. ในกล่องข้อความนี้ คุณสามารถตั้งชื่อให้กับนโยบายเครือข่ายแบบใช้สายของคุณได้ คุณสามารถดูชื่อนโยบายได้ในบานหน้าต่างรายละเอียดของโหนด "นโยบายเครือข่ายแบบมีสาย (IEEE 802.3)"ตะครุบ ตัวแก้ไขการจัดการนโยบายกลุ่ม;
   • คำอธิบาย. กล่องข้อความนี้มีไว้สำหรับกรอกคำอธิบายโดยละเอียดเกี่ยวกับวัตถุประสงค์ของนโยบายเครือข่ายแบบมีสาย
   • ใช้บริการ Windows Wired AutoConfig สำหรับไคลเอนต์. ตัวเลือกนี้ทำการกำหนดค่าจริงและเชื่อมต่อไคลเอนต์กับเครือข่าย 802.3 แบบใช้สาย หากคุณปิดใช้งานตัวเลือกนี้ ระบบปฏิบัติการ Windows จะไม่ควบคุมการเชื่อมต่อเครือข่ายแบบใช้สายและการตั้งค่านโยบายจะไม่มีผล
   • ป้องกันการใช้ข้อมูลรับรองผู้ใช้ที่ใช้ร่วมกันสำหรับการรับรองความถูกต้องของเครือข่าย. การตั้งค่านี้กำหนดว่าผู้ใช้ควรถูกป้องกันไม่ให้จัดเก็บข้อมูลรับรองผู้ใช้ที่ใช้ร่วมกันสำหรับการรับรองความถูกต้องของเครือข่ายหรือไม่ คุณสามารถเปลี่ยนการตั้งค่านี้ภายในเครื่องได้ด้วยคำสั่ง netsh lan ตั้งค่า allowexplicitcreds;
   • เปิดใช้งานช่วงเวลาการบล็อก. การตั้งค่านี้กำหนดว่าจะป้องกันไม่ให้คอมพิวเตอร์เชื่อมต่อกับเครือข่ายแบบใช้สายโดยอัตโนมัติตามจำนวนนาทีที่คุณระบุหรือไม่ ค่าเริ่มต้นคือ 20 นาที ระยะเวลาการปิดกั้นสามารถปรับได้ตั้งแต่ 1 ถึง 60 นาที

"เป็นเรื่องธรรมดา"นโยบายเครือข่ายแบบมีสาย:

ข้าว. 2. แท็บทั่วไปของกล่องโต้ตอบการตั้งค่านโยบายเครือข่ายแบบใช้สาย

3. บนแท็บ "ความปลอดภัย"ให้ตัวเลือกการกำหนดค่าสำหรับวิธีการรับรองความถูกต้องและโหมดการเชื่อมต่อแบบมีสาย คุณสามารถกำหนดการตั้งค่าความปลอดภัยต่อไปนี้:
   • เปิดใช้งานการรับรองความถูกต้อง IEEE 802.1X สำหรับการเข้าถึงเครือข่าย. ตัวเลือกนี้ใช้โดยตรงเพื่อเปิดหรือปิดใช้งานการตรวจสอบการเข้าถึงเครือข่าย 802.1X ตัวเลือกนี้เปิดใช้งานตามค่าเริ่มต้น
   • เลือกวิธีการตรวจสอบความถูกต้องของเครือข่าย. เมื่อใช้รายการดรอปดาวน์นี้ คุณสามารถระบุหนึ่งในวิธีการรับรองความถูกต้องของไคลเอ็นต์เครือข่ายที่จะนำไปใช้กับนโยบายเครือข่ายแบบใช้สายของคุณ มีสองตัวเลือกต่อไปนี้ให้เลือก:
     • Microsoft: EAP ที่ได้รับการป้องกัน (PEAP). สำหรับวิธีการรับรองความถูกต้องนี้ หน้าต่าง "คุณสมบัติ"มีการตั้งค่าคอนฟิกูเรชันสำหรับวิธีการรับรองความถูกต้องที่จะใช้
     • Microsoft: สมาร์ทการ์ดหรือใบรับรองอื่นๆ. สำหรับวิธีการรับรองความถูกต้องนี้ ในหน้าต่าง "คุณสมบัติ"มีตัวเลือกการกำหนดค่าที่อนุญาตให้คุณระบุสมาร์ทการ์ดหรือใบรับรองเพื่อเชื่อมต่อ ตลอดจนรายการ CA รูทที่เชื่อถือได้

   วิธีการที่เลือกโดยค่าเริ่มต้น Microsoft: EAP ที่ได้รับการป้องกัน (PEAP);

4. โหมดการรับรองความถูกต้อง. รายการแบบหล่นลงนี้ใช้เพื่อทำการตรวจสอบเครือข่าย มีให้เลือกสี่ตัวเลือกต่อไปนี้:
   • การตรวจสอบผู้ใช้หรือคอมพิวเตอร์. หากเลือกตัวเลือกนี้ ข้อมูลรับรองความปลอดภัยจะถูกใช้ตามสถานะปัจจุบันของคอมพิวเตอร์ แม้ว่าจะไม่มีผู้ใช้เข้าสู่ระบบ การรับรองความถูกต้องจะดำเนินการโดยใช้ข้อมูลประจำตัวของคอมพิวเตอร์ เมื่อผู้ใช้เข้าสู่ระบบ ข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบจะถูกใช้ Microsoft ขอแนะนำให้ใช้การตั้งค่าโหมดการรับรองความถูกต้องในกรณีส่วนใหญ่
   • สำหรับคอมพิวเตอร์เท่านั้น. ในกรณีนี้ เฉพาะข้อมูลประจำตัวของคอมพิวเตอร์เท่านั้นที่ได้รับการพิสูจน์ตัวตน
   • การรับรองความถูกต้องของผู้ใช้. การเลือกตัวเลือกนี้จะบังคับให้ผู้ใช้ตรวจสอบสิทธิ์เมื่อเชื่อมต่อกับอุปกรณ์ 802.1X ใหม่เท่านั้น ในกรณีอื่นๆ ทั้งหมด การรับรองความถูกต้องจะดำเนินการกับคอมพิวเตอร์เท่านั้น
   • การรับรองความถูกต้องของแขก. การตั้งค่านี้อนุญาตให้คุณเชื่อมต่อกับเครือข่ายตามบัญชีแขก
5. จำนวนข้อผิดพลาดในการตรวจสอบสิทธิ์สูงสุด. การตั้งค่านี้ทำให้คุณสามารถระบุจำนวนข้อผิดพลาดในการตรวจสอบสิทธิ์ได้สูงสุด ค่าเริ่มต้นคือ 1;
6. แคชข้อมูลผู้ใช้สำหรับการเชื่อมต่อกับเครือข่ายนี้ในภายหลัง. เมื่อเปิดใช้งานการตั้งค่านี้ ข้อมูลประจำตัวของผู้ใช้จะถูกเก็บไว้ในรีจิสทรีของระบบ และจะไม่มีการร้องขอข้อมูลประจำตัวเมื่อผู้ใช้ออกจากระบบและเข้าสู่ระบบ

ภาพประกอบต่อไปนี้แสดงแท็บ "ความปลอดภัย"กล่องโต้ตอบนี้:

ข้าว. 3. แท็บความปลอดภัยของไดอะล็อกบ็อกซ์การตั้งค่านโยบายเครือข่ายแบบมีสาย

คุณสมบัติของโหมดการรับรองความถูกต้อง

ดังที่ได้กล่าวไว้ในส่วนก่อนหน้านี้ สำหรับวิธีการตรวจสอบความถูกต้องทั้งสองวิธีจะมีการตั้งค่าเพิ่มเติมที่เรียกใช้ได้โดยการคลิกที่ปุ่ม "คุณสมบัติ". ในส่วนนี้ เราจะกล่าวถึงการตั้งค่าที่เป็นไปได้ทั้งหมดสำหรับวิธีการตรวจสอบสิทธิ์

การตั้งค่าวิธีการรับรองความถูกต้อง "Microsoft: Secure EAP (PEAP)"

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) เป็นโครงสร้างพื้นฐานการตรวจสอบสิทธิ์ที่ขยายได้ซึ่งกำหนดรูปแบบของแพ็คเกจ มีตัวเลือกต่อไปนี้สำหรับการกำหนดค่าวิธีการรับรองความถูกต้องนี้:

เปิดใช้งานการเชื่อมต่อใหม่อย่างรวดเร็ว. ตัวเลือกนี้ช่วยให้ผู้ใช้ที่มีคอมพิวเตอร์ไร้สายสามารถย้ายระหว่างจุดเชื่อมต่อได้อย่างรวดเร็วโดยไม่ต้องตรวจสอบความถูกต้องกับเครือข่ายใหม่อีกครั้ง การสลับนี้ใช้ได้กับจุดเข้าใช้งานที่กำหนดค่าเป็นไคลเอนต์ RADIUS เท่านั้น ตัวเลือกนี้เปิดใช้งานตามค่าเริ่มต้น

เปิดใช้งานการป้องกันการเข้าถึงเครือข่าย. เมื่อเลือกตัวเลือกนี้ ก่อนที่จะอนุญาตให้ผู้ร้องขอ EAP เชื่อมต่อกับเครือข่าย จะมีการตรวจสอบที่เหมาะสมเพื่อกำหนดการตรวจสอบข้อกำหนดด้านสุขภาพ

ตัดการเชื่อมต่อหากเซิร์ฟเวอร์ไม่รองรับการรวมที่เข้ารหัสผ่านกลไก TLV. ตัวเลือกนี้มีหน้าที่รับผิดชอบในการทำให้ไคลเอ็นต์เชื่อมต่อขัดจังหวะกระบวนการตรวจสอบความถูกต้อง หากเซิร์ฟเวอร์ RADIUS ไม่ได้จัดเตรียมค่าการผูก TLV แบบเข้ารหัสที่ช่วยเพิ่มความปลอดภัยของอุโมงค์ TLS ใน PEAP โดยการรวมวิธีการตรวจสอบความถูกต้องทั้งภายในและภายนอก เพื่อให้ผู้โจมตีไม่สามารถทำการโจมตีดัดแปลงได้ บุคคลที่สาม

เปิดใช้งานข้อมูลประจำตัวความเป็นส่วนตัว. การตั้งค่านี้ป้องกันไม่ให้ไคลเอ็นต์ส่งข้อมูลระบุตัวตนของตนก่อนที่ไคลเอ็นต์จะตรวจสอบความถูกต้องของเซิร์ฟเวอร์ RADIUS และสามารถเลือกระบุตำแหน่งเพื่อป้อนค่าข้อมูลประจำตัวที่ไม่ระบุชื่อได้

กล่องโต้ตอบคุณสมบัติ EAP ที่ปลอดภัยจะแสดงในภาพประกอบต่อไปนี้:

ข้าว. 5. กล่องโต้ตอบคุณสมบัติ EAP ที่ปลอดภัย

การตั้งค่าวิธีการรับรองความถูกต้อง "สมาร์ทการ์ดหรือใบรับรองอื่นๆ - การตั้งค่า EAP-TLS"

มีตัวเลือกต่อไปนี้เพื่อกำหนดค่าวิธีการรับรองความถูกต้องนี้:

• ใช้สมาร์ทการ์ดของฉันเมื่อเชื่อมต่อ. หากคุณตั้งค่าปุ่มตัวเลือกไปที่ตำแหน่งนี้ ไคลเอนต์ที่ส่งคำขอตรวจสอบความถูกต้องจะแสดงใบรับรองสมาร์ทการ์ดสำหรับการตรวจสอบเครือข่าย
• เมื่อเชื่อมต่อ ให้ใช้ใบรับรองบนคอมพิวเตอร์เครื่องนี้. เมื่อเลือกตัวเลือกนี้ การตรวจสอบการเชื่อมต่อไคลเอนต์จะใช้ใบรับรองที่อยู่ในผู้ใช้ปัจจุบันหรือร้านคอมพิวเตอร์ในพื้นที่
• ใช้การเลือกใบรับรองอย่างง่าย. ตัวเลือกนี้ช่วยให้ระบบปฏิบัติการ Windows สามารถกรองใบรับรองที่ไม่ตรงตามข้อกำหนดการตรวจสอบสิทธิ์ออกได้
• ตรวจสอบใบรับรองเซิร์ฟเวอร์. ตัวเลือกนี้ทำให้คุณสามารถตั้งค่าการตรวจสอบใบรับรองเซิร์ฟเวอร์ที่ให้แก่คอมพิวเตอร์ไคลเอ็นต์สำหรับลายเซ็นที่ถูกต้องและไม่หมดอายุ ตลอดจนการมีอยู่ของผู้ออกใบรับรองหลักที่เชื่อถือได้ซึ่งออกใบรับรองให้กับเซิร์ฟเวอร์นี้
• เชื่อมต่อกับเซิร์ฟเวอร์. ตัวเลือกนี้เหมือนกับตัวเลือกที่มีชื่อเดียวกันซึ่งอธิบายไว้ในส่วนก่อนหน้า
• ผู้ออกใบรับรองหลักที่เชื่อถือได้. เช่นเดียวกับในกล่องโต้ตอบคุณสมบัติ EAP ที่ปลอดภัย ในรายการนี้ คุณสามารถค้นหาผู้ออกใบรับรองหลักที่เชื่อถือได้ทั้งหมดที่ติดตั้งในที่เก็บใบรับรองของผู้ใช้และคอมพิวเตอร์
• อย่าแจ้งผู้ใช้ให้อนุญาตเซิร์ฟเวอร์ใหม่หรือผู้ออกใบรับรองที่เชื่อถือได้. เมื่อเลือกตัวเลือกนี้ หากมีใบรับรองเซิร์ฟเวอร์ที่กำหนดค่าไม่ถูกต้องหรือแสดงอยู่ในรายการสำหรับผู้ใช้ กล่องโต้ตอบจะไม่แสดงขึ้นเพื่อขอให้คุณอนุญาตใบรับรองดังกล่าว ตัวเลือกนี้ถูกปิดใช้งานตามค่าเริ่มต้น
• ใช้ชื่อผู้ใช้อื่นในการเชื่อมต่อ. การตั้งค่านี้กำหนดว่าจะใช้ชื่อผู้ใช้อื่นสำหรับการรับรองความถูกต้องจากชื่อผู้ใช้ในใบรับรองหรือไม่ เมื่อเปิดใช้งานตัวเลือกเพื่อใช้ชื่อผู้ใช้อื่น คุณต้องเลือกใบรับรองอย่างน้อยหนึ่งรายการจากรายการ CA หลักที่เชื่อถือได้

กล่องโต้ตอบสำหรับการตั้งค่าสมาร์ทการ์ดหรือใบรับรองอื่นๆ จะแสดงในภาพประกอบต่อไปนี้:

ข้าว. 6. กล่องโต้ตอบสำหรับตั้งค่าสมาร์ทการ์ดหรือใบรับรองอื่น ๆ

หากคุณไม่แน่ใจเกี่ยวกับใบรับรองที่คุณเลือก ให้คลิกที่ปุ่ม "ดูใบรับรอง"จะสามารถดูรายละเอียดทั้งหมดของใบรับรองที่เลือกได้ดังภาพด้านล่าง:

ข้าว. 7. ดูใบรับรองจากรายการผู้ออกใบรับรองหลักที่เชื่อถือได้

ตัวเลือกความปลอดภัยนโยบายแบบมีสายขั้นสูง

คุณอาจสังเกตเห็นว่าบนแท็บ "ความปลอดภัย"ในกล่องโต้ตอบการตั้งค่านโยบายเครือข่ายแบบมีสาย มีตัวเลือกความปลอดภัยเพิ่มเติมเพื่อเปลี่ยนลักษณะการทำงานของไคลเอ็นต์เครือข่ายที่ร้องขอการเข้าถึงด้วยการรับรองความถูกต้อง 802.1X การตั้งค่านโยบายแบบมีสายขั้นสูงสามารถแบ่งออกเป็นสองกลุ่ม - การตั้งค่า IEEE 802.1X และการตั้งค่าการลงชื่อเข้าใช้ครั้งเดียว ลองดูที่แต่ละกลุ่มเหล่านี้:

ในกลุ่มการตั้งค่า IEEE 802.1X คุณสามารถระบุลักษณะของคำขอเครือข่ายแบบใช้สายด้วยการรับรองความถูกต้อง 802.1X มีตัวเลือกต่อไปนี้สำหรับการแก้ไข:

• ใช้การตั้งค่าขั้นสูง 802.1X. ตัวเลือกนี้อนุญาตให้คุณเปิดใช้งานการตั้งค่าสี่รายการต่อไปนี้
• สูงสุด ข้อความ EAPOL. EAPOL เป็นโปรโตคอล EAP ที่ใช้ก่อนที่คอมพิวเตอร์จะมีเวลาตรวจสอบสิทธิ์ และหลังจาก "เข้าสู่ระบบ" สำเร็จเท่านั้น ทราฟฟิกอื่นๆ ทั้งหมดจะสามารถผ่านพอร์ตสวิตช์ที่คอมพิวเตอร์เครื่องนี้เชื่อมต่ออยู่ได้ พารามิเตอร์นี้ควบคุมจำนวนสูงสุดของข้อความเริ่มต้น EAPOL ที่ส่ง;
• ระยะเวลาหน่วง (วินาที). การตั้งค่านี้ควบคุมการหน่วงเวลาเป็นวินาที ก่อนที่คำขอการตรวจสอบสิทธิ์ 802.1X ถัดไปจะเกิดขึ้นหลังจากได้รับการแจ้งเตือนความล้มเหลวในการตรวจสอบสิทธิ์
• ระยะเวลาเริ่มต้น (ระยะเวลาเริ่มต้น). พารามิเตอร์นี้ควบคุมระยะเวลาที่จะรอก่อนที่จะส่งข้อความเริ่มต้น EAPOL ที่ต่อเนื่องกันอีกครั้ง
• ระยะเวลาตรวจสอบ (วินาที). พารามิเตอร์นี้ระบุจำนวนวินาทีระหว่างการส่งสัญญาณซ้ำของข้อความ EAPOL เริ่มต้นที่ต่อเนื่องกัน หลังจากเริ่มต้นการตรวจสอบการเข้าถึงแบบพาสทรู 802.1X
• EAPOL-เริ่มข้อความ. ด้วยพารามิเตอร์นี้ คุณสามารถระบุลักษณะการส่งต่อไปนี้ของข้อความ EAPOL เริ่มต้น:
  • อย่าโอน. หากเลือกตัวเลือกนี้ ข้อความ EAPOL จะไม่ถูกส่ง
  • โอนแล้ว. หากเลือกตัวเลือกนี้ ไคลเอนต์จะต้องส่งข้อความ EAPOL เริ่มต้นด้วยตนเอง
  • การส่งผ่าน IEEE 802.1X. หากเลือกตัวเลือกนี้ (ค่าเริ่มต้น) ข้อความ EAPOL จะถูกส่งโดยอัตโนมัติ โดยรอให้การรับรองความถูกต้อง 802.1X เริ่มต้นขึ้น

เมื่อใช้ single sign-on การรับรองความถูกต้องจะต้องดำเนินการตามการกำหนดค่าความปลอดภัยเครือข่ายในระหว่างกระบวนการเข้าสู่ระบบของผู้ใช้ในระบบปฏิบัติการ ตัวเลือกต่อไปนี้พร้อมใช้งานสำหรับการกำหนดค่าโปรไฟล์ SSO อย่างสมบูรณ์:

• เปิดใช้งานการลงชื่อเพียงครั้งเดียวสำหรับเครือข่าย. การเปิดใช้งานตัวเลือกนี้จะเป็นการเปิดใช้งานการตั้งค่าการลงชื่อเข้าใช้ครั้งเดียว
• เปิดใช้งานก่อนที่ผู้ใช้จะเข้าสู่ระบบ. หากคุณเลือกตัวเลือกนี้ การรับรองความถูกต้อง 802.1X จะดำเนินการก่อนที่ผู้ใช้จะเข้าสู่ระบบเสร็จสมบูรณ์
• เปิดใช้งานทันทีหลังจากผู้ใช้เข้าสู่ระบบ. หากคุณเลือกตัวเลือกนี้ การรับรองความถูกต้อง 802.1X จะดำเนินการหลังจากที่ผู้ใช้เข้าสู่ระบบ
• สูงสุด ความล่าช้าในการเชื่อมต่อ. พารามิเตอร์นี้ระบุเวลาสูงสุดที่การรับรองความถูกต้องต้องเสร็จสมบูรณ์ และระยะเวลาที่ผู้ใช้จะรอก่อนที่หน้าต่างการเข้าสู่ระบบของผู้ใช้จะปรากฏขึ้น
• อนุญาตให้แสดงกล่องโต้ตอบเพิ่มเติมในการลงชื่อเข้าใช้ครั้งเดียว. การตั้งค่านี้มีหน้าที่แสดงกล่องโต้ตอบการเข้าสู่ระบบของผู้ใช้
• เครือข่ายนี้ใช้ VLAN ที่แตกต่างกันสำหรับการรับรองความถูกต้องของเครื่องและผู้ใช้ หากคุณระบุการตั้งค่านี้ เมื่อเริ่มต้นระบบ คอมพิวเตอร์ทุกเครื่องจะอยู่ในเครือข่ายเสมือนเครือข่ายเดียว และหลังจากผู้ใช้เข้าสู่ระบบสำเร็จ ระบบจะโอนย้ายคอมพิวเตอร์เหล่านี้ไปยังเครือข่ายเสมือนต่างๆ โดยขึ้นอยู่กับการอนุญาต คุณควรเปิดใช้งานตัวเลือกนี้ก็ต่อเมื่อคุณมี VLAN หลายตัวในองค์กรของคุณ

กล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงของนโยบายเครือข่ายแบบมีสายจะแสดงในภาพประกอบต่อไปนี้:

ข้าว. รูปที่ 8 กล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงของนโยบายเครือข่ายแบบมีสาย

บทสรุป

ในบทความนี้ คุณได้เรียนรู้เกี่ยวกับการตั้งค่านโยบายเครือข่ายแบบใช้สาย IEE 802.1X ทั้งหมด คุณได้เรียนรู้วิธีการสร้างนโยบายดังกล่าว และคุณได้เรียนรู้เกี่ยวกับวิธีการตรวจสอบสิทธิ์ EAP และการรับรองความถูกต้องโดยใช้สมาร์ทการ์ดหรือใบรับรองอื่นๆ ในบทความถัดไป คุณจะได้เรียนรู้เกี่ยวกับนโยบายความปลอดภัยในเครื่อง Network List Manager

นโยบายใน Exchange Server 2003 ได้รับการออกแบบมาเพื่อเพิ่มความยืดหยุ่นในการดูแลระบบในขณะที่ลดภาระของผู้ดูแลระบบ นโยบายคือชุดการตั้งค่าคอนฟิกูเรชันที่ใช้กับอ็อบเจ็กต์คลาสเดียวกันตั้งแต่หนึ่งรายการขึ้นไปใน Exchange ตัวอย่างเช่น คุณสามารถสร้างนโยบายที่มีผลกับการตั้งค่าบางอย่างบนเซิร์ฟเวอร์ Exchange บางส่วนหรือทั้งหมด หากคุณต้องการเปลี่ยนการตั้งค่าเหล่านี้ คุณเพียงแค่ต้องแก้ไขนโยบายนี้และนโยบายนี้จะนำไปใช้กับองค์กรเซิร์ฟเวอร์ที่เกี่ยวข้อง

นโยบายมีสองประเภท: นโยบายระบบและนโยบายผู้รับ นโยบายผู้รับนำไปใช้กับวัตถุการเข้าถึงจดหมายและระบุวิธีสร้างที่อยู่อีเมล นโยบายผู้รับจะกล่าวถึงใน "การสร้างและการจัดการผู้รับ" นโยบายระบบใช้กับเซิร์ฟเวอร์ ที่เก็บกล่องจดหมาย และที่เก็บโฟลเดอร์สาธารณะ นโยบายเหล่านี้ปรากฏในคอนเทนเนอร์นโยบายภายในกลุ่มที่รับผิดชอบ การบริหารนโยบายนี้ (รูปที่ 12.10)

ข้าว. 12.10 น.วัตถุนโยบายระบบ

บันทึก. การติดตั้ง Exchange Server 2003 ไม่สร้างคอนเทนเนอร์เริ่มต้นสำหรับนโยบายระบบ ต้องสร้างก่อนสร้างนโยบายระบบ คลิกขวาที่กลุ่มการดูแลระบบที่คุณต้องการสร้างโฟลเดอร์นโยบาย วางเมาส์เหนือ New และเลือก System Policy Container

สร้างนโยบายระบบ

หากต้องการสร้างนโยบายระบบ ให้ไปที่คอนเทนเนอร์นโยบายระบบที่เหมาะสม คลิกขวาที่คอนเทนเนอร์ แล้วเลือกชนิดของนโยบายที่จะสร้าง: นโยบายเซิร์ฟเวอร์ นโยบายที่เก็บกล่องจดหมาย หรือนโยบายที่เก็บโฟลเดอร์สาธารณะ

เมื่อทำงานกับนโยบายระบบ ต้องแน่ใจว่าได้สร้างวัตถุนโยบายในกลุ่มที่รับผิดชอบในการบริหารนโยบายนั้น มิฉะนั้น อาจเกิดข้อผิดพลาดขึ้นในการเลือกบุคคลที่ใช้อำนาจควบคุมนโยบายที่สำคัญ มาดูวิธีการสร้างนโยบายแต่ละประเภทจากสามประเภท โดยเริ่มจากนโยบายเซิร์ฟเวอร์

สร้างนโยบายเซิร์ฟเวอร์

นโยบายเซิร์ฟเวอร์กำหนดการตั้งค่าสำหรับการติดตามข้อความและการบำรุงรักษาล็อกไฟล์ ใช้ไม่ได้กับการตั้งค่าความปลอดภัยหรือการตั้งค่าอื่นๆ ของเซิร์ฟเวอร์ในกลุ่มการดูแลระบบนี้ เมื่อต้องการสร้างนโยบายเซิร์ฟเวอร์ ให้คลิกขวาที่คอนเทนเนอร์นโยบายระบบ ชี้ไปที่ใหม่ จากนั้นเลือกตัวเลือกนโยบายเซิร์ฟเวอร์ กล่องโต้ตอบนโยบายใหม่ที่แสดงในรูปที่ 1 จะปรากฏขึ้น 12.11 ซึ่งระบุแท็บที่ปรากฏในหน้าคุณสมบัติของนโยบาย มีเพียงตัวเลือกเดียวสำหรับนโยบายเซิร์ฟเวอร์: แท็บทั่วไป ตรวจสอบตัวเลือกสำหรับแท็บนี้ จากนั้นคลิก ตกลง หน้าต่างการกำหนดค่าจะปรากฏขึ้นซึ่งนโยบายจะถูกสร้างขึ้น

ข้าว. 12.11 น.

หลังจากนั้น คุณต้องป้อนชื่อสำหรับนโยบายในหน้าต่างแท็บทั่วไปของหน้าคุณสมบัติของนโยบาย ดังแสดงในรูปที่ 12.12 แท็บทั่วไปมีอยู่สองแท็บ แท็บแรกใช้สำหรับป้อนชื่อกรมธรรม์ เลือกชื่อเพื่ออธิบายงานที่ตั้งใจให้นโยบายนี้ดำเนินการ เช่น นโยบายการติดตามข้อความ หรือ เปิดใช้งานนโยบายการบันทึกหัวเรื่อง ชื่อที่เหมาะสมซึ่งได้รับเลือกในขั้นตอนนี้จะช่วยประหยัดเวลา เนื่องจากไม่จำเป็นต้องเปิดหน้าคุณสมบัติของนโยบายเพื่อระบุวัตถุประสงค์

แท็บทั่วไป (นโยบาย) แสดงในรูป 12.13 มีการตั้งค่านโยบายจริงที่ใช้กับเซิร์ฟเวอร์ Exchange ขององค์กรที่มีปัญหา แท็บนี้เรียกว่าทั่วไป (นโยบาย) เนื่องจากอาจกำหนดค่าแท็บทั่วไปของหน้าคุณสมบัติสำหรับเซิร์ฟเวอร์ที่มีอยู่ทั้งหมด (ต่อไปในบทนี้ เราจะดูวิธีใช้นโยบายนี้กับเซิร์ฟเวอร์ทั้งหมดในองค์กร) หากคุณเปรียบเทียบแท็บนี้กับแท็บทั่วไปในหน้าคุณสมบัติของเซิร์ฟเวอร์ คุณจะเห็นว่าแท็บต่างๆ เหมือนกัน ยกเว้น ข้อมูลระบุตัวตนที่ด้านบนของแท็บ

แท็บทั่วไป (นโยบาย) เปิดใช้งานการบันทึกและเปิดใช้งานการบันทึกหัวเรื่องและการแสดงผลสำหรับเซิร์ฟเวอร์ Exchange 2003 ที่มีอยู่ทั้งหมด การตั้งค่านี้ทำงานร่วมกับตัวเลือกเปิดใช้งานการติดตามข้อความ ซึ่งช่วยให้คุณติดตามข้อความที่ส่งในองค์กรได้ ตัวเลือกเหล่านี้มีประโยชน์สำหรับการแก้ไขปัญหาต้นตอของปัญหาที่เกิดขึ้นเมื่อผู้ใช้บางรายไม่ได้รับข้อความจากผู้ใช้รายอื่น เป็นไปได้ที่จะติดตามข้อความผ่านองค์กรเพื่อพิจารณาว่ามีปัญหาในการส่งข้อมูลที่ใด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตามข้อความและการบันทึกหัวข้อข้อความ โปรดดูบทที่ 6 ฟังก์ชันการทำงาน ความปลอดภัย และการสนับสนุนของ Exchange Server 2003

ข้าว. 12.12 น.

ข้าว. 12.13 น.

เมื่อนโยบายมีผลบังคับใช้แล้ว จะไม่สามารถเปลี่ยนแปลงในระดับเซิร์ฟเวอร์ภายในเครื่องได้ นโยบายการติดตามข้อความที่เราใช้เป็นตัวอย่างถูกสร้างขึ้นบนเซิร์ฟเวอร์ EX-SRV1 ในกลุ่มผู้ดูแลระบบแอริโซนา บน

ฟังก์ชันการทำงานในระบบปฏิบัติการ Windows Server ได้รับการคำนวณและปรับปรุงจากเวอร์ชันหนึ่งไปอีกเวอร์ชัน มีบทบาทและส่วนประกอบมากขึ้นเรื่อยๆ ดังนั้นในบทความวันนี้ฉันจะพยายามอธิบายสั้นๆ คำอธิบายและวัตถุประสงค์ของแต่ละบทบาทใน Windows Server 2016.

ก่อนดำเนินการตามคำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server มาดูกันว่าอะไรคือ " บทบาทของเซิร์ฟเวอร์» บนระบบปฏิบัติการ Windows Server

"บทบาทเซิร์ฟเวอร์" ใน Windows Server คืออะไร

บทบาทของเซิร์ฟเวอร์- นี่คือชุดซอฟต์แวร์ที่รับรองประสิทธิภาพของฟังก์ชันบางอย่างโดยเซิร์ฟเวอร์ และฟังก์ชันนี้เป็นฟังก์ชันหลัก กล่าวอีกนัยหนึ่ง " บทบาทของเซิร์ฟเวอร์' คือปลายทางของเซิร์ฟเวอร์ เช่น มันมีไว้เพื่ออะไร เพื่อให้เซิร์ฟเวอร์สามารถทำหน้าที่หลักได้นั่นคือ บทบาทบางอย่างใน บทบาทของเซิร์ฟเวอร์» รวมซอฟต์แวร์ที่จำเป็นทั้งหมดสำหรับสิ่งนี้ ( โปรแกรม บริการ).

เซิร์ฟเวอร์สามารถมีหนึ่งบทบาทหากใช้งานอยู่ หรือหลายบทบาทหากแต่ละบทบาทไม่โหลดเซิร์ฟเวอร์หนักและไม่ค่อยได้ใช้

บทบาทเซิร์ฟเวอร์สามารถรวมบริการหลายบทบาทที่มีฟังก์ชันการทำงานของบทบาทนั้น ตัวอย่างเช่น ในบทบาทเซิร์ฟเวอร์ " เว็บเซิร์ฟเวอร์ (IIS)” รวมถึงบริการจำนวนมากพอสมควร และบทบาท “ เซิร์ฟเวอร์ DNS» ไม่รวมบริการบทบาท เนื่องจากบทบาทนี้ทำหน้าที่เดียวเท่านั้น

Role Services สามารถติดตั้งพร้อมกันทั้งหมดหรือทีละรายการก็ได้ ขึ้นอยู่กับความต้องการของคุณ โดยพื้นฐานแล้ว การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งบริการ

Windows Server ยังมี " ส่วนประกอบ» เซิร์ฟเวอร์

ส่วนประกอบเซิร์ฟเวอร์ (คุณสมบัติ)เป็นเครื่องมือซอฟต์แวร์ที่ไม่ใช่บทบาทของเซิร์ฟเวอร์ แต่ขยายขีดความสามารถของหนึ่งบทบาทขึ้นไป หรือจัดการหนึ่งบทบาทขึ้นไป

ไม่สามารถติดตั้งบางบทบาทได้หากเซิร์ฟเวอร์ไม่มีบริการหรือส่วนประกอบที่จำเป็นสำหรับบทบาทในการทำงาน ดังนั้นในขณะที่ติดตั้งบทบาทดังกล่าว " ตัวช่วยสร้างการเพิ่มบทบาทและคุณสมบัติ» เอง จะแจ้งให้คุณติดตั้งบริการหรือส่วนประกอบเพิ่มเติมที่จำเป็นโดยอัตโนมัติ

คำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server 2016

คุณอาจคุ้นเคยกับบทบาทต่างๆ ที่อยู่ใน Windows Server 2016 อยู่แล้ว เนื่องจากมีมานานแล้ว แต่อย่างที่ฉันได้กล่าวไปแล้ว ใน Windows Server เวอร์ชันใหม่แต่ละเวอร์ชัน จะมีการเพิ่มบทบาทใหม่ที่คุณอาจไม่เคยทำงาน ด้วย แต่เราอยากรู้ว่ามันมีไว้เพื่ออะไร ดังนั้น เรามาเริ่มดูกันเลย

บันทึก! คุณสามารถอ่านเกี่ยวกับคุณสมบัติใหม่ของระบบปฏิบัติการ Windows Server 2016 ได้ในเนื้อหา "การติดตั้ง Windows Server 2016 และภาพรวมของคุณสมบัติใหม่".

เนื่องจากบ่อยครั้งที่การติดตั้งและการจัดการบทบาท บริการ และส่วนประกอบเกิดขึ้นโดยใช้ Windows PowerShell ฉันจะระบุชื่อสำหรับแต่ละบทบาทและบริการที่สามารถใช้ใน PowerShell ตามลำดับสำหรับการติดตั้งหรือเพื่อการจัดการ

เซิร์ฟเวอร์ DHCP

บทบาทนี้ช่วยให้คุณกำหนดค่าที่อยู่ IP แบบไดนามิกและการตั้งค่าที่เกี่ยวข้องจากส่วนกลางสำหรับคอมพิวเตอร์และอุปกรณ์บนเครือข่ายของคุณ บทบาทเซิร์ฟเวอร์ DHCP ไม่มีบริการบทบาท

ชื่อสำหรับ Windows PowerShell คือ DHCP

เซิร์ฟเวอร์ DNS

บทบาทนี้มีไว้สำหรับการจำแนกชื่อในเครือข่าย TCP/IP บทบาทเซิร์ฟเวอร์ DNS จัดเตรียมและดูแล DNS เพื่อให้การจัดการเซิร์ฟเวอร์ DNS ง่ายขึ้น โดยปกติแล้วจะติดตั้งบนเซิร์ฟเวอร์เดียวกันกับ Active Directory Domain Services บทบาทเซิร์ฟเวอร์ DNS ไม่มีบริการตามบทบาท

ชื่อบทบาทสำหรับ PowerShell คือ DNS

ไฮเปอร์-วี

ด้วยบทบาท Hyper-V คุณสามารถสร้างและจัดการสภาพแวดล้อมเสมือนจริงได้ เป็นเครื่องมือสำหรับสร้างและจัดการเครื่องเสมือน

ชื่อบทบาทสำหรับ Windows PowerShell คือ Hyper-V

การรับรองความสมบูรณ์ของอุปกรณ์

บทบาท " » ช่วยให้คุณสามารถประเมินความสมบูรณ์ของอุปกรณ์ตามตัวบ่งชี้ที่วัดได้ของพารามิเตอร์ความปลอดภัย เช่น ตัวบ่งชี้สถานะของการบูตแบบปลอดภัยและ Bitlocker บนไคลเอ็นต์

สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบริการและส่วนประกอบของบทบาทจำนวนมาก ตัวอย่างเช่น: บริการหลายอย่างจากบทบาท " เว็บเซิร์ฟเวอร์ (IIS)", ส่วนประกอบ " ", ส่วนประกอบ " คุณสมบัติ .NET Framework 4.6».

ระหว่างการติดตั้ง บริการและคุณลักษณะที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติ บทบาท " การรับรองความสมบูรณ์ของอุปกรณ์» ไม่มีบริการตามบทบาท

ชื่อสำหรับ PowerShell คือ DeviceHealthAttestationService

เว็บเซิร์ฟเวอร์ (IIS)

จัดเตรียมโครงสร้างพื้นฐานเว็บแอปพลิเคชันที่เชื่อถือได้ จัดการได้ และปรับขนาดได้ ประกอบด้วยบริการจำนวนมากพอสมควร (43)

ชื่อสำหรับ Windows PowerShell คือเว็บเซิร์ฟเวอร์

รวมบริการบทบาทต่อไปนี้ ( ในวงเล็บ ฉันจะระบุชื่อสำหรับ Windows PowerShell):

เว็บเซิร์ฟเวอร์ (Web-Web Server)- กลุ่มบริการบทบาทที่ให้การสนับสนุนเว็บไซต์ HTML, ส่วนขยาย ASP.NET, ASP และเว็บเซิร์ฟเวอร์ ประกอบด้วยบริการดังต่อไปนี้:

• ความปลอดภัย (ความปลอดภัยของเว็บ)- ชุดบริการเพื่อความปลอดภัยของเว็บเซิร์ฟเวอร์
  • การกรองคำขอ (การกรองเว็บ) - โดยใช้เครื่องมือเหล่านี้ คุณสามารถประมวลผลคำขอทั้งหมดที่มาถึงเซิร์ฟเวอร์และกรองคำขอเหล่านี้ตามกฎพิเศษที่กำหนดโดยผู้ดูแลเว็บเซิร์ฟเวอร์
  • ข้อจำกัดที่อยู่ IP และโดเมน (Web-IP-Security) - เครื่องมือเหล่านี้อนุญาตให้คุณอนุญาตหรือปฏิเสธการเข้าถึงเนื้อหาบนเว็บเซิร์ฟเวอร์ตามที่อยู่ IP หรือชื่อโดเมนของแหล่งที่มาในคำขอ
  • การอนุญาต URL (Web-Url-Auth) - เครื่องมือช่วยให้คุณพัฒนากฎเพื่อจำกัดการเข้าถึงเนื้อหาเว็บและเชื่อมโยงกับผู้ใช้ กลุ่ม หรือคำสั่งส่วนหัว HTTP
  • Digest Authentication (Web-Digest-Auth) - การรับรองความถูกต้องนี้มีความปลอดภัยในระดับที่สูงกว่าการรับรองความถูกต้องพื้นฐาน การรับรองความถูกต้องแยกย่อยสำหรับการรับรองความถูกต้องของผู้ใช้ทำงานเหมือนกับการส่งผ่านแฮชรหัสผ่านไปยังตัวควบคุมโดเมนของ Windows;
  • การรับรองความถูกต้องพื้นฐาน (Web-Basic-Auth) - วิธีการรับรองความถูกต้องนี้ให้ความเข้ากันได้ของเว็บเบราว์เซอร์ที่แข็งแกร่ง ขอแนะนำให้ใช้ในเครือข่ายภายในขนาดเล็ก ข้อเสียเปรียบหลักของวิธีนี้คือรหัสผ่านที่ส่งผ่านเครือข่ายสามารถถูกสกัดกั้นและถอดรหัสได้ค่อนข้างง่าย ดังนั้นให้ใช้วิธีนี้ร่วมกับ SSL
  • Windows Authentication (Web-Windows-Auth) เป็นการรับรองความถูกต้องตามการรับรองความถูกต้องของโดเมน Windows คุณสามารถใช้บัญชี Active Directory เพื่อรับรองความถูกต้องของผู้ใช้เว็บไซต์ของคุณ
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ (เว็บไคลเอ็นต์-Auth) - วิธีการตรวจสอบความถูกต้องนี้ใช้ใบรับรองไคลเอ็นต์ ประเภทนี้ใช้บริการ Active Directory เพื่อให้การแมปใบรับรอง
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ IIS (Web-Cert-Auth) - วิธีนี้ยังใช้ใบรับรองไคลเอ็นต์สำหรับการตรวจสอบสิทธิ์ แต่ใช้ IIS เพื่อให้การแมปใบรับรอง ประเภทนี้ให้ประสิทธิภาพที่ดีกว่า
  • รองรับใบรับรอง SSL แบบรวมศูนย์ (Web-CertProvider) - เครื่องมือเหล่านี้ช่วยให้คุณจัดการใบรับรองเซิร์ฟเวอร์ SSL จากส่วนกลาง ซึ่งช่วยลดความยุ่งยากในกระบวนการจัดการใบรับรองเหล่านี้
• ความสามารถในการให้บริการและการวินิจฉัย (สถานภาพบนเว็บ)– ชุดบริการสำหรับตรวจสอบ จัดการ และแก้ไขปัญหาเว็บเซิร์ฟเวอร์ เว็บไซต์ และแอปพลิเคชัน:
  • การบันทึก http (การบันทึกเว็บ HTTP) - เครื่องมือจัดเตรียมการบันทึกกิจกรรมเว็บไซต์บนเซิร์ฟเวอร์ที่กำหนด เช่น รายการบันทึก;
  • การบันทึก ODBC (การบันทึกเว็บ ODBC) – เครื่องมือเหล่านี้ยังมีการบันทึกกิจกรรมบนเว็บไซต์ แต่สนับสนุนการบันทึกกิจกรรมนั้นไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
  • การตรวจสอบคำขอ (Web-Request-Monitor) เป็นเครื่องมือที่ช่วยให้คุณตรวจสอบความสมบูรณ์ของเว็บแอปพลิเคชันโดยการสกัดกั้นข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
  • การบันทึกแบบกำหนดเอง (การบันทึกเว็บแบบกำหนดเอง) - การใช้เครื่องมือเหล่านี้ คุณสามารถกำหนดค่าการบันทึกกิจกรรมเว็บเซิร์ฟเวอร์ในรูปแบบที่แตกต่างจากรูปแบบ IIS มาตรฐานอย่างมาก คุณสามารถสร้างโมดูลการบันทึกของคุณเองได้
  • เครื่องมือบันทึก (Web-Log-Libraries) เป็นเครื่องมือสำหรับจัดการบันทึกเว็บเซิร์ฟเวอร์และทำงานบันทึกโดยอัตโนมัติ
  • Tracing (Web-Http-Tracing) เป็นเครื่องมือสำหรับวินิจฉัยและแก้ไขการละเมิดในเว็บแอปพลิเคชัน
• http ฟังก์ชันทั่วไป (เว็บทั่วไป HTTP)– ชุดบริการที่มีฟังก์ชัน HTTP พื้นฐาน:
  • เอกสารเริ่มต้น (Web-Default-Doc) - คุณสมบัตินี้ช่วยให้คุณกำหนดค่าเว็บเซิร์ฟเวอร์ให้ส่งคืนเอกสารเริ่มต้นเมื่อผู้ใช้ไม่ได้ระบุเอกสารเฉพาะใน URL คำขอ ทำให้ผู้ใช้เข้าถึงเว็บไซต์ได้ง่ายขึ้น ตัวอย่างเช่น โดย โดเมนโดยไม่ระบุไฟล์
  • Directory Browsing (Web-Dir-Browsing) - เครื่องมือนี้สามารถใช้เพื่อกำหนดค่าเว็บเซิร์ฟเวอร์เพื่อให้ผู้ใช้สามารถดูรายการไดเร็กทอรีและไฟล์ทั้งหมดบนเว็บไซต์ ตัวอย่างเช่น สำหรับกรณีที่ผู้ใช้ไม่ได้ระบุไฟล์ใน URL คำขอ และเอกสารเริ่มต้นถูกปิดใช้งานหรือไม่ได้กำหนดค่า
  • ข้อผิดพลาด http (ข้อผิดพลาด Web-Http) - คุณสมบัตินี้ช่วยให้คุณกำหนดค่าข้อความแสดงข้อผิดพลาดที่จะส่งคืนไปยังเว็บเบราว์เซอร์ของผู้ใช้เมื่อเว็บเซิร์ฟเวอร์ตรวจพบข้อผิดพลาด เครื่องมือนี้ใช้เพื่อนำเสนอข้อความแสดงข้อผิดพลาดแก่ผู้ใช้ได้ง่ายขึ้น
  • เนื้อหาคงที่ (Web-Static-Content) - เครื่องมือนี้ช่วยให้คุณใช้เนื้อหาบนเว็บเซิร์ฟเวอร์ในรูปแบบของรูปแบบไฟล์คงที่เช่นไฟล์ HTML หรือไฟล์รูปภาพ
  • เปลี่ยนเส้นทาง http (เปลี่ยนเส้นทางเว็บ HTTP) - เมื่อใช้คุณสมบัตินี้ คุณสามารถเปลี่ยนเส้นทางคำขอของผู้ใช้ไปยังปลายทางเฉพาะได้ เช่น นี่คือการเปลี่ยนเส้นทาง
  • WebDAV Publishing (Web-DAV-Publishing) - อนุญาตให้คุณใช้เทคโนโลยี WebDAV บนเซิร์ฟเวอร์ IIS WEB เว็บDAV ( การเขียนแบบกระจายเว็บและการกำหนดเวอร์ชัน) เป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถทำงานร่วมกันได้ ( อ่าน แก้ไข อ่านคุณสมบัติ คัดลอก ย้าย) บนไฟล์บนเว็บเซิร์ฟเวอร์ระยะไกลโดยใช้โปรโตคอล HTTP
• ประสิทธิภาพ (ประสิทธิภาพของเว็บ)- ชุดบริการเพื่อให้ได้ประสิทธิภาพของเว็บเซิร์ฟเวอร์ที่สูงขึ้น ผ่านการแคชเอาต์พุตและกลไกการบีบอัดทั่วไป เช่น Gzip และ Deflate:
  • Static Content Compression (Web-Stat-Compression) เป็นเครื่องมือในการปรับแต่งการบีบอัดเนื้อหา http แบบคงที่ ซึ่งช่วยให้ใช้แบนด์วิธได้อย่างมีประสิทธิภาพมากขึ้น ในขณะที่ไม่ต้องโหลด CPU โดยไม่จำเป็น
  • การบีบอัดเนื้อหาแบบไดนามิก (Web-Dyn-Compression) เป็นเครื่องมือสำหรับกำหนดค่าการบีบอัดเนื้อหา HTTP แบบไดนามิก เครื่องมือนี้ช่วยให้ใช้แบนด์วิธได้อย่างมีประสิทธิภาพมากขึ้น แต่ในกรณีนี้ โหลด CPU ของเซิร์ฟเวอร์ที่เกี่ยวข้องกับการบีบอัดแบบไดนามิกอาจทำให้ไซต์ทำงานช้าลงหากโหลด CPU สูงแม้ว่าจะไม่มีการบีบอัดก็ตาม
• การพัฒนาแอปพลิเคชัน (Web-App-Dev)- ชุดบริการและเครื่องมือสำหรับการพัฒนาและโฮสต์เว็บแอปพลิเคชัน หรืออีกนัยหนึ่งคือเทคโนโลยีการพัฒนาเว็บไซต์:
  • ASP (Web-ASP) เป็นสภาพแวดล้อมสำหรับสนับสนุนและพัฒนาเว็บไซต์และเว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP ในขณะนี้มีเทคโนโลยีการพัฒนาเว็บไซต์ที่ใหม่กว่าและทันสมัยกว่า - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) เป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP.NET
  • ASP.NET 4.6 (Web-Asp-Net45) ยังเป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้ ASP.NET เวอร์ชันใหม่
  • CGI (Web-CGI) คือความสามารถในการใช้ CGI เพื่อส่งผ่านข้อมูลจากเว็บเซิร์ฟเวอร์ไปยังโปรแกรมภายนอก CGI เป็นมาตรฐานอินเทอร์เฟซประเภทหนึ่งสำหรับเชื่อมต่อโปรแกรมภายนอกกับเว็บเซิร์ฟเวอร์ มีข้อเสียคือการใช้ CGI ส่งผลต่อประสิทธิภาพ
  • การรวมฝั่งเซิร์ฟเวอร์ (SSI) (การรวมเว็บ) รองรับภาษาสคริปต์ SSI ( เปิดใช้งานฝั่งเซิร์ฟเวอร์) ซึ่งใช้เพื่อสร้างหน้า HTML แบบไดนามิก
  • การเริ่มต้นแอปพลิเคชัน (Web-AppInit) - เครื่องมือนี้ทำงานของการเริ่มต้นเว็บแอปพลิเคชันก่อนที่จะส่งหน้าเว็บ
  • โปรโตคอล WebSocket (Web-WebSockets) - เพิ่มความสามารถในการสร้างแอปพลิเคชันเซิร์ฟเวอร์ที่สื่อสารโดยใช้โปรโตคอล WebSocket WebSocket เป็นโปรโตคอลที่สามารถส่งและรับข้อมูลพร้อมกันระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์ผ่านการเชื่อมต่อ TCP ซึ่งเป็นส่วนขยายชนิดหนึ่งของโปรโตคอล HTTP
  • ส่วนขยาย ISAPI (Web-ISAPI-Ext) - รองรับการพัฒนาเนื้อหาเว็บแบบไดนามิกโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน ISAPI ISAPI เป็น API สำหรับเว็บเซิร์ฟเวอร์ IIS แอปพลิเคชัน ISAPI เร็วกว่าไฟล์ ASP หรือไฟล์ที่เรียกคอมโพเนนต์ COM+ มาก
  • ความสามารถในการขยาย .NET 3.5 (Web-Net-Ext) เป็นคุณลักษณะการขยาย .NET 3.5 ที่ช่วยให้คุณสามารถปรับเปลี่ยน เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ตลอดกระบวนการประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
  • ความสามารถในการขยาย .NET 4.6 (Web-Net-Ext45) เป็นคุณลักษณะความสามารถในการขยาย .NET 4.6 ที่ยังช่วยให้คุณสามารถแก้ไข เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ทั่วทั้งไปป์ไลน์การประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
  • ตัวกรอง ISAPI (ตัวกรองเว็บ ISAPI) - เพิ่มการรองรับตัวกรอง ISAPI ตัวกรอง ISAPI เป็นโปรแกรมที่เรียกใช้เมื่อเว็บเซิร์ฟเวอร์ได้รับคำขอ HTTP เฉพาะที่จะดำเนินการโดยตัวกรองนี้

FTP - เซิร์ฟเวอร์ (เว็บ-Ftp-เซิร์ฟเวอร์)– บริการที่ให้การสนับสนุนโปรโตคอล FTP เราได้พูดคุยรายละเอียดเพิ่มเติมเกี่ยวกับเซิร์ฟเวอร์ FTP ในเนื้อหา - "การติดตั้งและกำหนดค่าเซิร์ฟเวอร์ FTP บน Windows Server 2016" ประกอบด้วยบริการดังต่อไปนี้:

• บริการ FTP (Web-Ftp-Service) - เพิ่มการรองรับโปรโตคอล FTP บนเว็บเซิร์ฟเวอร์
• ความสามารถในการขยาย FTP (Web-Ftp-Ext) - ขยายความสามารถมาตรฐานของ FTP เช่น การเพิ่มการรองรับคุณสมบัติต่างๆ เช่น ผู้ให้บริการแบบกำหนดเอง ผู้ใช้ ASP.NET หรือผู้ใช้ตัวจัดการ IIS

เครื่องมือการจัดการ (Web-Mgmt-Tools)เป็นเครื่องมือการจัดการสำหรับเว็บเซิร์ฟเวอร์ IIS 10 ซึ่งรวมถึง: อินเทอร์เฟซผู้ใช้ IIS เครื่องมือบรรทัดคำสั่ง และสคริปต์

• IIS Management Console (Web-Mgmt-Console) เป็นส่วนติดต่อผู้ใช้สำหรับจัดการ IIS;
• ชุดอักขระและเครื่องมือจัดการ IIS (Web-Scripting-Tools) เป็นเครื่องมือและสคริปต์สำหรับจัดการ IIS โดยใช้บรรทัดคำสั่งหรือสคริปต์ ตัวอย่างเช่นสามารถใช้เพื่อทำให้การควบคุมเป็นไปโดยอัตโนมัติ
• บริการการจัดการ (Web-Mgmt-Service) - บริการนี้เพิ่มความสามารถในการจัดการเว็บเซิร์ฟเวอร์จากระยะไกลจากคอมพิวเตอร์เครื่องอื่นโดยใช้ IIS Manager
• การจัดการความเข้ากันได้ของ IIS 6 (Web-Mgmt-Compat) - ให้ความเข้ากันได้สำหรับแอปพลิเคชันและสคริปต์ที่ใช้ IIS API สองตัว สามารถใช้สคริปต์ IIS 6 ที่มีอยู่เพื่อจัดการเว็บเซิร์ฟเวอร์ IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) เป็นเครื่องมือความเข้ากันได้ที่ช่วยให้คุณเรียกใช้แอปพลิเคชันและชุดอักขระที่ย้ายจาก IIS เวอร์ชันก่อนหน้า
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - เครื่องมือเหล่านี้ช่วยให้คุณสามารถใช้บริการการเขียนสคริปต์ IIS 6 แบบเดียวกับที่สร้างขึ้นเพื่อจัดการ IIS 6 ใน IIS 10
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) เป็นเครื่องมือสำหรับจัดการเซิร์ฟเวอร์ IIS 6.0 ระยะไกล
  • ความเข้ากันได้ของ IIS 6 WMI (Web-WMI) เป็นอินเทอร์เฟซการเขียนสคริปต์ Windows Management Instrumentation (WMI) สำหรับการควบคุมทางโปรแกรมและการทำงานอัตโนมัติของเว็บเซิร์ฟเวอร์ IIS 10.0 โดยใช้ชุดของสคริปต์ที่สร้างขึ้นในผู้ให้บริการ WMI

บริการโดเมน Active Directory

บทบาท " บริการโดเมน Active Directory» (AD DS) จัดเตรียมฐานข้อมูลแบบกระจายที่จัดเก็บและประมวลผลข้อมูลเกี่ยวกับทรัพยากรเครือข่าย บทบาทนี้ใช้เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างการบรรจุแบบลำดับชั้น โครงสร้างลำดับชั้นประกอบด้วยฟอเรสต์ โดเมนภายในฟอเรสต์ และหน่วยองค์กร (OU) ภายในแต่ละโดเมน เซิร์ฟเวอร์ที่ใช้ AD DS เรียกว่าตัวควบคุมโดเมน

ชื่อบทบาทสำหรับ Windows PowerShell คือ AD-Domain-Services

โหมด Windows Server Essentials

บทบาทนี้เป็นโครงสร้างพื้นฐานของคอมพิวเตอร์และมีคุณสมบัติที่สะดวกและมีประสิทธิภาพ เช่น: การจัดเก็บข้อมูลไคลเอนต์ในตำแหน่งศูนย์กลางและปกป้องข้อมูลนี้โดยการสำรองข้อมูลเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอ็นต์ การเข้าถึงเว็บระยะไกล ซึ่งช่วยให้คุณเข้าถึงข้อมูลจากอุปกรณ์แทบทุกเครื่อง . บทบาทนี้ต้องการบริการและคุณสมบัติหลายบทบาท ตัวอย่างเช่น คุณสมบัติ BranchCache, Windows Server Backup, Group Policy Management, Role Service " DFS เนมสเปซ».

ชื่อสำหรับ PowerShell คือ ServerEssentialsRole

ตัวควบคุมเครือข่าย

เปิดตัวใน Windows Server 2016 บทบาทนี้ให้จุดเดียวของระบบอัตโนมัติสำหรับการจัดการ ตรวจสอบ และวินิจฉัยโครงสร้างพื้นฐานเครือข่ายจริงและเสมือนในศูนย์ข้อมูล เมื่อใช้บทบาทนี้ คุณสามารถกำหนดค่าเครือข่ายย่อย IP, VLAN, อะแดปเตอร์เครือข่ายจริงของโฮสต์ Hyper-V จากจุดเดียว, จัดการสวิตช์เสมือน, เราเตอร์จริง, การตั้งค่าไฟร์วอลล์และเกตเวย์ VPN

ชื่อของ Windows PowerShell คือ NetworkController

บริการโหนดการ์เดี้ยน

นี่คือบทบาทเซิร์ฟเวอร์ Hosted Guardian Service (HGS) และให้บริการการรับรองและการป้องกันคีย์ที่อนุญาตให้โฮสต์ที่ได้รับการป้องกันเรียกใช้เครื่องเสมือนที่มีการป้องกัน สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบทบาทและคอมโพเนนต์เพิ่มเติมหลายรายการ ตัวอย่างเช่น: Active Directory Domain Services, Web Server (IIS), the " การทำคลัสเตอร์ล้มเหลว" และคนอื่น ๆ.

ชื่อของ PowerShell คือ HostGuardianServiceRole

Active Directory บริการไดเรกทอรีน้ำหนักเบา

บทบาท " Active Directory บริการไดเรกทอรีน้ำหนักเบา» (AD LDS) เป็น AD DS รุ่นที่มีน้ำหนักเบาซึ่งมีฟังก์ชันการทำงานน้อยกว่า แต่ไม่ต้องการการปรับใช้โดเมนหรือตัวควบคุมโดเมน และไม่มีการขึ้นต่อกันและข้อจำกัดของโดเมนที่ AD DS กำหนด AD LDS ทำงานบนโปรโตคอล LDAP ( โปรโตคอลการเข้าถึงไดเรกทอรีที่มีน้ำหนักเบา). คุณสามารถปรับใช้อินสแตนซ์ AD LDS หลายรายการบนเซิร์ฟเวอร์เดียวกันด้วยสกีมาที่มีการจัดการโดยอิสระ

ชื่อของ PowerShell คือ ADLDS

บริการหลายจุด

นอกจากนี้ยังเป็นบทบาทใหม่ใน Windows Server 2016 บริการ MultiPoint (MPS) มีฟังก์ชันเดสก์ท็อประยะไกลพื้นฐานที่ช่วยให้ผู้ใช้หลายคนทำงานพร้อมกันและเป็นอิสระจากกันบนคอมพิวเตอร์เครื่องเดียวกัน ในการติดตั้งและใช้งานบทบาทนี้ คุณต้องติดตั้งบริการและส่วนประกอบเพิ่มเติมหลายอย่าง เช่น: Print Server, Windows Search Service, XPS Viewer และอื่นๆ ซึ่งทั้งหมดนี้จะถูกเลือกโดยอัตโนมัติระหว่างการติดตั้ง MPS

ชื่อของบทบาทสำหรับ PowerShell คือ MultiPointServerRole

บริการอัพเดต Windows Server

ด้วยบทบาทนี้ (WSUS) ผู้ดูแลระบบสามารถจัดการการอัปเดตของ Microsoft ตัวอย่างเช่น สร้างกลุ่มคอมพิวเตอร์แยกต่างหากสำหรับการอัปเดตชุดต่างๆ รวมถึงรับรายงานเกี่ยวกับความสอดคล้องของคอมพิวเตอร์กับข้อกำหนดและการอัปเดตที่จำเป็นต้องติดตั้ง เพื่อการทำงาน" บริการอัพเดต Windows Server» คุณต้องใช้บริการและส่วนประกอบตามบทบาทเช่น: เว็บเซิร์ฟเวอร์ (IIS), Windows Internal Database, Windows Process Activation Service

ชื่อสำหรับ Windows PowerShell คือ UpdateServices

• การเชื่อมต่อ WID (UpdateServices-WidDB) - ตั้งค่าเป็น WID ( ฐานข้อมูลภายใน Windows) ฐานข้อมูลที่ใช้โดย WSUS กล่าวอีกนัยหนึ่ง WSUS จะจัดเก็บข้อมูลบริการไว้ใน WID
• WSUS Services (UpdateServices-Services) คือบริการตามบทบาท WSUS เช่น Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service and DSS Authentication Web Service;
• การเชื่อมต่อเซิร์ฟเวอร์ SQL (UpdateServices-DB) คือการติดตั้งคอมโพเนนต์ที่อนุญาตให้บริการ WSUS เชื่อมต่อกับฐานข้อมูล Microsoft SQL Server ตัวเลือกนี้มีไว้สำหรับการจัดเก็บข้อมูลบริการในฐานข้อมูล Microsoft SQL Server ในกรณีนี้ คุณต้องติดตั้ง SQL Server อย่างน้อยหนึ่งอินสแตนซ์

บริการเปิดใช้งาน Volume License

ด้วยบทบาทเซิร์ฟเวอร์นี้ คุณสามารถทำให้การออก Volume License สำหรับซอฟต์แวร์จาก Microsoft เป็นไปโดยอัตโนมัติและลดความซับซ้อน และยังช่วยให้คุณจัดการใบอนุญาตเหล่านี้ได้อีกด้วย

ชื่อสำหรับ PowerShell คือ VolumeActivation

บริการสิ่งพิมพ์และเอกสาร

บทบาทเซิร์ฟเวอร์นี้ออกแบบมาเพื่อแชร์เครื่องพิมพ์และสแกนเนอร์บนเครือข่าย เพื่อกำหนดค่าและจัดการเซิร์ฟเวอร์การพิมพ์และสแกนจากส่วนกลาง และเพื่อจัดการเครื่องพิมพ์และสแกนเนอร์เครือข่าย บริการพิมพ์และเอกสารยังช่วยให้คุณสามารถส่งเอกสารที่สแกนผ่านทางอีเมล ไปยังเครือข่ายที่ใช้ร่วมกัน หรือไปยังไซต์ Windows SharePoint Services

ชื่อสำหรับ PowerShell คือ Print-Services

• เซิร์ฟเวอร์การพิมพ์ (เซิร์ฟเวอร์การพิมพ์) - บริการบทบาทนี้รวมถึง " การจัดการการพิมพ์” ซึ่งใช้ในการจัดการเครื่องพิมพ์หรือเซิร์ฟเวอร์การพิมพ์ เช่นเดียวกับการโยกย้ายเครื่องพิมพ์และเซิร์ฟเวอร์การพิมพ์อื่นๆ
• การพิมพ์ผ่านอินเทอร์เน็ต (Print-Internet) - หากต้องการดำเนินการพิมพ์ผ่านอินเทอร์เน็ต เว็บไซต์จะถูกสร้างขึ้นโดยที่ผู้ใช้สามารถจัดการงานพิมพ์บนเซิร์ฟเวอร์ได้ เพื่อให้บริการนี้ใช้งานได้ตามที่คุณเข้าใจ คุณต้องติดตั้ง " เว็บเซิร์ฟเวอร์ (IIS)". คอมโพเนนต์ที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติเมื่อคุณทำเครื่องหมายที่ช่องนี้ในระหว่างขั้นตอนการติดตั้งบริการบทบาท " การพิมพ์ทางอินเทอร์เน็ต»;
• Distributed Scan Server (Print-Scan-Server) เป็นบริการที่ช่วยให้คุณได้รับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและส่งไปยังปลายทาง บริการนี้ยังมี " การจัดการการสแกน” ซึ่งใช้ในการจัดการเครื่องสแกนเครือข่ายและกำหนดค่าการสแกน
• LPD Service (พิมพ์-LPD-Service) - บริการ LPD ( Line Printer Daemon) อนุญาตให้คอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์อื่นๆ ที่ใช้บริการ Line Printer Remote (LPR) พิมพ์ไปยังเครื่องพิมพ์ที่ใช้ร่วมกันของเซิร์ฟเวอร์

นโยบายเครือข่ายและบริการการเข้าถึง

บทบาท " » (NPAS) อนุญาตให้ Network Policy Server (NPS) ตั้งค่าและบังคับใช้การเข้าถึงเครือข่าย การรับรองความถูกต้องและการให้สิทธิ์ และนโยบายสถานภาพของไคลเอ็นต์ หรืออีกนัยหนึ่งคือ รักษาความปลอดภัยเครือข่าย

ชื่อสำหรับ Windows PowerShell คือ NPAS

บริการการปรับใช้ Windows

ด้วยบทบาทนี้ คุณสามารถติดตั้งระบบปฏิบัติการ Windows จากระยะไกลผ่านเครือข่ายได้

ชื่อบทบาทสำหรับ PowerShell คือ WDS

• Deployment Server (WDS-Deployment) - บริการบทบาทนี้ออกแบบมาสำหรับการปรับใช้ระยะไกลและการกำหนดค่าของระบบปฏิบัติการ Windows นอกจากนี้ยังช่วยให้คุณสร้างและปรับแต่งรูปภาพเพื่อใช้ซ้ำได้
• เซิร์ฟเวอร์การขนส่ง (WDS-Transport) - บริการนี้มีส่วนประกอบเครือข่ายพื้นฐานซึ่งคุณสามารถถ่ายโอนข้อมูลโดยมัลติคาสต์บนเซิร์ฟเวอร์แบบสแตนด์อโลน

บริการใบรับรอง Active Directory

บทบาทนี้มีไว้เพื่อสร้างผู้ออกใบรับรองและบริการตามบทบาทที่เกี่ยวข้อง ซึ่งอนุญาตให้คุณออกและจัดการใบรับรองสำหรับแอปพลิเคชันต่างๆ

ชื่อสำหรับ Windows PowerShell คือ AD-Certificate

รวมบริการบทบาทต่อไปนี้:

• ผู้ออกใบรับรอง (ADCS-Cert-Authority) - เมื่อใช้บริการบทบาทนี้ คุณสามารถออกใบรับรองให้กับผู้ใช้ คอมพิวเตอร์ และบริการ ตลอดจนจัดการความถูกต้องของใบรับรอง
• บริการเว็บนโยบายการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Pol) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์รับข้อมูลนโยบายการลงทะเบียนใบรับรองจากเว็บเบราว์เซอร์ แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม มันเป็นสิ่งจำเป็นสำหรับการทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการเว็บการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Svc) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์ลงทะเบียนและต่ออายุใบรับรองโดยใช้เว็บเบราว์เซอร์ผ่าน HTTPS แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม นอกจากนี้ยังจำเป็นต้องทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
• การตอบกลับออนไลน์ (ADCS-Online-Cert) - บริการนี้ได้รับการออกแบบมาเพื่อตรวจสอบการเพิกถอนใบรับรองสำหรับลูกค้า กล่าวอีกนัยหนึ่งคือ ยอมรับคำขอสถานะการเพิกถอนสำหรับใบรับรองเฉพาะ ประเมินสถานะของใบรับรองเหล่านั้น และส่งการตอบกลับที่ลงชื่อกลับพร้อมข้อมูลเกี่ยวกับสถานะ เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการลงทะเบียนเว็บของผู้ออกใบรับรอง (ADCS-Web-Enrollment) - บริการนี้มีเว็บอินเทอร์เฟซสำหรับผู้ใช้เพื่อดำเนินการต่างๆ เช่น การร้องขอและการต่ออายุใบรับรอง การรับ CRL และการลงทะเบียนใบรับรองสมาร์ทการ์ด เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
• บริการลงทะเบียนอุปกรณ์เครือข่าย (ADCS-Device-Enrollment)—เมื่อใช้บริการนี้ คุณสามารถออกและจัดการใบรับรองสำหรับเราเตอร์และอุปกรณ์เครือข่ายอื่นๆ ที่ไม่มีบัญชีเครือข่าย เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)».

บริการเดสก์ท็อประยะไกล

บทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อเข้าถึงเดสก์ท็อปเสมือน เดสก์ท็อปตามเซสชัน และ RemoteApps

ชื่อบทบาทสำหรับ Windows PowerShell คือ Remote-Desktop-Services

ประกอบด้วยบริการดังต่อไปนี้:

• การเข้าถึงเว็บเดสก์ท็อประยะไกล (RDS-Web-Access) - บริการบทบาทนี้อนุญาตให้ผู้ใช้เข้าถึงเดสก์ท็อประยะไกลและแอปพลิเคชัน RemoteApp ผ่าน " เริ่ม» หรือใช้เว็บเบราว์เซอร์
• สิทธิ์ใช้งานเดสก์ท็อประยะไกล (สิทธิ์ใช้งาน RDS) - บริการนี้ออกแบบมาเพื่อจัดการสิทธิ์การใช้งานที่จำเป็นในการเชื่อมต่อกับเซิร์ฟเวอร์โฮสต์เซสชันเดสก์ท็อประยะไกลหรือเดสก์ท็อปเสมือน สามารถใช้ในการติดตั้ง ออกใบอนุญาต และติดตามความพร้อมใช้งาน บริการนี้ต้องการ " เว็บเซิร์ฟเวอร์ (IIS)»;
• นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล (RDS-Connection-Broker) เป็นบริการตามบทบาทที่มีความสามารถดังต่อไปนี้: เชื่อมต่อผู้ใช้อีกครั้งกับเดสก์ท็อปเสมือนที่มีอยู่ แอปพลิเคชัน RemoteApp และเดสก์ท็อปตามเซสชัน ตลอดจนโหลดบาลานซ์ระหว่างเดสก์ท็อปเซิร์ฟเวอร์โฮสต์เซสชันระยะไกล หรือระหว่างเดสก์ท็อปเสมือนแบบพูล บริการนี้ต้องการ " »;
• Remote Desktop Virtualization Host (DS-Virtualization) - บริการนี้อนุญาตให้ผู้ใช้เชื่อมต่อกับเดสก์ท็อปเสมือนโดยใช้ RemoteApp และ Desktop Connection บริการนี้ทำงานร่วมกับ Hyper-V เช่น ต้องติดตั้งบทบาทนี้
• โฮสต์เซสชันเดสก์ท็อประยะไกล (RDS-RD-เซิร์ฟเวอร์) - บริการนี้สามารถโฮสต์แอปพลิเคชัน RemoteApp และเดสก์ท็อปที่ใช้เซสชันบนเซิร์ฟเวอร์ การเข้าถึงผ่านไคลเอนต์ Remote Desktop Connection หรือ RemoteApps
• Remote Desktop Gateway (RDS-Gateway) - บริการนี้ช่วยให้ผู้ใช้ระยะไกลที่ได้รับอนุญาตสามารถเชื่อมต่อกับเดสก์ท็อปเสมือน, RemoteApps และเดสก์ท็อปที่ใช้เซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต บริการนี้ต้องการบริการและส่วนประกอบเพิ่มเติมดังต่อไปนี้: เว็บเซิร์ฟเวอร์ (IIS)», « นโยบายเครือข่ายและบริการการเข้าถึง», « RPC ผ่านพร็อกซี HTTP».

AD RMS

นี่คือบทบาทของเซิร์ฟเวอร์ที่จะช่วยให้คุณสามารถปกป้องข้อมูลจากการใช้งานโดยไม่ได้รับอนุญาต ตรวจสอบตัวตนของผู้ใช้และให้สิทธิ์การใช้งานแก่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลที่ได้รับการป้องกัน บทบาทนี้ต้องการบริการและส่วนประกอบเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « บริการเปิดใช้งานกระบวนการของ Windows», « คุณสมบัติ .NET Framework 4.6».

ชื่อสำหรับ Windows PowerShell คือ ADRMS

• Active Directory Rights Management Server (ADRMS-Server) - บริการบทบาทหลักที่จำเป็นสำหรับการติดตั้ง
• Identity Federation Support (ADRMS-Identity) เป็นบริการเสริมตามบทบาทที่ช่วยให้ข้อมูลประจำตัวที่เชื่อมโยงสามารถใช้เนื้อหาที่มีการป้องกันโดยใช้ Active Directory Federation Services

AD FS

บทบาทนี้มอบฟังก์ชันการรวมข้อมูลประจำตัวที่ง่ายและปลอดภัยและการลงชื่อเข้าใช้ครั้งเดียว (SSO) ไปยังเว็บไซต์โดยใช้เบราว์เซอร์

ชื่อสำหรับ PowerShell คือ ADFS-Federation

การเข้าถึงระยะไกล

บทบาทนี้มีการเชื่อมต่อผ่าน DirectAccess, VPN และ Web Application Proxy บทบาทอีกด้วย การเข้าถึงระยะไกล"ให้ความสามารถในการกำหนดเส้นทางแบบดั้งเดิม รวมถึงการแปลที่อยู่เครือข่าย (NAT) และตัวเลือกการเชื่อมต่ออื่นๆ บทบาทนี้ต้องการบริการและคุณสมบัติเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « ฐานข้อมูลภายใน Windows».

ชื่อบทบาทสำหรับ Windows PowerShell คือ RemoteAccess

• DirectAccess และ VPN (RAS) (DirectAccess-VPN) - บริการนี้ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายองค์กรได้ตลอดเวลาด้วยการเข้าถึงอินเทอร์เน็ตผ่าน DirectAccess รวมถึงจัดระเบียบการเชื่อมต่อ VPN ร่วมกับเทคโนโลยีการขุดอุโมงค์และการเข้ารหัสข้อมูล
• การกำหนดเส้นทาง (การกำหนดเส้นทาง) - บริการนี้ให้การสนับสนุนเราเตอร์ NAT, เราเตอร์ LAN พร้อมโปรโตคอล BGP, โปรโตคอล RIP และเราเตอร์ที่รองรับมัลติคาสต์ (พร็อกซี IGMP)
• พร็อกซีแอปพลิเคชันเว็บ (เว็บแอปพลิเคชันพร็อกซี) - บริการนี้อนุญาตให้คุณเผยแพร่แอปพลิเคชันตามโปรโตคอล HTTP และ HTTPS จากเครือข่ายองค์กรไปยังอุปกรณ์ไคลเอ็นต์ที่อยู่นอกเครือข่ายองค์กร

บริการไฟล์และที่เก็บข้อมูล

นี่คือบทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อแชร์ไฟล์และโฟลเดอร์ จัดการและควบคุมการแชร์ จำลองไฟล์ ค้นหาไฟล์อย่างรวดเร็ว และให้สิทธิ์การเข้าถึงแก่คอมพิวเตอร์ไคลเอนต์ UNIX เราได้กล่าวถึงบริการไฟล์และโดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์ไฟล์ในรายละเอียดเพิ่มเติมในเนื้อหา "การติดตั้งเซิร์ฟเวอร์ไฟล์ (File Server) บน Windows Server 2016"

ชื่อสำหรับ Windows PowerShell คือ FileAndStorage-Services

บริการจัดเก็บ- บริการนี้มีฟังก์ชันการจัดการพื้นที่เก็บข้อมูลที่ติดตั้งอยู่เสมอและไม่สามารถลบออกได้

บริการไฟล์และบริการ iSCSI (บริการไฟล์)เป็นเทคโนโลยีที่ทำให้การจัดการเซิร์ฟเวอร์ไฟล์และพื้นที่จัดเก็บง่ายขึ้น ประหยัดเนื้อที่ดิสก์ ให้การจำลองแบบและการแคชไฟล์ในสาขา และยังให้บริการการแชร์ไฟล์ผ่านโปรโตคอล NFS รวมบริการบทบาทต่อไปนี้:

• File Server (FS-FileServer) - บริการตามบทบาทที่จัดการโฟลเดอร์ที่ใช้ร่วมกันและให้ผู้ใช้สามารถเข้าถึงไฟล์บนคอมพิวเตอร์เครื่องนี้ผ่านเครือข่าย
• การขจัดข้อมูลซ้ำซ้อน (FS-Data-Deduplication) - บริการนี้ช่วยประหยัดพื้นที่ดิสก์โดยจัดเก็บข้อมูลที่เหมือนกันเพียงชุดเดียวในโวลุ่ม
• File Server Resource Manager (FS-Resource-Manager) - เมื่อใช้บริการนี้ คุณสามารถจัดการไฟล์และโฟลเดอร์บนเซิร์ฟเวอร์ไฟล์ สร้างรายงานการจัดเก็บ จัดประเภทไฟล์และโฟลเดอร์ กำหนดค่าโควต้าโฟลเดอร์ และกำหนดนโยบายการบล็อกไฟล์
• ผู้ให้บริการพื้นที่เก็บข้อมูลเป้าหมาย iSCSI (ผู้ให้บริการฮาร์ดแวร์ VDS และ VSS) (iSCSItarget-VSS-VDS) - บริการอนุญาตให้แอปพลิเคชันบนเซิร์ฟเวอร์ที่เชื่อมต่อกับเป้าหมาย iSCSI เพื่อเงาสำเนาวอลุ่มบนดิสก์เสมือน iSCSI;
• เนมสเปซ DFS (FS-DFS-เนมสเปซ) - เมื่อใช้บริการนี้ คุณสามารถจัดกลุ่มโฟลเดอร์ที่ใช้ร่วมกันที่โฮสต์บนเซิร์ฟเวอร์ที่แตกต่างกันเป็นเนมสเปซที่มีโครงสร้างเชิงตรรกะอย่างน้อยหนึ่งรายการ
• โฟลเดอร์งาน (FS-SyncShareService) - บริการนี้อนุญาตให้คุณใช้ไฟล์งานบนคอมพิวเตอร์เครื่องอื่น รวมถึงงานและส่วนบุคคล คุณสามารถจัดเก็บไฟล์ของคุณในโฟลเดอร์งาน ซิงโครไนซ์ไฟล์ และเข้าถึงได้จากเครือข่ายท้องถิ่นหรืออินเทอร์เน็ต เพื่อให้บริการทำงานได้ ส่วนประกอบ " IIS เว็บคอร์ในกระบวนการ»;
• DFS Replication (FS-DFS-Replication) เป็นเครื่องมือจำลองข้อมูลหลายเซิร์ฟเวอร์ที่ให้คุณซิงโครไนซ์โฟลเดอร์ผ่านการเชื่อมต่อ LAN หรือ WAN เทคโนโลยีนี้ใช้โปรโตคอล Remote Differential Compression (RDC) เพื่ออัปเดตเฉพาะส่วนของไฟล์ที่มีการเปลี่ยนแปลงตั้งแต่การจำลองแบบครั้งล่าสุด การจำลอง DFS สามารถใช้โดยมีหรือไม่มี DFS Namespaces;
• เซิร์ฟเวอร์สำหรับ NFS (FS-NFS-Service) - บริการนี้อนุญาตให้คอมพิวเตอร์เครื่องนี้แชร์ไฟล์กับคอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์เครื่องอื่นๆ ที่ใช้โปรโตคอล Network File System (NFS)
• เซิร์ฟเวอร์เป้าหมาย iSCSI (FS-iSCSItarget-Server) - ให้บริการและการจัดการสำหรับเป้าหมาย iSCSI
• บริการ BranchCache สำหรับไฟล์เครือข่าย (FS-BranchCache) - บริการนี้ให้การสนับสนุน BranchCache บนเซิร์ฟเวอร์ไฟล์นี้
• File Server VSS Agent Service (FS-VSS-Agent) - บริการนี้อนุญาตสำเนาเงาสำหรับแอปพลิเคชันที่เก็บไฟล์ข้อมูลบนเซิร์ฟเวอร์ไฟล์นี้

แฟกซ์เซิร์ฟเวอร์

บทบาทส่งและรับโทรสาร และอนุญาตให้คุณจัดการทรัพยากรโทรสาร เช่น งาน การตั้งค่า รายงาน และอุปกรณ์โทรสารบนคอมพิวเตอร์เครื่องนี้หรือบนเครือข่าย จำเป็นสำหรับการทำงาน เซิร์ฟเวอร์การพิมพ์».

ชื่อบทบาทสำหรับ Windows PowerShell คือ Fax

การตรวจสอบบทบาทเซิร์ฟเวอร์ Windows Server 2016 เสร็จสมบูรณ์แล้ว ฉันหวังว่าเนื้อหาจะเป็นประโยชน์สำหรับคุณในตอนนี้!

การใช้นโยบายกลุ่ม (ตอนที่ 3)

โดยทั่วไป GPO ถูกกำหนดให้กับคอนเทนเนอร์ (โดเมน ไซต์ หรือ OU) และนำไปใช้กับวัตถุทั้งหมดในคอนเทนเนอร์นั้น ด้วยโครงสร้างโดเมนที่มีการจัดระเบียบเป็นอย่างดี ก็เพียงพอแล้ว แต่บางครั้งก็จำเป็นต้องจำกัดการใช้นโยบายเพิ่มเติมกับกลุ่มวัตถุเฉพาะ สามารถใช้ตัวกรองสองประเภทสำหรับสิ่งนี้

ตัวกรองความปลอดภัย

ตัวกรองความปลอดภัยช่วยให้คุณสามารถจำกัดการใช้นโยบายกับกลุ่มความปลอดภัยเฉพาะได้ ตัวอย่างเช่น ลองใช้ GPO2 ซึ่งใช้เพื่อกำหนดค่าเมนู Start จากส่วนกลางบนเวิร์กสเตชันด้วย Windows 8.1\Windows 10 GPO2 ถูกกำหนดให้กับ OU ของพนักงาน และใช้กับผู้ใช้ทั้งหมดโดยไม่มีข้อยกเว้น

ตอนนี้ไปที่แท็บ "ขอบเขต" ซึ่งในส่วน "การกรองความปลอดภัย" มีการระบุกลุ่มที่สามารถใช้ GPO นี้ได้ ตามค่าเริ่มต้น มีการระบุกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องไว้ที่นี่ ซึ่งหมายความว่าสามารถใช้นโยบายกับ ใครก็ได้ผู้ใช้หรือคอมพิวเตอร์ที่ผ่านการรับรองความถูกต้องกับโดเมนเรียบร้อยแล้ว

ในความเป็นจริง GPO แต่ละรายการมีรายการการเข้าถึงของตนเอง ซึ่งสามารถดูได้ในแท็บการมอบหมาย

ในการใช้นโยบาย วัตถุต้องมีสิทธิ์ในการอ่าน (อ่าน) และนำไปใช้ (ใช้นโยบายกลุ่ม) ซึ่งกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องมี ดังนั้น เพื่อให้นโยบายไม่นำไปใช้กับทุกคน แต่เฉพาะกับกลุ่มใดกลุ่มหนึ่งเท่านั้น จำเป็นต้องลบผู้ใช้ที่ได้รับการรับรองความถูกต้องออกจากรายการ จากนั้นจึงเพิ่มกลุ่มที่ต้องการและให้สิทธิ์ที่เหมาะสม

ดังนั้นในตัวอย่างของเรา นโยบายสามารถใช้ได้กับกลุ่มการบัญชีเท่านั้น

ตัวกรอง WMI

Windows Management Instrumentation (WMI) เป็นหนึ่งในเครื่องมือที่ทรงพลังที่สุดสำหรับการจัดการระบบปฏิบัติการ Windows WMI มีคลาสจำนวนมากซึ่งคุณสามารถอธิบายการตั้งค่าผู้ใช้และคอมพิวเตอร์ได้เกือบทั้งหมด คุณสามารถดูคลาส WMI ที่มีอยู่ทั้งหมดเป็นรายการโดยใช้ PowerShell โดยเรียกใช้คำสั่ง:

รับ-WmiObject-List

ตัวอย่างเช่น เข้าชั้นเรียน Win32_ระบบปฏิบัติการซึ่งรับผิดชอบคุณสมบัติของระบบปฏิบัติการ สมมติว่าคุณต้องการกรองระบบปฏิบัติการทั้งหมดยกเว้น Windows 10 เราไปที่คอมพิวเตอร์ที่ติดตั้ง Window 10 เปิดคอนโซล PowerShell และแสดงชื่อ เวอร์ชัน และประเภทของระบบปฏิบัติการโดยใช้คำสั่ง:

Get-WmiObject -Class Win32_OperatingSystem | ชั้น ชื่อ เวอร์ชัน ประเภทผลิตภัณฑ์

สำหรับตัวกรอง เราใช้เวอร์ชันและประเภทของระบบปฏิบัติการ เวอร์ชันจะเหมือนกันสำหรับระบบปฏิบัติการไคลเอ็นต์และเซิร์ฟเวอร์ และมีการกำหนดดังนี้:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

ประเภทผลิตภัณฑ์รับผิดชอบตามวัตถุประสงค์ของคอมพิวเตอร์ และสามารถมีค่าได้ 3 ค่า:

1 - เวิร์กสเตชัน
2 - ตัวควบคุมโดเมน
3 - เซิร์ฟเวอร์

ตอนนี้เรามาสร้างตัวกรองกัน เมื่อต้องการทำเช่นนี้ เปิดสแน็ปอินการจัดการนโยบายกลุ่ม และไปที่ส่วนตัวกรอง WMI คลิกขวาที่มันแล้วเลือกใหม่จากเมนูบริบท

ในหน้าต่างที่เปิดขึ้น ให้ตั้งชื่อและคำอธิบายตัวกรอง จากนั้นเรากดปุ่ม "เพิ่ม" และในฟิลด์ "แบบสอบถาม" เราป้อนแบบสอบถาม WQL ซึ่งเป็นพื้นฐานของตัวกรอง WMI เราจำเป็นต้องเลือก OS เวอร์ชัน 10.0 ด้วยประเภท 1 ดังนั้นคำขอจะมีลักษณะดังนี้:

เลือก * จาก Win32_OperatingSystem โดยที่เวอร์ชัน LIKE ″10.0%″ และ ProductType = ″1″

บันทึก. Windows Query Language (WQL) - ภาษาแบบสอบถาม WMI คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ MSDN

บันทึกตัวกรองผลลัพธ์

ตอนนี้ สิ่งที่เหลืออยู่คือการกำหนดตัวกรอง WMI ให้กับ GPO เช่น GPO3 ไปที่คุณสมบัติของ GPO เปิดแท็บ "ขอบเขต" และในฟิลด์ "การกรอง WMI" เลือกตัวกรองที่ต้องการจากรายการ

การวิเคราะห์การประยุกต์ใช้นโยบายกลุ่ม

ด้วยวิธีการกรอง GPO มากมาย จึงจำเป็นต้องสามารถวินิจฉัยและวิเคราะห์แอปพลิเคชันของพวกเขาได้ วิธีที่ง่ายที่สุดในการตรวจสอบผลกระทบของนโยบายกลุ่มในคอมพิวเตอร์คือการใช้ยูทิลิตี้บรรทัดคำสั่ง คำตอบ.

ตัวอย่างเช่น ไปที่คอมพิวเตอร์ wks2 ซึ่งติดตั้ง Windows 7 และตรวจสอบว่าตัวกรอง WMI ทำงานหรือไม่ ในการทำเช่นนี้ให้เปิดคอนโซล cmd ด้วยสิทธิ์ของผู้ดูแลระบบและดำเนินการคำสั่ง gpresult /รซึ่งแสดงข้อมูลสรุปเกี่ยวกับนโยบายกลุ่มที่ใช้กับผู้ใช้และคอมพิวเตอร์

บันทึก.ยูทิลิตี้ gpresult มีการตั้งค่าต่างๆ มากมาย ซึ่งสามารถดูได้ด้วยคำสั่ง เกรซซัลท์ /?.

ดังที่คุณเห็นจากข้อมูลที่ได้รับ นโยบาย GPO3 ไม่ถูกนำไปใช้กับคอมพิวเตอร์เนื่องจากถูกกรองโดยตัวกรอง WMI

คุณยังสามารถตรวจสอบการดำเนินการ GPO ได้จากสแน็ปอินการจัดการนโยบายกลุ่ม โดยใช้ตัวช่วยสร้างพิเศษ ในการเปิดใช้งานตัวช่วยสร้าง ให้คลิกขวาที่ส่วน "ผลลัพธ์ของนโยบายกลุ่ม" และเลือกรายการ "ตัวช่วยสร้างผลลัพธ์ของนโยบายกลุ่ม" ในเมนูที่เปิดขึ้น

ระบุชื่อคอมพิวเตอร์ที่จะสร้างรายงาน หากคุณต้องการดูเฉพาะการตั้งค่า Group Policy เฉพาะผู้ใช้ คุณสามารถเลือกไม่รวบรวมการตั้งค่าสำหรับคอมพิวเตอร์ โดยทำเครื่องหมายที่ช่องด้านล่าง (แสดงการตั้งค่านโยบายผู้ใช้เท่านั้น)

จากนั้นเราเลือกชื่อผู้ใช้ที่จะรวบรวมข้อมูล หรือคุณสามารถระบุไม่ให้รวมการตั้งค่านโยบายกลุ่มสำหรับผู้ใช้ในรายงาน (แสดงการตั้งค่านโยบายคอมพิวเตอร์เท่านั้น)

เราตรวจสอบการตั้งค่าที่เลือก คลิก "ถัดไป" และรอในขณะที่รวบรวมข้อมูลและสร้างรายงาน

รายงานประกอบด้วยข้อมูลที่ครอบคลุมเกี่ยวกับ GPO ที่ใช้ (หรือไม่ใช้) กับผู้ใช้และคอมพิวเตอร์ ตลอดจนตัวกรองที่ใช้

ตัวอย่างเช่น ลองสร้างรายงานสำหรับผู้ใช้สองคนที่แตกต่างกันและเปรียบเทียบกัน เรามาเปิดรายงานสำหรับผู้ใช้คิริลล์ก่อน แล้วไปที่ส่วนการตั้งค่าผู้ใช้ อย่างที่คุณเห็น นโยบาย GPO2 ไม่ถูกนำไปใช้กับผู้ใช้รายนี้ เนื่องจากผู้ใช้รายนี้ไม่มีสิทธิ์ใช้ (เหตุผลถูกปฏิเสธ - ไม่สามารถดำเนินการได้)

และตอนนี้เรามาเปิดรายงานสำหรับผู้ใช้ Oleg ผู้ใช้รายนี้เป็นสมาชิกของกลุ่มการบัญชี ดังนั้นนโยบายจึงถูกนำมาใช้กับเขาได้สำเร็จ ซึ่งหมายความว่าตัวกรองความปลอดภัยเสร็จสมบูรณ์

ในเรื่องนี้ บางทีฉันจะจบเรื่องราว ″ที่น่าสนใจ” เกี่ยวกับการใช้นโยบายกลุ่ม ฉันหวังว่าข้อมูลนี้จะเป็นประโยชน์และช่วยคุณในการดูแลระบบที่ยากลำบาก 🙂

สวัสดี ไม่สามารถลงทะเบียนบัญชีของคุณเอง?
เขียนถึง PM - vk.com/watsonshit
- เราลงทะเบียนบัญชีเพื่อสั่งซื้อ
- เราช่วยในขั้นตอนที่ 1 และ 2 ของ UCP
- บริการที่รวดเร็วและมีคุณภาพ
- รับประกันรีวิว เรารับผิดชอบต่อความปลอดภัย
- เซิร์ฟเวอร์ที่แตกต่างกันโดยสิ้นเชิงกับการลงทะเบียน UCP
โครงการชายฝั่งแปซิฟิก - โครงการ SW เป็นต้น

ไม่พบคำตอบสำหรับคำถามของคุณ เขียนในความคิดเห็น แล้วเราจะให้คำตอบแก่คุณ

) OOC แชทเพื่ออะไร?
- 1) นี่คือแชทที่ไม่มีผลกับการเล่นเกม

2) คำว่า Role Play หมายถึงอะไร?
- 2) เกมเล่นตามบทบาทเป็นเกมประเภทหนึ่งที่คุณต้องเล่นตามบทบาทที่ฉันได้เลือกไว้

3) หากสถานการณ์ใด ๆ ที่ไม่เข้าข้างคุณ (ฆาตกรรม / ปล้น) การกระทำของคุณ?
- 2) ฉันจะเล่นต่อไปไม่ว่าจะเกิดอะไรขึ้น

2) คุณได้รับเงินจากสิบแปดมงกุฎ คุณจะทำอย่างไร?
- 4) ฉันจะแจ้งผู้ดูแลเซิร์ฟเวอร์ ยกเลิกการสมัครในหัวข้อพิเศษ และเพิ่มเงินให้กับ /charity

3) คุณมีสิทธิ์ที่จะฆ่าเจ้าหน้าที่ตำรวจหรือไม่?
- 1) แน่นอน ฉันสามารถฆ่าเจ้าหน้าที่ตำรวจได้ก็ต่อเมื่อฉันมีเหตุผลที่ดีเท่านั้น

1) อนุญาตให้ผ่านจากที่นั่งคนขับได้หรือไม่?
- 4) ไม่ การกระทำดังกล่าวถูกห้ามโดยกฎของเซิร์ฟเวอร์

4) อนุญาตให้ใช้ชื่อเล่นของคนดังและภาพยนตร์/ซีรีส์/ตัวการ์ตูนได้หรือไม่?
- 3) ไม่ เป็นสิ่งต้องห้าม

5) ในระหว่างการดวลปืน ตัวละครสามตัวถูกฆ่าตายในทางเทคนิค แต่หลังจากนั้นไม่นาน ตัวละครเหล่านี้ก็กลับมามีบทบาทอีกครั้ง นี่เป็นการฆาตกรรมประเภทใด
- 2) ผู้เล่นฆ่า

7) พวกเขายิงคุณ แต่คุณไม่อยากตาย และนั่นเป็นเหตุผลว่าทำไม...
- 4) คุณจะพยายามหลบหนีและเอาชีวิตรอดด้วยการสวมบทบาท

2) คุณมีสิทธิ์ใช้ Bunny-Hop หรือไม่?
- 3) ใช่ ฉันมีสิทธิ์ใช้หากไม่รบกวนใคร

7) คุณจะทำอย่างไรถ้าคุณมีข้อเสนอในการพัฒนาเซิร์ฟเวอร์?
- 3) ฉันจะเขียนเกี่ยวกับเรื่องนี้ในส่วนที่เหมาะสมในฟอรัม

3) จำเป็นต้องยกเลิกการดำเนินการเมื่อใช้อาวุธขนาดเล็กหรือไม่?
- 4) เลขที่

2) คุณอยู่บนเซิร์ฟเวอร์เป็นครั้งแรกและไม่รู้คำสั่งเลย คุณจะทำอย่างไร?
- 3) ฉันจะถามคำถามฝ่ายบริหารด้วยคำสั่ง /askq จากนั้นฉันจะรอคำตอบ

3) จุดประสงค์ของคำสั่ง /coin คืออะไร?
- เพื่อแก้ไขสถานการณ์ที่โต้แย้งทั้งหมด

1) Metagaming คืออะไร?
- 2) นี่คือการใช้ข้อมูลที่ไม่ใช่บทบาทเมื่อแสดงบทบาท

6) ผู้เล่นซึ่งตัวละครถูกฆ่าตายในทางเทคนิคระหว่างการดวลจุดโทษ ตัดสินใจที่จะแก้แค้นผู้กระทำความผิดและฆ่าฝ่ายตรงข้ามคนใดคนหนึ่งโดยไม่มีเหตุผลใด ๆ มีการละเมิดอะไรบ้างในส่วนของผู้เล่น?
- 3) การฆ่าล้างแค้น

10) อนุญาตให้เติมพลังชีวิตระหว่างการต่อสู้ / ชุลมุนได้หรือไม่?
- 4) เลขที่

8) อนุญาตให้ยิงพนักงาน LSPD ได้หรือไม่ และเต็มไปด้วยอะไร?
- 4) ใช่ การสู้รบทั่วไปจบลงด้วยพีซีสำหรับทั้งสองฝ่าย หากเป็นแฟ้มคดีหรือการจู่โจม ตำรวจจะได้รับ PK และอาชญากรจะได้รับ SK

6) จำนวนเงินสูงสุดสำหรับการโจรกรรมที่ไม่ต้องการการตรวจสอบจากฝ่ายบริหารคือเท่าไร?
- 1) $500

9) เซิร์ฟเวอร์ของเราสามารถใช้ภาษาอะไรได้บ้าง?
- 1) รัสเซีย

7) หลังจากการเตรียมการที่ยาวนานและระมัดระวัง นักฆ่าก็ทำตามคำสั่ง - เขาฆ่า แผนถูกคำนวณในรายละเอียดที่เล็กที่สุด ด้วยเหตุนี้ลูกค้าจึงจ่ายเงินอย่างไม่เห็นแก่ตัว การเสียสละในกรณีนี้คืออะไร?
- 1) การฆ่าตัวละคร

9) อนุญาตให้ขโมยยานพาหนะของทางราชการได้หรือไม่?
- 2) ใช่ แต่คุณต้องถามผู้ดูแลระบบก่อน รวมทั้งปฏิบัติตามวรรค 9 ของกฎของเกม

8) คุณสามารถแสดงความรุนแรงทางเพศและความโหดร้ายได้เมื่อใด
- 2) ความรุนแรงทางเพศและความโหดร้ายสามารถเล่นได้เมื่อได้รับความยินยอมจากทุกคนที่เกี่ยวข้องกับ RP

10) คุณควรทำอย่างไรหากคุณคิดว่าเกมไม่เป็นไปตามกฎ?
- 1) เขียนถึง /report หากผู้ดูแลระบบไม่อยู่ - เขียนคำร้องเรียนในฟอรัม

7) ผู้เล่นควรมีเวลาเล่นกี่ชั่วโมงจึงจะถูกปล้น?
- 3) 8 ชม.

8) ระบุการใช้คำสั่ง /coin ที่ถูกต้อง หลังจาก:
- ฉันหยุดหายใจและตีลูกบอลพยายามโยนลงหลุม

8) ระบุการใช้คำสั่ง /me ที่ถูกต้อง:
- /me ยิ้มกว้าง มองตรงเข้าไปในดวงตาของลินดา เขาขยับเข้าไปใกล้แล้วกอดเธอเบาๆ

การขายสกุลเงินเสมือนในโครงการ PACIFIC COAST และเซิร์ฟเวอร์ GRINCH ROLE PLAY
ข้อมูลทั้งหมดในกลุ่ม!
vk.com/virtongarant

เมื่อคุณติดตั้ง Windows ระบบย่อยที่ไม่จำเป็นส่วนใหญ่จะไม่เปิดใช้งานหรือติดตั้ง สิ่งนี้ทำด้วยเหตุผลด้านความปลอดภัย เนื่องจากระบบมีความปลอดภัยโดยค่าเริ่มต้น ผู้ดูแลระบบจึงสามารถมุ่งเน้นที่การออกแบบระบบที่ทำในสิ่งที่ตนทำ และไม่มีอะไรมากไปกว่านั้น เพื่อช่วยคุณเปิดใช้งานคุณลักษณะที่คุณต้องการ Windows จะแจ้งให้คุณเลือกบทบาทของเซิร์ฟเวอร์

บทบาท

บทบาทของเซิร์ฟเวอร์คือชุดของโปรแกรมที่เมื่อติดตั้งและกำหนดค่าอย่างถูกต้องแล้ว จะทำให้คอมพิวเตอร์สามารถทำหน้าที่เฉพาะสำหรับผู้ใช้หลายคนหรือคอมพิวเตอร์เครื่องอื่นบนเครือข่ายได้ โดยทั่วไปแล้ว บทบาททั้งหมดจะมีลักษณะดังต่อไปนี้

• ทำหน้าที่กำหนดหน้าที่หลัก วัตถุประสงค์ หรือจุดประสงค์ของการใช้คอมพิวเตอร์ คุณสามารถกำหนดให้คอมพิวเตอร์มีบทบาทเดียวที่ใช้งานหนักในองค์กร หรือให้เล่นหลายบทบาทโดยแต่ละบทบาทจะใช้เป็นครั้งคราวเท่านั้น
• บทบาทช่วยให้ผู้ใช้ทั่วทั้งองค์กรเข้าถึงทรัพยากรที่จัดการโดยคอมพิวเตอร์เครื่องอื่น เช่น เว็บไซต์ เครื่องพิมพ์ หรือไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์เครื่องอื่น
• พวกเขามักจะมีฐานข้อมูลของตัวเองที่จัดคิวคำขอของผู้ใช้หรือคอมพิวเตอร์หรือบันทึกข้อมูลเกี่ยวกับผู้ใช้เครือข่ายและคอมพิวเตอร์ที่เกี่ยวข้องกับบทบาท ตัวอย่างเช่น Active Directory Domain Services มีฐานข้อมูลสำหรับจัดเก็บชื่อและความสัมพันธ์ตามลำดับชั้นของคอมพิวเตอร์ทุกเครื่องบนเครือข่าย
• เมื่อติดตั้งและกำหนดค่าอย่างถูกต้องแล้ว บทบาทจะทำงานโดยอัตโนมัติ สิ่งนี้ทำให้คอมพิวเตอร์ที่ติดตั้งสามารถทำงานที่ได้รับมอบหมายโดยมีการโต้ตอบกับผู้ใช้อย่างจำกัด

บริการบทบาท

บริการบทบาทคือโปรแกรมที่มีฟังก์ชันการทำงานของบทบาท เมื่อคุณติดตั้งบทบาท คุณสามารถเลือกได้ว่าจะให้บริการใดแก่ผู้ใช้รายอื่นและคอมพิวเตอร์ในองค์กร บางบทบาท เช่น เซิร์ฟเวอร์ DNS ทำหน้าที่เพียงฟังก์ชันเดียว ดังนั้นจึงไม่มีบริการตามบทบาทสำหรับบทบาทเหล่านั้น บทบาทอื่นๆ เช่น บริการเดสก์ท็อประยะไกล มีบริการหลายอย่างที่คุณสามารถติดตั้งได้ตามความต้องการการเข้าถึงระยะไกลขององค์กรของคุณ บทบาทสามารถคิดได้ว่าเป็นชุดของบริการบทบาทเสริมที่เกี่ยวข้องอย่างใกล้ชิด ในกรณีส่วนใหญ่ การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งอย่าง

ส่วนประกอบ

คอมโพเนนต์คือโปรแกรมที่ไม่ได้เป็นส่วนหนึ่งของบทบาทโดยตรง แต่สนับสนุนหรือขยายฟังก์ชันการทำงานของหนึ่งบทบาทขึ้นไปหรือทั้งเซิร์ฟเวอร์ โดยไม่คำนึงว่าบทบาทใดจะถูกติดตั้ง ตัวอย่างเช่น Failover Cluster Tool ขยายบทบาทอื่นๆ เช่น File Services และ DHCP Server โดยอนุญาตให้เข้าร่วมคลัสเตอร์เซิร์ฟเวอร์ ซึ่งให้ความซ้ำซ้อนและประสิทธิภาพที่เพิ่มขึ้น ส่วนประกอบอื่นๆ คือ Telnet Client ช่วยให้สามารถสื่อสารระยะไกลกับเซิร์ฟเวอร์ Telnet ผ่านการเชื่อมต่อเครือข่ายได้ คุณลักษณะนี้ช่วยเพิ่มตัวเลือกการสื่อสารสำหรับเซิร์ฟเวอร์

เมื่อ Windows Server ทำงานในโหมด Server Core จะรองรับบทบาทเซิร์ฟเวอร์ต่อไปนี้:

• บริการใบรับรอง Active Directory;
• บริการโดเมน Active Directory;
• เซิร์ฟเวอร์ DHCP
• เซิร์ฟเวอร์ DNS;
• บริการไฟล์ (รวมถึงตัวจัดการทรัพยากรเซิร์ฟเวอร์ไฟล์);
• บริการไดเร็กทอรีน้ำหนักเบาของ Active Directory;
• ไฮเปอร์-วี
• บริการพิมพ์และเอกสาร
• บริการสื่อสตรีมมิ่ง
• เว็บเซิร์ฟเวอร์ (รวมถึงชุดย่อยของ ASP.NET)
• เซิร์ฟเวอร์อัพเดต Windows Server;
• เซิร์ฟเวอร์การจัดการสิทธิ์ Active Directory;
• Routing and Remote Access Server และบทบาทย่อยต่อไปนี้:
  • นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล
  • การออกใบอนุญาต;
  • การจำลองเสมือน

เมื่อ Windows Server ทำงานในโหมด Server Core คุณลักษณะเซิร์ฟเวอร์ต่อไปนี้ได้รับการสนับสนุน:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• บริการโอนข้อมูลอัจฉริยะเบื้องหลัง (BITS);
• การเข้ารหัสไดรฟ์ด้วย BitLocker;
• ปลดล็อกเครือข่าย BitLocker;
• แคชสาขา
• สะพานศูนย์ข้อมูล
• พื้นที่เก็บข้อมูลที่เพิ่มขึ้น;
• การทำคลัสเตอร์ล้มเหลว
• มัลติพาธ I/O;
• โหลดบาลานซ์ของเครือข่าย
• โปรโตคอล PNRP;
• คิวเวฟ;
• การบีบอัดส่วนต่างระยะไกล
• บริการ TCP/IP อย่างง่าย;
• RPC ผ่านพร็อกซี HTTP;
• เซิร์ฟเวอร์ SMTP;
• บริการ SNMP;
• ลูกค้า Telnet;
• เซิร์ฟเวอร์เทลเน็ต
• ลูกค้า TFTP;
• ฐานข้อมูลภายในของ Windows;
• การเข้าถึงเว็บ Windows PowerShell;
• บริการเปิดใช้งาน Windows;
• การจัดการที่เก็บข้อมูล Windows ที่ได้มาตรฐาน
• ส่วนขยาย IIS WinRM;
• เซิร์ฟเวอร์ WINS;
• รองรับ WoW64

การติดตั้งบทบาทเซิร์ฟเวอร์โดยใช้ Server Manager

หากต้องการเพิ่ม ให้เปิด Server Manager และในเมนู Manage ให้คลิก Add Roles and features:

ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะเปิดขึ้น คลิกถัดไป

ประเภทการติดตั้ง เลือกการติดตั้งตามบทบาทหรือตามคุณลักษณะ ต่อไป:

การเลือกเซิร์ฟเวอร์ - เลือกเซิร์ฟเวอร์ของเรา คลิก Next Server Roles - Select roles ถ้าจำเป็น เลือก Role Services และคลิก Next เพื่อเลือกส่วนประกอบ ในระหว่างขั้นตอนนี้ ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะแจ้งให้คุณทราบโดยอัตโนมัติเกี่ยวกับข้อขัดแย้งบนเซิร์ฟเวอร์ปลายทาง ซึ่งอาจขัดขวางการติดตั้งหรือการทำงานตามปกติของบทบาทหรือคุณลักษณะที่เลือก คุณยังได้รับพร้อมท์ให้เพิ่มบทบาท บริการบทบาท และคุณสมบัติที่จำเป็นสำหรับบทบาทหรือคุณสมบัติที่เลือก

การติดตั้งบทบาทด้วย PowerShell

เปิด Windows PowerShell ป้อนคำสั่ง Get-WindowsFeature เพื่อดูรายการบทบาทและคุณสมบัติที่พร้อมใช้งานและติดตั้งบนเซิร์ฟเวอร์ภายในเครื่อง ผลลัพธ์ของ cmdlet นี้มีชื่อคำสั่งสำหรับบทบาทและคุณสมบัติที่ติดตั้งและพร้อมสำหรับการติดตั้ง

พิมพ์ Get-Help Install-WindowsFeature เพื่อดูไวยากรณ์และพารามิเตอร์ที่ถูกต้องสำหรับ cmdlet Install-WindowsFeature (MAN)

ป้อนคำสั่งต่อไปนี้ (-Restart จะรีสตาร์ทเซิร์ฟเวอร์ หากการติดตั้งบทบาทจำเป็นต้องรีสตาร์ท)

ติดตั้ง-WindowsFeature –Name -เริ่มต้นใหม่

คำอธิบายของบทบาทและบริการของบทบาท

บทบาทและบริการตามบทบาททั้งหมดมีคำอธิบายด้านล่าง มาดูการตั้งค่าขั้นสูงสำหรับบทบาทเว็บเซิร์ฟเวอร์และบริการเดสก์ท็อประยะไกลที่พบบ่อยที่สุดในทางปฏิบัติของเรา

คำอธิบายโดยละเอียดของ IIS

• คุณสมบัติ HTTP ทั่วไป - ส่วนประกอบ HTTP พื้นฐาน
  • เอกสารเริ่มต้น - ให้คุณตั้งค่าหน้าดัชนีสำหรับไซต์
  • การเรียกดูไดเร็กทอรี - อนุญาตให้ผู้ใช้ดูเนื้อหาของไดเร็กทอรีบนเว็บเซิร์ฟเวอร์ ใช้ Directory Browsing เพื่อสร้างรายการไดเร็กทอรีและไฟล์ทั้งหมดในไดเร็กทอรีโดยอัตโนมัติ เมื่อผู้ใช้ไม่ได้ระบุไฟล์ใน URL และหน้าดัชนีถูกปิดใช้งานหรือไม่ได้กำหนดค่า
  • ข้อผิดพลาด HTTP - อนุญาตให้คุณปรับแต่งข้อความแสดงข้อผิดพลาดที่ส่งคืนไปยังไคลเอนต์ในเบราว์เซอร์
  • เนื้อหาคงที่ - อนุญาตให้คุณโพสต์เนื้อหาคงที่ เช่น รูปภาพหรือไฟล์ html
  • HTTP Redirection - รองรับการเปลี่ยนเส้นทางคำขอของผู้ใช้
  • WebDAV Publishing อนุญาตให้คุณเผยแพร่ไฟล์จากเว็บเซิร์ฟเวอร์โดยใช้โปรโตคอล HTTP
• คุณลักษณะด้านสุขภาพและการวินิจฉัย - ส่วนประกอบการวินิจฉัย
  • HTTP Logging ให้การบันทึกกิจกรรมเว็บไซต์สำหรับเซิร์ฟเวอร์ที่กำหนด
  • การบันทึกแบบกำหนดเองให้การสนับสนุนสำหรับการสร้างบันทึกแบบกำหนดเองที่แตกต่างจากบันทึก "ดั้งเดิม"
  • เครื่องมือบันทึกมีเฟรมเวิร์กสำหรับจัดการบันทึกของเว็บเซิร์ฟเวอร์และทำให้งานบันทึกทั่วไปเป็นแบบอัตโนมัติ
  • การบันทึก ODBC มีเฟรมเวิร์กที่สนับสนุนการบันทึกกิจกรรมของเว็บเซิร์ฟเวอร์ไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
  • การตรวจสอบคำขอให้เฟรมเวิร์กสำหรับการตรวจสอบสถานะของเว็บแอปพลิเคชันโดยการรวบรวมข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
  • Tracing จัดเตรียมเฟรมเวิร์กสำหรับการวินิจฉัยและแก้ไขปัญหาเว็บแอปพลิเคชัน เมื่อใช้การติดตามคำขอที่ล้มเหลว คุณสามารถติดตามเหตุการณ์ที่ค้นหาได้ยาก เช่น ประสิทธิภาพต่ำหรือการตรวจสอบสิทธิ์ล้มเหลว
• ส่วนประกอบประสิทธิภาพเพื่อเพิ่มประสิทธิภาพการทำงานของเว็บเซิร์ฟเวอร์
  • การบีบอัดเนื้อหาแบบคงที่จัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบคงที่
  • การบีบอัดเนื้อหาแบบไดนามิกจัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบไดนามิก
• ส่วนประกอบความปลอดภัย
  • การกรองคำขอช่วยให้คุณสามารถบันทึกคำขอที่เข้ามาทั้งหมดและกรองตามกฎที่ผู้ดูแลระบบกำหนด
  • Basic Authentication ให้คุณตั้งค่าการอนุญาตเพิ่มเติมได้
  • การรองรับใบรับรอง SSL แบบรวมศูนย์เป็นคุณสมบัติที่ช่วยให้คุณจัดเก็บใบรับรองในตำแหน่งศูนย์กลาง เช่น การแชร์ไฟล์
  • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ใช้ใบรับรองไคลเอ็นต์เพื่อตรวจสอบสิทธิ์ผู้ใช้
  • Digest Authentication ทำงานโดยส่งแฮชรหัสผ่านไปยังตัวควบคุมโดเมน Windows เพื่อรับรองความถูกต้องของผู้ใช้ หากคุณต้องการความปลอดภัยมากกว่าการรับรองความถูกต้องพื้นฐาน ให้พิจารณาใช้การรับรองความถูกต้องแบบสรุป
  • IIS Client Certificate Mapping Authentication ใช้ใบรับรองไคลเอ็นต์ในการตรวจสอบสิทธิ์ผู้ใช้ ใบรับรองไคลเอนต์คือรหัสดิจิทัลที่ได้รับจากแหล่งที่เชื่อถือได้
  • ข้อ จำกัด IP และโดเมน อนุญาตให้คุณอนุญาต / ปฏิเสธการเข้าถึงตามที่อยู่ IP หรือชื่อโดเมนที่ร้องขอ
  • การอนุญาต URL ช่วยให้คุณสร้างกฎที่จำกัดการเข้าถึงเนื้อหาเว็บ
  • การรับรองความถูกต้องของ Windows รูปแบบการตรวจสอบความถูกต้องนี้ช่วยให้ผู้ดูแลระบบโดเมน Windows สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของโดเมนสำหรับการรับรองความถูกต้องของผู้ใช้
• คุณสมบัติการพัฒนาแอพพลิเคชั่น
• เซิร์ฟเวอร์ FTP
  • บริการ FTP เปิดใช้งานการเผยแพร่ FTP ไปยังเว็บเซิร์ฟเวอร์
  • ความสามารถในการขยาย FTP เปิดใช้งานการรองรับคุณสมบัติ FTP ที่ขยายการทำงานของ
• เครื่องมือการจัดการ
  • IIS Management Console จะติดตั้ง IIS Manager ซึ่งช่วยให้คุณจัดการเว็บเซิร์ฟเวอร์ผ่าน GUI
  • IIS 6.0 Management Compatibility ให้ความเข้ากันได้แบบส่งต่อสำหรับแอปพลิเคชันและสคริปต์ที่ใช้ Admin Base Object (ABO) และ Directory Service Interface (ADSI) Active Directory API ซึ่งอนุญาตให้ใช้สคริปต์ IIS 6.0 ที่มีอยู่โดยเว็บเซิร์ฟเวอร์ IIS 8.0
  • สคริปต์และเครื่องมือการจัดการ IIS จัดเตรียมโครงสร้างพื้นฐานสำหรับการจัดการเว็บเซิร์ฟเวอร์ IIS โดยทางโปรแกรม โดยใช้คำสั่งในหน้าต่างพรอมต์คำสั่ง หรือโดยการเรียกใช้สคริปต์
  • บริการการจัดการจัดเตรียมโครงสร้างพื้นฐานสำหรับการปรับแต่งส่วนติดต่อผู้ใช้ IIS Manager

คำอธิบายโดยละเอียดของ RDS

• นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล - ให้การเชื่อมต่ออุปกรณ์ไคลเอนต์กับโปรแกรมตามเซสชันเดสก์ท็อปและเดสก์ท็อปเสมือนอีกครั้ง
• เกตเวย์เดสก์ท็อประยะไกล - อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตเชื่อมต่อกับเดสก์ท็อปเสมือน โปรแกรม RemoteApp และเดสก์ท็อปแบบเซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต
• สิทธิ์ใช้งานเดสก์ท็อประยะไกล - เครื่องมือจัดการสิทธิ์ใช้งาน RDP
• โฮสต์เซสชันเดสก์ท็อประยะไกล - รวมเซิร์ฟเวอร์เพื่อโฮสต์โปรแกรม RemoteApp หรือเซสชันบนเดสก์ท็อป
• โฮสต์การจำลองเสมือนเดสก์ท็อประยะไกล - อนุญาตให้คุณกำหนดค่า RDP บนเครื่องเสมือน
• Remote Desktop WebAccess - อนุญาตให้ผู้ใช้เชื่อมต่อกับทรัพยากรเดสก์ท็อปโดยใช้เมนู Start หรือเว็บเบราว์เซอร์

พิจารณาการติดตั้งและกำหนดค่าเซิร์ฟเวอร์ใบอนุญาตเทอร์มินัล ข้างต้นอธิบายวิธีการติดตั้งบทบาท การติดตั้ง RDS ไม่แตกต่างจากการติดตั้งบทบาทอื่นๆ ใน Role Services เราจำเป็นต้องเลือก Remote Desktop Licensing และ Remote Desktop Session Host หลังการติดตั้ง รายการ Terminal Services จะปรากฏใน Server Manager-Tools มีสองรายการใน Terminal Services RD Licensing Diagnoser ซึ่งเป็นเครื่องมือสำหรับวินิจฉัยการดำเนินการให้สิทธิ์ใช้งานเดสก์ท็อประยะไกล และ Remote Desktop Licensing Manager ซึ่งเป็นเครื่องมือจัดการสิทธิ์การใช้งาน

เรียกใช้ตัววิเคราะห์การให้สิทธิ์การใช้งาน RD

ที่นี่เราจะเห็นว่ายังไม่มีสิทธิ์การใช้งานเนื่องจากไม่ได้ตั้งค่าโหมดสิทธิ์ใช้งานสำหรับเซิร์ฟเวอร์โฮสต์เซสชัน RD เซิร์ฟเวอร์สิทธิ์การใช้งานระบุไว้ในนโยบายกลุ่มภายในเครื่อง ในการเรียกใช้โปรแกรมแก้ไข ให้รันคำสั่ง gpedit.msc ตัวแก้ไขนโยบายกลุ่มภายในเปิดขึ้น ในแผนภูมิทางด้านซ้าย ให้ขยายแท็บ:

• การกำหนดค่าคอมพิวเตอร์
• เทมเพลตการดูแลระบบ
• ส่วนประกอบของ Windows
• บริการเดสก์ท็อประยะไกล
• โฮสต์เซสชันเดสก์ท็อประยะไกล
• “การออกใบอนุญาต” (การออกใบอนุญาต)

เปิดพารามิเตอร์ ใช้เซิร์ฟเวอร์ใบอนุญาตเดสก์ท็อประยะไกลที่ระบุ

ในหน้าต่างแก้ไขการตั้งค่านโยบาย เปิดใช้งานเซิร์ฟเวอร์สิทธิ์ใช้งาน (เปิดใช้งาน) ถัดไป คุณต้องกำหนดเซิร์ฟเวอร์ใบอนุญาตสำหรับบริการเดสก์ท็อประยะไกล ในตัวอย่างของฉัน เซิร์ฟเวอร์ใบอนุญาตอยู่บนเซิร์ฟเวอร์จริงเดียวกัน ระบุชื่อเครือข่ายหรือที่อยู่ IP ของเซิร์ฟเวอร์ใบอนุญาตและคลิกตกลง หากชื่อเซิร์ฟเวอร์ เซิร์ฟเวอร์ใบอนุญาตมีการเปลี่ยนแปลงในอนาคต คุณจะต้องเปลี่ยนในส่วนเดียวกัน

หลังจากนั้น ใน RD Licensing Diagnoser คุณจะเห็นว่าเซิร์ฟเวอร์สิทธิ์การใช้งานเทอร์มินัลได้รับการกำหนดค่า แต่ไม่ได้เปิดใช้งาน ในการเปิดใช้งาน ให้รัน Remote Desktop Licensing Manager

เลือกเซิร์ฟเวอร์สิทธิ์ใช้งานโดยมีสถานะไม่เปิดใช้งาน หากต้องการเปิดใช้งาน ให้คลิกขวาที่มันแล้วเลือก เปิดใช้งานเซิร์ฟเวอร์ ตัวช่วยสร้างการเปิดใช้งานเซิร์ฟเวอร์จะเริ่มต้นขึ้น บนแท็บ วิธีการเชื่อมต่อ เลือก การเชื่อมต่ออัตโนมัติ ถัดไป กรอกข้อมูลเกี่ยวกับองค์กร หลังจากนั้นเซิร์ฟเวอร์ใบอนุญาตจะเปิดใช้งาน

บริการใบรับรอง Active Directory

AD CS ให้บริการที่กำหนดค่าได้สำหรับการออกและจัดการใบรับรองดิจิทัลที่ใช้ในระบบความปลอดภัยของซอฟต์แวร์ที่ใช้เทคโนโลยีคีย์สาธารณะ ใบรับรองดิจิทัลที่จัดทำโดย AD CS สามารถใช้ในการเข้ารหัสและเซ็นชื่อแบบดิจิทัลในเอกสารและข้อความอิเล็กทรอนิกส์ ใบรับรองดิจิทัลเหล่านี้สามารถใช้เพื่อรับรองความถูกต้องของบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่าย ใบรับรองดิจิทัลใช้เพื่อจัดเตรียม:

• ความเป็นส่วนตัวผ่านการเข้ารหัส
• ความสมบูรณ์ผ่านลายเซ็นดิจิทัล
• การรับรองความถูกต้องโดยการเชื่อมโยงคีย์ใบรับรองกับบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่าย

สามารถใช้ AD CS เพื่อปรับปรุงความปลอดภัยได้โดยการผูกข้อมูลประจำตัวของผู้ใช้ อุปกรณ์ หรือบริการเข้ากับคีย์ส่วนตัวที่เกี่ยวข้อง แอปพลิเคชันที่สนับสนุนโดย AD CS ได้แก่ Internet Mail Standard Extensions (S/MIME), เครือข่ายไร้สายที่ปลอดภัย, เครือข่ายส่วนตัวเสมือน (VPN), IPsec, Encrypting File System (EFS), การเข้าสู่ระบบด้วยสมาร์ทการ์ด, การรักษาความปลอดภัยและโปรโตคอลความปลอดภัยเลเยอร์การขนส่ง (SSL/TLS) และลายเซ็นดิจิทัล

บริการโดเมน Active Directory

การใช้บทบาทเซิร์ฟเวอร์ Active Directory Domain Services (AD DS) คุณสามารถสร้างโครงสร้างพื้นฐานที่ปรับขนาดได้ ปลอดภัย และจัดการได้สำหรับการจัดการผู้ใช้และทรัพยากร คุณยังสามารถจัดเตรียมแอปพลิเคชันที่เปิดใช้งานไดเร็กทอรี เช่น Microsoft Exchange Server Active Directory Domain Services ให้ฐานข้อมูลแบบกระจายที่เก็บและจัดการข้อมูลเกี่ยวกับทรัพยากรเครือข่ายและข้อมูลแอปพลิเคชันที่เปิดใช้งานไดเรกทอรี เซิร์ฟเวอร์ที่กำลังเรียกใช้ AD DS เรียกว่าตัวควบคุมโดเมน ผู้ดูแลระบบสามารถใช้ AD DS เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างที่ซ้อนกันแบบลำดับชั้น โครงสร้างที่ซ้อนกันแบบลำดับชั้นประกอบด้วยฟอเรสต์ Active Directory โดเมนในฟอเรสต์ และหน่วยขององค์กรในแต่ละโดเมน คุณลักษณะด้านความปลอดภัยถูกรวมเข้ากับ AD DS ในรูปแบบของการรับรองความถูกต้องและการควบคุมการเข้าถึงทรัพยากรในไดเร็กทอรี ด้วยการลงชื่อเข้าใช้เพียงครั้งเดียว ผู้ดูแลระบบสามารถจัดการข้อมูลไดเร็กทอรีและองค์กรผ่านเครือข่ายได้ ผู้ใช้เครือข่ายที่ได้รับอนุญาตยังสามารถใช้การลงชื่อเพียงครั้งเดียวของเครือข่ายเพื่อเข้าถึงทรัพยากรที่อยู่ที่ใดก็ได้บนเครือข่าย Active Directory Domain Services มีคุณสมบัติเพิ่มเติมดังต่อไปนี้

• ชุดของกฎเป็นสคีมาที่กำหนดคลาสของอ็อบเจ็กต์และคุณลักษณะที่มีอยู่ในไดเร็กทอรี ข้อจำกัดและขีดจำกัดบนอินสแตนซ์ของอ็อบเจ็กต์เหล่านั้น และรูปแบบของชื่อ
• แค็ตตาล็อกส่วนกลางที่มีข้อมูลเกี่ยวกับแต่ละออบเจกต์ในแค็ตตาล็อก ผู้ใช้และผู้ดูแลระบบสามารถใช้แคตตาล็อกส่วนกลางเพื่อค้นหาข้อมูลแค็ตตาล็อก โดยไม่คำนึงว่าโดเมนใดในแคตตาล็อกมีข้อมูลที่ค้นหาอยู่จริง
• กลไกการสืบค้นและการจัดทำดัชนีซึ่งวัตถุและคุณสมบัติสามารถเผยแพร่และระบุตำแหน่งโดยผู้ใช้เครือข่ายและแอปพลิเคชัน
• บริการจำลองที่กระจายข้อมูลไดเร็กทอรีทั่วทั้งเครือข่าย ตัวควบคุมโดเมนแบบเขียนได้ทั้งหมดในโดเมนมีส่วนร่วมในการจำลองแบบและมีสำเนาที่สมบูรณ์ของข้อมูลไดเร็กทอรีทั้งหมดสำหรับโดเมนของตน การเปลี่ยนแปลงใด ๆ กับข้อมูลไดเร็กทอรีจะถูกจำลองแบบในโดเมนไปยังตัวควบคุมโดเมนทั้งหมด
• บทบาทหลักของการดำเนินงาน (หรือที่เรียกว่าการดำเนินการหลักเดี่ยวแบบยืดหยุ่นหรือ FSMO) ตัวควบคุมโดเมนที่ทำหน้าที่เป็นผู้เชี่ยวชาญในการดำเนินงานได้รับการออกแบบให้ทำงานพิเศษเพื่อให้แน่ใจว่าข้อมูลมีความสอดคล้องกันและหลีกเลี่ยงรายการไดเร็กทอรีที่ขัดแย้งกัน

บริการสหพันธรัฐ Active Directory

AD FS ช่วยให้ผู้ใช้ปลายทางที่ต้องการเข้าถึงแอปพลิเคชันในองค์กรที่มีการรักษาความปลอดภัยของ AD FS ในองค์กรพันธมิตรแบบสหพันธรัฐหรือในระบบคลาวด์ด้วยการรวมข้อมูลประจำตัวที่เรียบง่ายและปลอดภัยและบริการบนเว็บแบบลงชื่อเพียงครั้งเดียว (SSO) Windows Server AD FS ประกอบด้วย บริการตามบทบาท Federation Service ทำหน้าที่เป็นผู้ให้บริการข้อมูลประจำตัว (ตรวจสอบผู้ใช้เพื่อจัดหาโทเค็นความปลอดภัยให้กับแอปพลิเคชันที่เชื่อถือ AD FS) หรือเป็นผู้ให้บริการสหพันธรัฐ (ใช้โทเค็นจากผู้ให้บริการข้อมูลประจำตัวอื่นๆ

Active Directory บริการไดเรกทอรีน้ำหนักเบา

Active Directory Lightweight Directory Services (AD LDS) เป็นโปรโตคอล LDAP ที่ให้การสนับสนุนที่ยืดหยุ่นสำหรับแอปพลิเคชันไดเรกทอรี โดยไม่มีการขึ้นต่อกันและข้อจำกัดเฉพาะโดเมนของ Active Directory Domain Services AD LDS สามารถทำงานบนเซิร์ฟเวอร์สมาชิกหรือเซิร์ฟเวอร์แบบสแตนด์อโลน คุณสามารถเรียกใช้ AD LDS ได้หลายอินสแตนซ์ด้วยสกีมาที่มีการจัดการโดยอิสระบนเซิร์ฟเวอร์เดียวกัน ด้วยบทบาทบริการ AD LDS คุณสามารถให้บริการไดเร็กทอรีแก่แอปพลิเคชันที่เปิดใช้งานไดเร็กทอรีโดยไม่ต้องใช้โดเมนและข้อมูลบริการฟอเรสต์ และไม่ต้องใช้สคีมาทั่วทั้งฟอเรสต์เดียว

บริการจัดการสิทธิ์ของ Active Directory

คุณสามารถใช้ AD RMS เพื่อขยายกลยุทธ์การรักษาความปลอดภัยขององค์กรของคุณโดยการรักษาความปลอดภัยเอกสารโดยใช้การจัดการสิทธิ์ในข้อมูล (IRM) AD RMS ช่วยให้ผู้ใช้และผู้ดูแลระบบกำหนดสิทธิ์การเข้าถึงเอกสาร สมุดงาน และงานนำเสนอโดยใช้นโยบาย IRM สิ่งนี้ทำให้คุณสามารถปกป้องข้อมูลที่เป็นความลับจากการถูกพิมพ์ ส่งต่อ หรือคัดลอกโดยผู้ใช้ที่ไม่ได้รับอนุญาต เมื่อสิทธิ์ของไฟล์ถูกจำกัดโดยใช้ IRM ข้อจำกัดการเข้าถึงและการใช้งานจะถูกนำไปใช้โดยไม่คำนึงถึงตำแหน่งที่ตั้งของข้อมูล เนื่องจากการอนุญาตของไฟล์จะถูกจัดเก็บไว้ในตัวไฟล์เอกสารเอง ด้วย AD RMS และ IRM ผู้ใช้แต่ละคนสามารถใช้การตั้งค่าของตนเองเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลและข้อมูลลับ นอกจากนี้ยังช่วยให้องค์กรบังคับใช้นโยบายองค์กรเพื่อควบคุมการใช้และการแจกจ่ายข้อมูลส่วนบุคคลที่ละเอียดอ่อน โซลูชัน IRM ที่สนับสนุนโดย AD RMS ใช้เพื่อมอบความสามารถดังต่อไปนี้

• นโยบายการใช้งานแบบต่อเนื่องที่คงอยู่กับข้อมูลไม่ว่าจะถูกย้าย ส่ง หรือส่งต่อ
• ความเป็นส่วนตัวเพิ่มเติมอีกชั้นเพื่อปกป้องข้อมูลที่ละเอียดอ่อน - เช่น รายงาน ข้อมูลจำเพาะของผลิตภัณฑ์ ข้อมูลลูกค้า และข้อความอีเมล - จากการตกไปอยู่ในมือผู้ไม่หวังดีโดยตั้งใจหรือไม่ตั้งใจ
• ป้องกันการส่ง คัดลอก แก้ไข พิมพ์ แฟกซ์ หรือวางเนื้อหาที่ถูกจำกัดโดยไม่ได้รับอนุญาตโดยผู้รับที่ได้รับอนุญาต
• ป้องกันการคัดลอกเนื้อหาที่ถูกจำกัดโดยใช้คุณสมบัติ PRINT SCREEN ใน Microsoft Windows
• รองรับการหมดอายุของไฟล์ ป้องกันการดูเนื้อหาเอกสารหลังจากระยะเวลาที่กำหนด
• ใช้นโยบายองค์กรที่ควบคุมการใช้และการเผยแพร่เนื้อหาภายในองค์กร

เซิร์ฟเวอร์แอปพลิเคชัน

Application Server จัดเตรียมสภาพแวดล้อมแบบบูรณาการสำหรับการปรับใช้และรันแอปพลิเคชันธุรกิจบนเซิร์ฟเวอร์ที่กำหนดเอง

เซิร์ฟเวอร์ DHCP

DHCP เป็นเทคโนโลยีไคลเอนต์เซิร์ฟเวอร์ที่อนุญาตให้เซิร์ฟเวอร์ DHCP กำหนดหรือเช่าที่อยู่ IP ให้กับคอมพิวเตอร์และอุปกรณ์อื่น ๆ ที่เป็นไคลเอนต์ DHCP การปรับใช้เซิร์ฟเวอร์ DHCP บนเครือข่ายจะให้คอมพิวเตอร์ไคลเอ็นต์และอุปกรณ์เครือข่ายอื่น ๆ โดยอัตโนมัติตามที่อยู่ IP ที่ถูกต้องของ IPv4 และ IPv6 และการตั้งค่าการกำหนดค่าเพิ่มเติมที่จำเป็นโดยไคลเอ็นต์และอุปกรณ์เหล่านี้ บริการ DHCP Server ใน Windows Server รวมถึงการสนับสนุนการกำหนดตามนโยบายและ DHCP ล้มเหลว

เซิร์ฟเวอร์ DNS

บริการ DNS เป็นฐานข้อมูลแบบกระจายลำดับชั้นที่มีการแมปชื่อโดเมน DNS กับข้อมูลประเภทต่างๆ เช่น ที่อยู่ IP บริการ DNS อนุญาตให้คุณใช้ชื่อที่จำง่าย เช่น www.microsoft.com เพื่อช่วยระบุตำแหน่งคอมพิวเตอร์และทรัพยากรอื่นๆ บนเครือข่ายที่ใช้ TCP/IP บริการ DNS ใน Windows Server ให้การสนับสนุนขั้นสูงเพิ่มเติมสำหรับ DNS Security Modules (DNSSEC) รวมถึงการลงทะเบียนเครือข่ายและการจัดการการตั้งค่าอัตโนมัติ

แฟกซ์เซิร์ฟเวอร์

Fax Server ส่งและรับแฟกซ์ และอนุญาตให้คุณจัดการทรัพยากรแฟกซ์ เช่น งาน การตั้งค่า รายงาน และอุปกรณ์แฟกซ์บนเซิร์ฟเวอร์แฟกซ์ของคุณ

บริการไฟล์และที่เก็บข้อมูล

ผู้ดูแลระบบสามารถใช้บทบาท File and Storage Services เพื่อตั้งค่าเซิร์ฟเวอร์ไฟล์หลายตัวและพื้นที่เก็บข้อมูล และจัดการเซิร์ฟเวอร์เหล่านั้นโดยใช้ Server Manager หรือ Windows PowerShell แอปพลิเคชั่นเฉพาะบางอย่างมีคุณสมบัติดังต่อไปนี้

• โฟลเดอร์ทำงาน ใช้เพื่อให้ผู้ใช้สามารถจัดเก็บและเข้าถึงไฟล์งานบนคอมพิวเตอร์ส่วนบุคคลและอุปกรณ์อื่นๆ นอกเหนือจากพีซีของบริษัท ผู้ใช้จะได้รับความสะดวกในการจัดเก็บไฟล์งานและเข้าถึงได้จากทุกที่ องค์กรควบคุมข้อมูลองค์กรโดยการจัดเก็บไฟล์บนเซิร์ฟเวอร์ไฟล์ที่มีการจัดการจากส่วนกลาง และเลือกตั้งค่านโยบายอุปกรณ์ของผู้ใช้ (เช่น รหัสผ่านการเข้ารหัสและล็อคหน้าจอ)
• การขจัดข้อมูลซ้ำซ้อน ใช้เพื่อลดความต้องการพื้นที่ดิสก์ในการจัดเก็บไฟล์ ประหยัดเงินในการจัดเก็บ
• เซิร์ฟเวอร์เป้าหมาย iSCSI ใช้เพื่อสร้างระบบย่อยดิสก์ iSCSI แบบรวมศูนย์ ซอฟต์แวร์และอุปกรณ์ที่ไม่ขึ้นกับอุปกรณ์ในเครือข่ายพื้นที่เก็บข้อมูล (SANs)
• พื้นที่ดิสก์ ใช้เพื่อปรับใช้พื้นที่จัดเก็บข้อมูลที่พร้อมใช้งานสูง ยืดหยุ่น และปรับขนาดได้ด้วยไดรฟ์มาตรฐานอุตสาหกรรมที่คุ้มค่า
• ผู้จัดการเซิร์ฟเวอร์ ใช้จัดการเซิร์ฟเวอร์ไฟล์หลายตัวจากระยะไกลจากหน้าต่างเดียว
• Windows PowerShell ใช้เพื่อทำให้การจัดการงานการดูแลเซิร์ฟเวอร์ไฟล์ส่วนใหญ่เป็นแบบอัตโนมัติ

ไฮเปอร์-วี

บทบาท Hyper-V ช่วยให้คุณสร้างและจัดการสภาพแวดล้อมการประมวลผลเสมือนจริงโดยใช้เทคโนโลยีการจำลองเสมือนที่มีอยู่ใน Windows Server การติดตั้งบทบาท Hyper-V จะติดตั้งข้อกำหนดเบื้องต้นและเครื่องมือการจัดการเพิ่มเติม ข้อกำหนดเบื้องต้นประกอบด้วย Windows hypervisor, Hyper-V Virtual Machine Management Service, ผู้ให้บริการการจำลองเสมือน WMI และคอมโพเนนต์การจำลองเสมือน เช่น VMbus, Virtualization Service Provider (VSP) และ Virtual Infrastructure Driver (VID)

นโยบายเครือข่ายและบริการการเข้าถึง

Network Policy and Access Services ให้บริการโซลูชั่นการเชื่อมต่อเครือข่ายดังต่อไปนี้:

• การป้องกันการเข้าถึงเครือข่ายเป็นเทคโนโลยีสำหรับการสร้าง บังคับใช้ และแก้ไขนโยบายสถานภาพของไคลเอ็นต์ ด้วยการป้องกันการเข้าถึงเครือข่าย ผู้ดูแลระบบสามารถตั้งค่าและบังคับใช้นโยบายด้านสุขภาพโดยอัตโนมัติ ซึ่งรวมถึงข้อกำหนดสำหรับซอฟต์แวร์ การอัปเดตความปลอดภัย และการตั้งค่าอื่นๆ สำหรับคอมพิวเตอร์ไคลเอ็นต์ที่ไม่เป็นไปตามนโยบายด้านสุขภาพ คุณสามารถจำกัดการเข้าถึงเครือข่ายได้จนกว่าการกำหนดค่าของคอมพิวเตอร์จะได้รับการอัปเดตให้สอดคล้องกับข้อกำหนดของนโยบาย
• หากมีการปรับใช้จุดเชื่อมต่อไร้สายที่เปิดใช้งาน 802.1X คุณสามารถใช้ Network Policy Server (NPS) เพื่อปรับใช้วิธีการรับรองความถูกต้องตามใบรับรองที่มีความปลอดภัยมากกว่าการรับรองความถูกต้องด้วยรหัสผ่าน การใช้ฮาร์ดแวร์ที่เปิดใช้งาน 802.1X กับเซิร์ฟเวอร์ NPS ช่วยให้ผู้ใช้อินทราเน็ตได้รับการพิสูจน์ตัวตนก่อนที่จะสามารถเชื่อมต่อกับเครือข่ายหรือรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP
• แทนที่จะกำหนดค่านโยบายการเข้าถึงเครือข่ายในแต่ละเซิร์ฟเวอร์การเข้าถึงเครือข่าย คุณสามารถสร้างนโยบายทั้งหมดจากส่วนกลางที่กำหนดทุกแง่มุมของคำขอเชื่อมต่อเครือข่าย (ใครสามารถเชื่อมต่อ เมื่ออนุญาตการเชื่อมต่อ ระดับความปลอดภัยที่ต้องใช้เพื่อเชื่อมต่อกับเครือข่าย ).

บริการสิ่งพิมพ์และเอกสาร

บริการพิมพ์และเอกสารช่วยให้คุณสามารถรวมศูนย์งานเซิร์ฟเวอร์การพิมพ์และเครื่องพิมพ์เครือข่าย บทบาทนี้ยังช่วยให้คุณรับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและอัปโหลดเอกสารไปยังเครือข่ายที่ใช้ร่วมกัน - ไปยังไซต์ Windows SharePoint Services หรือทางอีเมล

การเข้าถึงระยะไกล

บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลคือการจัดกลุ่มทางตรรกะของเทคโนโลยีการเข้าถึงเครือข่ายต่อไปนี้

• การเข้าถึงโดยตรง
• การกำหนดเส้นทางและการเข้าถึงระยะไกล
• พร็อกซีแอปพลิเคชันเว็บ

เทคโนโลยีเหล่านี้คือ บริการตามบทบาทบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล เมื่อคุณติดตั้งบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล คุณสามารถติดตั้งหนึ่งบริการหรือมากกว่าหนึ่งบทบาทได้โดยการเรียกใช้ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะ

บน Windows Server บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลมีความสามารถในการจัดการจากส่วนกลาง กำหนดค่า และตรวจสอบ DirectAccess และ VPN ด้วยบริการการเข้าถึงระยะไกล Routing and Remote Access Service (RRAS) สามารถใช้ DirectAccess และ RRAS บน Edge Server เดียวกันและจัดการโดยใช้คำสั่ง Windows PowerShell และ Remote Access Management Console (MMC)

บริการเดสก์ท็อประยะไกล

บริการเดสก์ท็อประยะไกลช่วยเร่งและขยายการปรับใช้เดสก์ท็อปและแอปพลิเคชันบนอุปกรณ์ใดๆ ทำให้ผู้ปฏิบัติงานระยะไกลมีประสิทธิภาพมากขึ้นในขณะเดียวกันก็รักษาความปลอดภัยทรัพย์สินทางปัญญาที่สำคัญและทำให้การปฏิบัติตามข้อกำหนดง่ายขึ้น บริการเดสก์ท็อประยะไกลประกอบด้วยโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) เดสก์ท็อปแบบเซสชัน และแอปพลิเคชัน ทำให้ผู้ใช้สามารถทำงานได้จากทุกที่

บริการเปิดใช้งานปริมาณ

Volume License Activation Services คือบทบาทเซิร์ฟเวอร์ใน Windows Server ที่เริ่มต้นด้วย Windows Server 2012 ที่ทำให้การออกและการจัดการ Volume License สำหรับซอฟต์แวร์ Microsoft ในสถานการณ์และสภาพแวดล้อมต่างๆ เป็นไปโดยอัตโนมัติและง่ายขึ้น คุณสามารถติดตั้งและกำหนดค่า Key Management Service (KMS) และการเปิดใช้งาน Active Directory ร่วมกับ Volume License Activation Services ได้

เว็บเซิร์ฟเวอร์ (IIS)

บทบาทเว็บเซิร์ฟเวอร์ (IIS) ใน Windows Server จัดเตรียมแพลตฟอร์มสำหรับการโฮสต์เว็บไซต์ บริการ และแอปพลิเคชัน การใช้เว็บเซิร์ฟเวอร์ทำให้ผู้ใช้สามารถเข้าถึงข้อมูลบนอินเทอร์เน็ต อินทราเน็ต และเอกซ์ทราเน็ต ผู้ดูแลระบบสามารถใช้บทบาทเว็บเซิร์ฟเวอร์ (IIS) เพื่อตั้งค่าและจัดการเว็บไซต์ เว็บแอปพลิเคชัน และไซต์ FTP หลายรายการ คุณสมบัติพิเศษมีดังต่อไปนี้

• ใช้ Internet Information Services (IIS) Manager เพื่อกำหนดค่าส่วนประกอบ IIS และจัดการเว็บไซต์
• การใช้โปรโตคอล FTP เพื่อให้เจ้าของเว็บไซต์สามารถอัพโหลดและดาวน์โหลดไฟล์ได้
• การใช้การแยกเว็บไซต์เพื่อป้องกันไม่ให้เว็บไซต์หนึ่งบนเซิร์ฟเวอร์ส่งผลกระทบต่อเว็บไซต์อื่น
• การปรับแต่งเว็บแอปพลิเคชันที่พัฒนาโดยใช้เทคโนโลยีต่างๆ เช่น Classic ASP, ASP.NET และ PHP
• ใช้ Windows PowerShell เพื่อจัดการงานการดูแลระบบเว็บเซิร์ฟเวอร์ส่วนใหญ่โดยอัตโนมัติ
• รวมเซิร์ฟเวอร์เว็บหลายตัวไว้ในฟาร์มเซิร์ฟเวอร์ที่สามารถจัดการได้โดยใช้ IIS

บริการการปรับใช้ Windows

Windows Deployment Services ช่วยให้คุณสามารถปรับใช้ระบบปฏิบัติการ Windows ผ่านเครือข่าย ซึ่งหมายความว่าคุณไม่จำเป็นต้องติดตั้งระบบปฏิบัติการแต่ละระบบโดยตรงจากซีดีหรือดีวีดี

ประสบการณ์ Windows Server Essentials

บทบาทนี้ช่วยให้คุณทำงานต่อไปนี้:

• ปกป้องข้อมูลเซิร์ฟเวอร์และไคลเอ็นต์โดยสำรองข้อมูลเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ทั้งหมดบนเครือข่าย
• จัดการผู้ใช้และกลุ่มผู้ใช้ผ่านแดชบอร์ดเซิร์ฟเวอร์ที่เรียบง่าย นอกจากนี้ การรวมเข้ากับ Windows Azure Active Directory* ช่วยให้ผู้ใช้เข้าถึงบริการออนไลน์ของ Microsoft ทางออนไลน์ (เช่น Office 365, Exchange Online และ SharePoint Online) ได้อย่างง่ายดายโดยใช้ข้อมูลประจำตัวของโดเมน
• จัดเก็บข้อมูลบริษัทไว้ในที่ส่วนกลาง
• รวมเซิร์ฟเวอร์เข้ากับ Microsoft Online Services (เช่น Office 365, Exchange Online, SharePoint Online และ Windows Intune):
• ใช้คุณสมบัติการเข้าถึงที่แพร่หลายบนเซิร์ฟเวอร์ (เช่น การเข้าถึงเว็บระยะไกลและเครือข่ายส่วนตัวเสมือน) เพื่อเข้าถึงเซิร์ฟเวอร์ คอมพิวเตอร์เครือข่าย และข้อมูลจากตำแหน่งระยะไกลที่มีความปลอดภัยสูง
• เข้าถึงข้อมูลจากทุกที่และจากอุปกรณ์ใด ๆ โดยใช้เว็บพอร์ทัลขององค์กร (ผ่านการเข้าถึงเว็บระยะไกล)
• จัดการอุปกรณ์เคลื่อนที่ที่เข้าถึงอีเมลขององค์กรของคุณด้วย Office 365 ผ่านโปรโตคอล Active Sync จากแดชบอร์ด
• ตรวจสอบสถานะของเครือข่ายและรับรายงานสถานะที่ปรับแต่งได้ สามารถสร้างรายงานตามความต้องการ ปรับแต่ง และส่งอีเมลไปยังผู้รับเฉพาะราย

บริการอัพเดต Windows Server

เซิร์ฟเวอร์ WSUS มีส่วนประกอบที่ผู้ดูแลระบบต้องการเพื่อจัดการและเผยแพร่การอัปเดตผ่านคอนโซลการจัดการ นอกจากนี้ เซิร์ฟเวอร์ WSUS ยังสามารถเป็นแหล่งที่มาของการอัปเดตสำหรับเซิร์ฟเวอร์ WSUS อื่นๆ ในองค์กร เมื่อใช้งาน WSUS เซิร์ฟเวอร์ WSUS อย่างน้อยหนึ่งเครื่องบนเครือข่ายต้องเชื่อมต่อกับ Microsoft Update เพื่อรับข้อมูลเกี่ยวกับการอัปเดตที่มี ขึ้นอยู่กับความปลอดภัยและการกำหนดค่าของเครือข่าย ผู้ดูแลระบบสามารถกำหนดจำนวนเซิร์ฟเวอร์อื่นที่เชื่อมต่อโดยตรงกับ Microsoft Update