Управление учетными записями запуска от имени в service manager

Предварительные условия

Чтобы запустить контейнер Windows с помощью групповой управляемой учетной записи службы, вам потребуется следующее:

  • Домен Active Directory по меньшей мере с одним контроллером домена под управлением Windows Server 2012 или более поздней версии. Для использования gMSA требования к режиму работы домена или леса отсутствуют, но пароли gMSA могут распространяться только контроллерами домена под управлением Windows Server 2012 или более поздней версии. Дополнительные сведения см. в разделе .
  • Разрешение на создание учетной записи gMSA. Чтобы создать учетную запись gMSA, необходимо быть администратором домена или использовать учетную запись, которой делегировано разрешение Create msDS-GroupManagedServiceAccount objects.
  • Доступ к Интернету, чтобы скачать модуль CredentialSpec среды PowerShell. При работе в автономной среде можно сохранить модуль на компьютере с доступом к Интернету и скопировать его на компьютер разработки или узел контейнера.

Проверка

Перед продолжением развертывания проверьте результаты развертывания, просмотрев следующие элементы:

  • Убедитесь, что все серверы AD FS имеют действительный сертификат проверки подлинности
    • Субъект сертификата — это общее имя (полное доменное имя) узла или подстановочное имя.
    • Альтернативное имя сертификата содержит подстановочное имя или полное доменное имя службы федераций
  • Убедитесь, что ферма AD FS имеет достаточное число узлов и нагрузка на нее будет правильно сбалансирована для ожидаемой нагрузки.
  • Убедитесь, что на все серверы AD FS в ферме установлены последние обновления.
  • Убедитесь, что перезапустили службу AD FS.
  • Убедитесь, что вы создали запись A DNS для службы федерации и используемый IP-адрес — это IP-адрес балансировки нагрузки.
  • Убедитесь, вы создали и развернули параметры зоны интрасети, чтобы предотвратить двойную проверку подлинности на сервере федерации.

Изменение разделов реестра на сервере

Настроив соответствующие параметры групповой политики, корпоративные клиенты могут согласиться на сбор данных об использовании и данных диагностики или отказаться от него. Для этого нужно создать политику на основе реестра. Ниже приведены соответствующие подразделы и параметры реестра:

  • Для настройки экземпляра SQL Server:

    Подраздел = HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\{идентификатор экземпляра}\CPE

    Имя записи = CustomerFeedback

    Тип записи DWORD: 0 — не участвовать; 1 — участвовать

    {InstanceID} указывает тип экземпляра и сам экземпляр, как показано в следующих примерах:

    • MSSQL14.CANBERRA обозначает ядро СУБД SQL Server 2017 и имя экземпляра CANBERRA;
    • MSAS14.CANBERRA обозначает ядро СУБД SQL Server 2017 Analysis Services и имя экземпляра CANBERRA;
  • Для компонентов экземпляра SQL Server Reporting Services 2017 и более поздних версий:

    Подраздел = HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\SSRS\CPE

    Имя записи = CustomerFeedback

    Тип записи DWORD: 0 — не участвовать; 1 — участвовать

  • Для всех общих компонентов:

    Подраздел = HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\{основная версия}

    Имя записи = CustomerFeedback

    Тип записи DWORD: 0 — не участвовать; 1 — участвовать

Примечание

{Major Version} обозначает основную версию SQL Server. Например, 140 соответствует версии SQL Server 2017.

Сведения об SQL Server Management Studio 17 и 18 см. в статье Локальный аудит для сбора отзывов об использовании SSMS.

Подготовка узла контейнера

Каждый узел контейнера, на котором будет запускаться контейнер Windows с помощью gMSA, должен быть присоединен к домену и иметь доступ для получения пароля gMSA.

  1. Присоедините компьютер к домену Active Directory.

  2. Убедитесь, что узел принадлежит группе безопасности, управляющей доступом к паролю gMSA.

  3. Перезагрузите компьютер, чтобы он получил новое членство в группе.

  4. Настройте Docker Desktop для Windows 10 или Docker для Windows Server.

  5. (Рекомендуется.) Убедитесь, что узел может использовать учетную запись gMSA, выполнив команду Test-ADServiceAccount. Если команда возвращает значение False, следуйте .

Создание учетной записи пользователя в Windows 10

Технический уровень : Средний

В данной статье я расскажу о том, как создать учетную запись пользователя в Windows 10 различными способами.

Если у вас не получается создать учетную запись одним из способов, попробуйте другой)

На скриншотах в данной статьи ОС Windows 10 Build 1703

Создание учетной записи пользователя с помощью «Параметров» Windows 10

Это самый простой способ создания учетной записи пользователя в Windows 10.

Необходимо открыть пуск-Параметры :

В параметрах нужно открыть раздел «Учетные записи»

Далее нужно выбрать раздел «Семья и другие люди» и в нем нажать «Добавить пользователя этого компьютера»

Далее можно добавить:

-учетную запись Microsoft нового пользователя

-локальную учетную запись, нажав «у меня нет данных для входа этого человека».

В своей статье я покажу как создать локальную учетную запись.

Нажимаем на «у меня нет данных для входа этого человека» :

В следующем окне нужно будет ввести имя пользователя, пароль для его учетной записи (два раза) и подсказку, по которой пользователь сможет вспомнить свой пароль.

Поля раздела «обеспечьте безопасность» не являются обязательными, и если вы уверены, что новому пользователю не нужен пароль, их можно не заполнять.

Внимание! Создание учетной без пароля снижает безопасность ПК! Если у учетной записи нет пароля, доступ к ней сможет получить любой пользователь, который физически окажется рядом с вашим ПК. Теперь нужно нажать кнопку «далее»

Теперь нужно нажать кнопку «далее».

Учетная запись будет создана, на экране снова отобразится меню » Параметры учетной записи».

По умолчанию, новый созданный пользователь имеет права «обычного пользователя».

Но если вы хотите сделать его администратором компьютера, вам нужно в разделе «Семья и другие люди» нажать на имя нового пользователя :

И далее нажать на «Изменить тип учетной записи».

Откроется окно, в котором вы можете выбрать тип учетной записи «Администратор» и нажать ОК :

Всё! Локальная учетная запись пользователя с правами Администратора создана.

Зайти в неё можно кликнув в меню пуск по аватару своей учетной записи и затем нажать на имя новой учетной записи :

Создание учетной записи пользователя в Windows 10 с помощью командной строки.

Иногда не получается создать учетную запись пользователя используя меню «Параметры», в таких случаях можно попробовать воспользоваться командной строкой.

Самый простой способ открытия командной строки, в строке поиска ввести CMD и затем нажать правой кнопкой на «командная строка» и выбрать «Запустить от имени администратора» :

Откроется командная строка от имени администратора.

В ней нужно ввести :

net user имя_пользователя пароль /add

net user имя_пользователя /add

Первый способ создает учетную запись пользователя с паролем, второй без пароля.

Учетная запись создается с правами «обычного пользователя».

Чтобы предоставить созданному нами пользователю права администратора нужно ввести команду :

net localgroup Администраторы имя_пользователя /add

Примечание:

В англоязычных версиях Windows, вместо «Администраторы» нужно писать «Administrators».

Таким образом мы создали локальную учетную запись нового пользователя с правами администратора.

Создание учетной записи пользователя в Windows 10 с помощью оснастки «Локальные пользователи и группы»

Внимание! Данный способ не подходит для Windows 10 Home и Windows 10 Home SL!

В данных редакция ОС нет этой оснастки.

После ввода необходимой для запуска оснастки команды в этих редакциях появляется окно :

Итак! У вас Windows 10 Pro или Windows 10 Корпоративная (если вы представитель организации).

В данных редакциях ОС есть оснастка «Локальные пользователи и группы».

Чтобы её открыть нужно в строке поиска ввести команду :

И выбрать то, что появится в результатах поиска

Теперь в окне, которое открылось, нужно выбрать папку пользователи, и нажать на странице отображения этой папки правой кнопкой мыши, затем выбрать «Новый пользователь» :

Откроется окно добавления нового пользователя, в нем обязательно поле только одно «Пользователь»:

Нужно заполнить как минимум его и нажать кнопку создать.

Пользователь будет создан, но окно не закроется. Для закрытия нужно нажать на кнопку закрыть.

Пользователь будет создан с правами «обычный пользователь».

Чтобы дать ему права администратора (если это нужно), требуется нажать на имя нового пользователя правой кнопкой мыши, и выбрать «Свойства».

После этого в вкладке «Членство в группах» нужно нажать на кнопку «Добавить» :

Затем нужно ввести название группы Администраторы и нажать ОК.

Примечание:

В англоязычных версиях Windows, вместо «Администраторы» нужно писать «Administrators».

Всё! Учетная запись нового пользователя с правами администратора создана.

Сводка

По умолчанию Microsoft SQL Server собирает сведения о том, как пользователи используют приложение. В частности, SQL Server собирает сведения об установке, использовании и производительности. Эти сведения помогают корпорации Майкрософт улучшать продукты и удовлетворять ожидания клиентов. Например, корпорация Майкрософт собирает сведения о кодах ошибок, с которыми сталкиваются пользователи. Это помогает нам исправлять вызвавшие их проблемы, улучшать качество документации об использовании SQL Server и определять, нужно ли добавить в продукт новые возможности, которые будут полезны нашим клиентам.

При этом, используя этот механизм, корпорация Майкрософт не собирает следующие данные:

  • любые значения из пользовательских таблиц;
  • любые учетные данные или другие параметры аутентификации;
  • Личные данные

В примере ниже показано, какие именно сведения об использовании компонентов помогают нам улучшить продукт.

SQL Server 2017 поддерживает индексы columnstore для сценариев быстрого анализа. Индексы columnstore сочетают традиционную для индексов структуру сбалансированного дерева для новых данных с особым алгоритмом сжатия на основе характеристик столбцов, который позволяет успешно сжимать данные и ускорять выполнение запросов. Продукт выполняет эвристический анализ для переноса в фоновом режиме данных из структуры сбалансированного дерева в сжатую структуру, чтобы ускорить выполнение последующих запросов.

Если механизм фоновой обработки не успевает обрабатывать данные с той скоростью, с которой добавляются новые данные, производительность запросов может оказаться медленнее ожидаемой. Чтобы повысить производительность продукта, корпорация Майкрософт собирает сведения о том, насколько хорошо SQL Server справляется с процессом автоматического сжатия данных. Команда разработчиков использует эти сведения для точной настройки частоты выполнения и параллелизма в коде, который выполняет сжатие. Время от времени выполняется запрос для сбора этой информации, который позволяет корпорации Майкрософт оценить скорость перемещения данных. Это помогает оптимизировать эвристические возможности продукта.

Не забывайте, что этот процесс контролирует механизмы, предоставляющие важную для клиентов функциональность. Команда разработчиков не просматривает данные, содержащиеся в индексе, и не отправляет эти данные в корпорацию Майкрософт. SQL Server всегда собирает и отправляет сведения о ходе установки. Это помогает нам быстро обнаруживать и исправлять любые проблемы, которые возникают у клиентов при установке. Можно настроить SQL Server 2017 и более поздние версии продукта так, чтобы он не отправлял в корпорацию Майкрософт какие-либо сведения. Такое поведение настраивается отдельно для каждого экземпляра сервера приведенными ниже способами.

  • С помощью приложения отчетов об ошибках и использовании.
  • С помощью настройки определенных разделов реестра на сервере.

См. дополнительные сведения об отзывах клиентов SQL Server в Linux.

Примечание

Вы можете отключить отправку данных в корпорацию Майкрософт только в платной версии SQL Server.

Развертывание фермы серверов федерации

При развертывании новой фермы серверов администратору службы необходимо определить:

  • поддерживает ли служба использование групповых управляемых учетных записей служб;

  • требует ли служба проверки подлинности входящих или исходящих подключений;

  • имена учетных записей компьютеров для входящих в службу узлов с использованием групповых управляемых учетных записей служб;

  • NetBIOS-имя службы;

  • имя DNS-узла службы;

  • имена субъектов-служб (SPN) для службы;

  • периодичность смены пароля (по умолчанию 30 дней).

Шаг 1. Создание групповых управляемых учетных записей служб

создать gMSA можно только в том случае, если схема леса была обновлена до Windows Server 2012, корневой ключ главного Active Directory развернут, а в домене, в котором будет создан gMSA, есть по крайней мере один Windows Server 2012 контроллер домена.

Членство в группах «Администраторы домена» или возможность создания объектов MsDS-граупманажедсервицеаккаунт является минимальным требованием для выполнения следующих процедур.

Примечание

Значение параметра-Name всегда является обязательным (если вы указали-Name или NOT), где-DNSHostName,-Рестрикттосинглекомпутер и-Рестрикттуутбаундаусентикатион являются вторичными требованиями для трех сценариев развертывания.

на Windows Server 2012 контроллере домена запустите Windows PowerShell на панели задач.

Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД (модуль Active Directory загрузится автоматически):
New-Адсервицеаккаунт строка > -dNSHostName
Параметр
Строка
Пример
Имя
Имя учетной записи
ITFarm1
DNSHostName
Имя DNS-узла службы
ITFarm1.contoso.com
KerberosEncryptionType
Любые виды шифрования, поддерживаемые серверами узлов
None, RC4, AES128, AES256
ManagedPasswordIntervalInDays
Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30)
90
PrincipalsAllowedToRetrieveManagedPassword
Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы
ITFarmHosts
SamAccountName
NetBIOS-имя службы, если не совпадает с именем
ITFarm1
ServicePrincipalNames
Имена субъектов-служб (SPN) для службы
HTTP/ITFarm1. contoso. com/contoso. com, HTTP/ITFarm1. contoso. com/contoso, HTTP/ITFarm1/contoso. com, HTTP/ITFarm1/Contoso, MSSQLSvc/ITFarm1. contoso. com: 1433, MSSQLSvc/ITFarm1. contoso

com: INST01
Важно!
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.

Пример
Введите команды в одну строку, даже если кажется, что из-за ограничений форматирования они переносятся по словам на другую строку.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена либо Операторы учета или наличие права на создание объектов msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.

Приложение отчетов об ошибках и использовании

По завершении установки вы можете изменить параметры сбора данных об использовании и данных диагностики для компонентов и экземпляров SQL Server с помощью приложения отчетов об ошибках и использовании. Это приложение доступно как часть установки SQL Server. Это средство позволяет настроить параметр «Отчеты об использовании» отдельно для каждого экземпляра SQL Server.

Примечание

Приложение отчетов об ошибках и использовании размещается в списке средств настройки SQL Server. Средство можно использовать для управления настройками, а также для сбора отчетов об ошибках, данных об использовании и данных диагностики точно так же, как в SQL Server 2017. Отчеты об ошибках создаются отдельно от сбора данных об использовании и данных диагностики, что позволяет включать и отключать эти механизмы отдельно. С отчетом об ошибках в корпорацию Майкрософт отправляются аварийные дампы, которые могут содержать конфиденциальные сведения, как описано в заявлении о конфиденциальности.

Приложение «Отчеты об ошибках и использовании» не включено в настройку SQL Server Reporting Services 2017 и более поздних версий. Единственным механизмом, доступным для настройки отправки сведений в корпорацию Майкрософт, является настройка подразделов реестра на сервере.

Чтобы открыть средство отчетов об ошибках и использовании SQL Server, выберите Пуск и выполните поиск по слову «ошибка». Вы увидите элемент отчетов об ошибках и использовании SQL Server. Запустив это средство, вы сможете управлять данными об использовании, серьезных ошибках и данными диагностики, которые собираются для экземпляров и компонентов, установленных на соответствующем компьютере.

В платной версии вы можете использовать флажки «Отчеты об использовании», чтобы управлять отправкой данных об использовании и данных диагностики в корпорацию Майкрософт.

Как в платной, так и в бесплатной версиях можно использовать флажки «Отчеты об ошибках», чтобы управлять отправкой сведений о серьезных ошибках и аварийных дампов в корпорацию Майкрософт.

Балансировка нагрузки на серверы федерации AD FS

Во многих средах балансировка нагрузки выполняется с помощью аппаратных средств. Среды без возможности аппаратной балансировки нагрузки могут использовать включенный в Windows Server компонент балансировки нагрузки сети, чтобы балансировать нагрузку на серверы AD FS в ферме федерации. Установите компонент балансировки нагрузки сети Windows на все узлы, участвующих в ферме AD FS, нагрузка на которую должна быть сбалансирована.

Установка компонента балансировки сетевой нагрузки на серверы AD FS

Выполните вход на сервер федерации с помощью учетной записи, эквивалентной администратору предприятия.

  1. Запустите Диспетчер серверов. В области навигации щелкните Локальный сервер.
  2. Щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты.
  3. На странице Перед работой нажмите кнопку Далее.
  4. На странице Выбор типа установки выберите параметр Установка ролей или компонентов и нажмите кнопку Далее.
  5. На странице Выбор целевого сервера выберите Выберите сервер из пула серверов. Выберите сервер федерации из списка Пул серверов. Нажмите кнопку Далее.
  6. На странице Выбор ролей сервера нажмите кнопку Далее.
  7. На странице Выбор компонентов выберите Балансировка сетевой нагрузки.
  8. Чтобы начать установку компонента, нажмите кнопку Установить.

Настройка балансировки сетевой нагрузки для AD FS

Прежде чем можно будет сбалансировать нагрузку на все узлы в ферме AD FS, необходимо создать новый кластер балансировки нагрузки. После создания кластера можно добавить новые узлы в кластер.

Выполните вход на узел фермы федерации с помощью учетной записи, эквивалентной администратору.

  1. Откройте Диспетчер балансировки сетевой нагрузки из раздела Администрирование.
  2. Щелкните правой кнопкой мыши Кластеры балансировки сетевой нагрузки и затем Создать кластер.
  3. Для подключения к узлу, который будет входить в новый кластер, в текстовом поле Узел введите имя узла и нажмите кнопку Подключиться.
  4. Выберите интерфейс, который нужно использовать с кластером, и нажмите кнопку Далее. (Интерфейс размещает виртуальный IP-адрес и принимает клиентский трафик для балансировки нагрузки.)
  5. В разделе Параметры узла выберите значение в поле Приоритет (уникальный идентификатор узла). Этот параметр задает уникальный идентификатор для каждого узла. Узел с наименьшим числовым значением приоритета среди текущих членов кластера обрабатывает весь сетевой трафик кластера, не учитываемый правилом для порта. Нажмите кнопку Далее.
  6. В поле IP-адреса кластера нажмите кнопку Добавить и введите IP-адрес кластера, который будет совместно использоваться всеми узлами в кластере. Балансировка сетевой нагрузки добавляет этот IP-адрес в стек TCP/IP на выбранном интерфейсе всех узлов, которые выбираются в качестве части кластера. Нажмите кнопку Далее.
  7. В разделе Параметры кластера выберите значения в IP-адрес и маска подсети (для адресов IPv6 значение маски подсети не требуется). Введите полное имя в Интернете, которое пользователи будут использовать для доступа к этому кластеру балансировки сетевой нагрузки.
  8. В разделе Режим работы кластера щелкните Одноадресная рассылка, чтобы указать, что для операций кластера должен использоваться MAC-адрес для одноадресной рассылки. В режиме одноадресной рассылки MAC-адрес кластера назначается сетевому адаптеру компьютера, а встроенный MAC-адрес сетевого адаптера не используется. Рекомендуется принять параметры одноадресной рассылки по умолчанию. Нажмите кнопку Далее.
  9. В разделе «Правила для портов» нажмите кнопку «Изменить», чтобы изменить правила порта по умолчанию и использовать порт 443.

Дополнительные серверы AD FS

  1. Чтобы добавить дополнительные узлы в кластер, щелкните правой кнопкой мыши новый кластер и нажмите кнопку Добавить узел к кластеру.
  2. Настройте параметры узла (включая приоритет узла, выделенные IP-адреса и оценку нагрузки) для дополнительных узлов, выполнив те же инструкции, которые вы использовали для настройки начального узла. Так как вы добавляете узлы в уже настроенный кластер, все параметры всего кластера остаются неизменными.

Настройка брандмауэра

Система брандмауэра Windows предотвращает несанкционированный доступ к ресурсам компьютера через сетевое подключение. Чтобы получить доступ к службам Службы Integration Services через этот брандмауэр, необходимо настроить брандмауэр для разрешения доступа.

Важно!

Чтобы управлять пакетами, которые хранятся на удаленном сервере, не нужно соединятся с экземпляром службы Службы Integration Services на этом удаленном сервере. Вместо этого измените файл конфигурации для службы Службы Integration Services таким образом, чтобы среда SQL Server Management Studio отображала пакеты, хранимые на удаленном сервере.

Служба Службы Integration Services использует протокол DCOM.

Существует множество систем брандмауэров. При запуске другого брандмауэра обратитесь к документации по нему.

Если брандмауэр поддерживает фильтрацию на уровне приложения, то можно использовать пользовательский интерфейс, предоставляемый Windows для указания исключений, которым разрешается доступ через брандмауэр, например программам и службам. Иначе необходимо установить настройки DCOM, ограничивающие количество портов TCP. Ссылка на веб-сайт Майкрософт в прошлом включала сведения о том, как указать TCP-порты для использования.

Служба Integration Services использует порт 135, который не может быть изменен. Для доступа к диспетчеру управления службами (SCM) необходимо открыть TCP-порт 135. SCM выполняет такие задачи, как запуск и остановка служб Службы Integration Services , а также передачу управляющих запросов выполняемой службе.

Сведения в следующем разделе относятся к брандмауэру Windows. Вы можете настроить систему брандмауэра Windows, введя команду в командной строке или задав свойства в диалоговом окне брандмауэра Windows.

Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компонент Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Настройка брандмауэра Windows

Можно использовать следующие команды для открытия TCP-порта 135, добавления в список исключения MsDtsSrvr.exe и указания области доступа, предоставляемого брандмауэром.

Настройка брандмауэра Windows с помощью окна командной строки

  1. Выполните следующую команду:

  2. Выполните следующую команду:

    Примечание

    Чтобы включить брандмауэр для всех компьютеров, в том числе в сети Интернет, замените предложение «scope=SUBNET» на «scope=ALL».

Следующая процедура описывает, как использовать пользовательский интерфейс Windows для открытия TCP-порта 135, добавления в список исключения MsDtsSrvr.exe и указания области доступа, предоставляемой брандмауэром.

Настройка брандмауэра Windows с помощью диалогового окна

На панели управления дважды щелкните элемент Брандмауэр Windows.

В диалоговом окне Брандмауэр Windows перейдите на вкладку Исключения , затем нажмите кнопку Добавить программу.

В диалоговом окне Добавление программы нажмите кнопку Обзор, найдите папку Program Files\Microsoft SQL Server\100\DTS\Binn, выберите файл MsDtsSrvr.exe и нажмите кнопку Открыть

Нажмите кнопку ОК , чтобы закрыть диалоговое окно Добавить программу .

На вкладке Исключения нажмите кнопку Добавить порт.

В диалоговом окне Добавить порт введите RPC(TCP/135) или другое описательное имя в поле Имя, введите 135 в поле Номер порта и выберите TCP.

Важно!
Службы Integration Services всегда использует порт 135. Другой порт указать нельзя.

В диалоговом окне Добавить порт можно нажать кнопку Изменить область , чтобы изменить область по умолчанию.

В диалоговом окне Изменить область выберите Только локальная сеть (подсеть) или введите пользовательский список и нажмите кнопку ОК.

Чтобы закрыть диалоговое окно Добавить порт , нажмите кнопку ОК.

Чтобы закрыть диалоговое окно Брандмауэр Windows , нажмите кнопку ОК.

Примечание
Для настройки брандмауэра Windows в этой процедуре используется элемент Брандмауэр Windows на панели управления

Элемент Брандмауэр Windows настраивает брандмауэр только для текущего сетевого профиля. Брандмауэр Windows также можно настроить с помощью программы командной строки netsh или оснастки консоли управления Microsoft (MMC) «Брандмауэр Windows в режиме повышенной безопасности». Дополнительные сведения об этих средствах см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Дополнительные серверы федерации

Организациям следует развернуть более одного сервера федерации в их ферме федерации для обеспечения высокого уровня доступности. Следует иметь как минимум две службы федерации в ферме AD FS, однако у большинства организаций, скорее всего, будет больше. Это во основном зависит от числа устройств и пользователей, использующих службы, предоставляемые фермой AD FS.

Сертификат проверки подлинности сервера

Каждый сервер, добавляемый в ферму AD FS, должен иметь соответствующий сертификат проверки подлинности сервера. Требования к сертификату проверки подлинности сервера см. в разделе этого документа. Как уже упоминалось, серверы AD FS, которые используются исключительно для локальных развертываний Windows Hello для бизнеса, могут использовать корпоративные сертификаты проверки подлинности сервера, а не сертификаты проверки подлинности сервера, выданные открытыми центрами сертификации.

Установка дополнительных серверов

Добавление серверов федерации к существующей ферме AD FS начинается с установки всех обновлений на сервер, включая обновление Windows Server 2016, которое необходимо для поддержки развертываний Windows Hello для бизнеса (https://aka.ms/whfbadfs1703). Затем установите роль службы федерации Active Directory (AD FS) на дополнительные серверы и настройте сервер в качестве дополнительного сервера в существующей ферме.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: