Руководство по основной сети для Windows Server Core network guidance for Windows Server

Область применения: Windows Server, Windows Server 2016 Applies to: Windows Server, Windows Server 2016

В этом разделе содержится обзор основного сетевого руководства для Windows Server ® 2016 и приведены следующие разделы. This topic provides an overview of the Core network guidance for Windows Server® 2016, and contains the following sections.

Введение в концепцию основной сети Windows Server Introduction to the Windows Server Core Network

Основная сеть — это набор сетевого оборудования, устройств и программного обеспечения, который обеспечивает работу основных служб для удовлетворения ИТ-потребностей предприятия. A core network is a collection of network hardware, devices, and software that provides the fundamental services for your organization’s information technology (IT) needs.

Основная сеть Windows Server предоставляет много преимуществ, в том числе перечисленные ниже. A Windows Server core network provides you with many benefits, including the following.

Основные протоколы для организации связи компьютеров и других TCP/IP-совместимых устройств между собой по сети. Core protocols for network connectivity between computers and other Transmission Control Protocol/Internet Protocol (TCP/IP) compatible devices. TCP/IP — это набор стандартных протоколов для соединения компьютеров и построения сетей. TCP/IP is a suite of standard protocols for connecting computers and building networks. TCP/IP — это программное обеспечение сетевого протокола, предоставляемое в ® ® операционных системах Microsoft Windows, которое реализует и поддерживает набор протоколов TCP/IP. TCP/IP is network protocol software provided with Microsoft® Windows® operating systems that implements and supports the TCP/IP protocol suite.

Автоматическая адресация DHCP-сервера Dynamic Host Configuration Protocol (DHCP) server automatic IP addressing. Настройка IP-адресов вручную на всех компьютерах сети отнимает время и обладает меньшей гибкостью, чем динамическое предоставление IP-адресов в аренду компьютерам и другим устройствам DHCP-сервером. Manual configuration of IP addresses on all computers on your network is time-consuming and less flexible than dynamically providing computers and other devices with IP address leases from a DHCP server.

Служба доменных имен (DNS). Domain Name System (DNS) name resolution service. Служба DNS предоставляет пользователям, компьютерам, приложениям и службам возможность выполнять поиск IP-адресов компьютеров и устройств в сети по полному доменному имени компьютера или устройства. DNS allows users, computers, applications, and services to find the IP addresses of computers and devices on the network by using the Fully Qualified Domain Name of the computer or device.

Лес — это один или несколько доменов Active Directory, использующих одни и те же определения классов и атрибутов (схему), сведения о сайтах и репликации (конфигурацию), а также возможности поиска по всему лесу (глобальный каталог). A forest, which is one or more Active Directory domains that share the same class and attribute definitions (schema), site and replication information (configuration), and forest-wide search capabilities (global catalog).

Корневой домен леса — это первый домен, созданный в лесу. A forest root domain, which is the first domain created in a new forest. В корневом домене леса находятся группы «Администраторы предприятия» и «Администраторы схемы» — группы администраторов уровня леса. The Enterprise Admins and Schema Admins groups, which are forest-wide administrative groups, are located in the forest root domain. Кроме того, корневой домен леса, как и другие домены, представляет собой набор компьютеров, пользователей и объектов-групп, определенных администраторами в доменных службах Active Directory . In addition, a forest root domain, as with other domains, is a collection of computer, user, and group objects that are defined by the administrator in Active Directory Domain Services (AD DS). Эти объекты используют общую базу данных каталога и политики безопасности. These objects share a common directory database and security policies. Они также могут совместно использовать отношения безопасности с другими доменами, если последние добавляются по мере расширения предприятия. They can also share security relationships with other domains if you add domains as your organization grows. Служба каталогов также хранит данные каталогов и позволяет авторизованным компьютерам, приложениям и пользователям получать доступ к данным. The directory service also stores directory data and allows authorized computers, applications, and users to access the data.

База данных учетных записей пользователей и компьютеров. A user and computer account database. Служба каталогов представляет собой централизованную базу данных учетных записей пользователей, которая позволяет создавать учетные записи пользователей и компьютеров, имеющих право подключаться к сети и получать доступ к сетевым ресурсам, таким как приложения, базы данных, общие файлы, папки и принтеры. The directory service provides a centralized user accounts database that allows you to create user and computer accounts for people and computers that are authorized to connect to your network and access network resources, such as applications, databases, shared files and folders, and printers.

Концепция основной сети предусматривает возможность масштабировать сеть по мере роста предприятия и изменения требований к ИТ. A core network also allows you to scale your network as your organization grows and IT requirements change. Например, в основной сети можно добавлять домены, IP-подсети, службы удаленного доступа, Беспроводные службы и другие функции и серверные роли, предоставляемые Windows Server 2016. For example, with a core network you can add domains, IP subnets, remote access services, wireless services, and other features and server roles provided by Windows Server 2016.

Основное сетевое руководством для Windows Server Core Network Guide for Windows Server

Руководство по основным сетевым компонентам Windows Server 2016 содержит инструкции по планированию и развертыванию основных компонентов, необходимых для полностью работоспособной сети, а также нового ® домена Active Directory в новом лесу. The Windows Server 2016 Core Network Guide provides instructions on how to plan and deploy the core components required for a fully functioning network and a new Active Directory® domain in a new forest. Используя это руководство, можно развертывать компьютеры, на которых настроены следующие компоненты сервера Windows: Using this guide, you can deploy computers configured with the following Windows server components:

роль сервера доменных служб Active Directory (AD DS); The Active Directory Domain Services (AD DS) server role

роль сервера службы доменных имен (DNS); The Domain Name System (DNS) server role

роль DHCP-сервера; The Dynamic Host Configuration Protocol (DHCP) server role

служба роли сервера политики сети роли сервера служб политики сети и доступа; The Network Policy Server (NPS) role service of the Network Policy and Access Services server role

роль сервера «Веб-сервер (IIS)»; The Web Server (IIS) server role

подключения TCP/IP версии 4 на отдельных серверах. Transmission Control Protocol/Internet Protocol version 4 (TCP/IP) connections on individual servers

Это краткое справочное по можно найти в следующем расположении. This guide is available at the following location.

• Основное сетевое руководством в технической библиотеке Windows Server 2016. The Core Network Guide in the Windows Server 2016 Technical Library.

—>

Постройте свое будущее с Windows Server 2019

Реализовать любую стратегию развития вашей организации поможет Windows Server 2019 — операционная система, которая объединяет локальные среды с сервисами Azure, поддерживает гибридные сценарии использования и позволяет извлечь максимальную выгоду из существующих инвестиций.

Windows Server Summit 2020

Узнайте о новейших функциях и возможностях Windows Server — непосредственно от специалистов Microsoft. Посмотрите демонстрации и ознакомьтесь с рекомендациями по модернизации рабочих нагрузок независимо от того, где вы используете Windows Server: в локальной среде, в гибридной среде или в Azure.

Microsoft Ignite

Конференция Ignite прошла 22–24 сентября 2020 г. — это было наше первое цифровое мероприятие! Посмотрите выступления об инновационных возможностях Windows Server, которые вы пропустили.

Виртуальное мероприятие, посвященное гибридному облаку Azure

Узнайте, как создать эффективную гибридную и многооблачную стратегию, отвечающую современным меняющимся требованиям бизнеса, и подготовиться к будущему в рамках этого бесплатного онлайн-мероприятия продолжительностью 60 минут.

Сервер сети Microsoft: использовать цифровую подпись (всегда) Microsoft network server: Digitally sign communications (always)

Область применения Applies to

• Windows 10. Windows 10
• Windows Server Windows Server

В этой статье описываются лучшие методики, расположение, значения, вопросы управления политиками и безопасности для сетевого сервера Майкрософт: параметр политики безопасности «Цифровая подпись» (всегда) для SMBv3 и SMBv2. Describes the best practices, location, values, policy management and security considerations for the Microsoft network server: Digitally sign communications (always) security policy setting for SMBv3 and SMBv2.

Справочные материалы Reference

Протокол SMB обеспечивает основу для общего доступа к файлам и печати и многих других сетевых операций, таких как удаленное администрирование Windows. The Server Message Block (SMB) protocol provides the basis for file and print sharing and many other networking operations, such as remote Windows administration. Чтобы предотвратить атаки «человек в середине», которые изменяют пакеты SMB при их переходе, протокол SMB поддерживает цифровую подпись пакетов SMB. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets.

Реализация цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить подступы клиентских компьютеров и серверов, которые называются перехватом сеансов. Implementation of digital signatures in high-security networks helps prevent the impersonation of client computers and servers, which is known as «session hijacking.» Однако неправильное использование этих параметров политики может привести к сбою доступа к данным. But misuse of these policy settings can cause data access failure.

Начиная с клиентов и серверов SMBv2 подпись может быть обязательной или не обязательной. Beginning with SMBv2 clients and servers, signing can be either required or not required. Если этот параметр политики включен, клиенты SMBv2 будут подписывать все пакеты цифровой подписью. If this policy setting is enabled, SMBv2 clients will digitally sign all packets. Другой параметр политики определяет, требуется ли подпись для связи между серверами SMBv3 и SMBv2: сетевой клиент Майкрософт: цифровая подпись (всегда). Another policy setting determines whether signing is required for SMBv3 and SMBv2 server communications: Microsoft network client: Digitally sign communications (always).

Существует согласование между клиентом SMB и сервером SMB, чтобы решить, будет ли эффективно использоваться подпись. There is a negotiation done between the SMB client and the SMB server to decide whether signing will effectively be used. В следующей таблице приводится эффективное поведение для SMBv3 и SMBv2. The following table has the effective behavior for SMBv3 and SMBv2.

Сервер — обязательно Server – Required	Сервер — не требуется Server – Not Required
Клиент — обязательно Client – Required	Подписано Signed	Подписано Signed
Клиент — не требуется Client – Not Required	Подписано 1 Signed 1	Не подписано 2 Not Signed 2

1 По умолчанию для трафика SMB контроллера домена 1 Default for domain controller SMB traffic 2 По умолчанию для всего другого трафика SMB 2 Default for all other SMB traffic

В SMBv2 улучшена производительность подписи SMB. Performance of SMB signing is improved in SMBv2. Дополнительные сведения см. в сведениях о потенциальном влиянии. For more details, see Potential impact.

Возможные значения Possible values

• Enabled Enabled
• Отключено Disabled

Рекомендации Best practices

Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Отключено Disabled
Политика контроллера домена по умолчанию Default Domain Controller Policy	Включено Enabled
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Включено Enabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

При перехвате сеанса используются средства, позволяющие злоумышленникам, которые имеют доступ к той же сети, что и клиентские устройства или серверы, прервать, закончить или украсть сеанс. Session hijacking uses tools that allow attackers who have access to the same network as the client device or server to interrupt, end, or steal a session in progress. Злоумышленники могут перехватывать и изменять неподписаные пакеты SMB, а затем изменять трафик и переадпорировать его, чтобы сервер мог выполнять нежелательные действия. Attackers can potentially intercept and modify unsigned Server Message Block (SMB) packets and then modify the traffic and forward it so that the server might perform objectionable actions. Кроме того, злоумышленник может представлять себя в качестве сервера или клиентского устройства после проверки подлинности и получить несанкционированный доступ к данным. Alternatively, the attacker could pose as the server or client device after legitimate authentication and gain unauthorized access to data.

SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. SMB is the resource-sharing protocol that is supported by many Windows operating systems. Он является основой многих современных функций, таких как direct, реплика хранилища и SMB Direct, а также многих устаревших протоколов и средств. It is the basis of many modern features like Storage Spaces Direct, Storage Replica, and SMB Direct, as well as many legacy protocols and tools. Если ни одна из сторон не проходит проверку подлинности, передача данных не происходит. If either side fails the authentication process, data transmission does not take place.

Противодействие Countermeasure

Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).

Альтернативным мерой противодействия, которое может защитить весь сетевой трафик, является реализация цифровых подписей с помощью IPsec. An alternative countermeasure that could protect all network traffic is to implement digital signatures with IPsec. Существуют аппаратные ускорители для шифрования IPsec и подписи, которые можно использовать, чтобы свести к минимуму влияние на производительность ЦП серверов. There are hardware-based accelerators for IPsec encryption and signing that could be used to minimize the performance impact on the servers’ CPUs. Такие ускорители недоступны для подписи SMB. No such accelerators are available for SMB signing.

Возможное влияние Potential impact

Скорость хранения влияет на производительность. Storage speeds impact performance. Чем быстрее диск в источнике и назначении, тем выше пропускная способность, что приводит к большему использованию подписи ЦП. A faster drive on the source and destination allows more throughput, which causes more CPU usage of signing. Если вы используете сеть Ethernet объемом 1 ГБ или более низкую скорость хранения с современным ЦП, производительность будет ограничена. If you are using a 1 Gb Ethernet network or slower storage speed with a modern CPU, there is limited degradation in performance. Если вы используете более быструю сеть (например, 10 ГБ), влияние подписи на производительность может быть больше. If you are using a faster network (such as 10 Gb), the performance impact of signing may be greater.