1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Управление ролями в Windows Server 2008 Server Core

Содержание

Управление ролями в Windows Server 2008 Server Core

Server Core предоставляет собой минимально-необходимую среду для выполнения конкретных серверных ролей и функций, что снижает затраты на содержание и управление, а также уменьшает поверхность атаки на серверные службы. Поэтому, как только вы настроили сервер, вы можете управлять им только локально из командной строки или удаленно с помощью подключения к серверу терминалов. Третий вариант удаленного управления сервером, — использование оснасток Microsoft Management Console (MMC) или удаленной командной строки.

Следующая статья представляет собой подборку некоторых наиболее полезных команд, позволяющих локально или удаленно управлять Windows Server Core. Вы можете использовать эту подборку в качестве некого справочника, но, как всегда, это не освобождает вас от чтения полного руководства по той или иной роли.

Графические инструменты для Server Core

В Windows Server 2008 было представлено достаточно новинок и наверное одной из главных — возможность установки в варианте Server Core без графического интерфейса. Такой режим имеет много положительных сторон, но вот настройка основных параметров сервера исключительно в командной строке не всем может прийтись по вкусу.

Действительно именно наличие графического интерфейса, ставшего фактически товарным знаком системы от Microsoft, сделало Windows такой популярной системой. Новички достаточно быстро осваивают основные настройки, как системы, так и сервисов. Появление режима Server Core изменило ситуацию в корне. С одной стороны сервер априори стал безопаснее, системные требования к оборудованию изменились в меньшую сторону. Но с другой — новичку приходится выполнять большую часть настроек исключительно в командной строке, что требует уже определенной подготовки. Так на сайте Microsoft приведен такой факт: для установки IIS в Server Core администратор должен ввести 923 символа. Не каждый это сможет сделать без ошибок.
При наличии еще одной системы с установленной Windows 2008, сервером работающим в Server Core можно управлять удаленно используя консоль управления MMC, System Center и некоторые другие инструменты. Ориентированные как правило на администрирование отдельных ролей. В том числе есть варианты и других систем Windows. Например, для настройки Hyper-V можно использовать диспетчер для Vista SP1 ( support.microsoft.com/kb/952627 ). Но таких утилит не много, а при помощи MMC можно сделать далеко не все. Первоначальные установки все равно придется производить в командной строке.
Изначально утилиты для Server Core должны работать без взаимодействия с пользователем, в результате система имеет достаточно ограниченный набор API связанных с графикой. Ссылки на все функции и возможности описаны в документе “Developing Management Applications for Server Core” ( http://msdn.microsoft.com/en-us/library/ms723872(VS.85).aspx ). Например, MMC не работает напрямую с локальной системой, только удаленное управление. Как результат — задача разработки программы с графическим интерфейсом для Server Core несколько затруднена, но это не значит, что она совсем не возможна. В итоге в настоящее время доступно несколько утилит в том числе и имеющих графический интерфейс, при помощи которых можно произвести основные настройки сервера в этом режиме. Интересно, что они хотя и несколько отличаются функционально, но имеют практически одно и то же название.
Зараннее хочу отметить, что ни одна из программ описанных в обзоре не имеет локализованного интерфейса, но все термины являются общепринятыми и при наличии, хотя минимальных знаний языка и принципов настройки разобраться очень просто.

CoreConfigurator

Первой, а поэтому наверное самой известной утилитой на сегодня, является CoreConfigurator ( http://blogs.microsoft.co.il/files/folders/guyt ) разработанный Гаем Теверовским (Guy Teverovsky) в марте 2008. После установки (msiexec /i Configuratorurator.msi) и запуска в меню CoreConfigurator находим 11 пунктов обеспечиващих доступ к основным настройкам, которыми пришлось бы управлять из командной строки:

  • Активация продукта;
  • Настройка разрешения экрана;
  • Настройка часов и временных зон;
  • Установка разрешений для удаленных RDP подключений (администратору и использование устаревшего протокола);
  • Управление локальными учетными записями (создание, удаление, добавление в группы, управление паролями);
  • Установка разрешений для Windows Firewall;
  • Включение/отключение WinRM;
  • Настройка сетевого интерфейса (IP-адрес, маска сети, шлюз, адреса DNS серверов);
  • Установка имени компьютера, рабочей группы или домена;
  • Установка ролей и компонентов Server Core;
  • Запуск DCPROMO для настройки контроллера домена.
      За весьма короткое время своего развития CoreConfigurator достиг версии 1.1.2, но сегодня
      автор имевший статус MVP (Microsoft Most Valuable Professional) стал одним из служащих Microsoft, и по условиям договора с предыдущей компанией был вынужден прекратить разработку своей утилиты и убрать ссылку на CoreConfigurator с домашней страницы проекта.

    Но файл “CoreConfigurator.msi” легко найти на других серверах, воспользовавшись поиском.

    Smart-X CoreConfigurator

    CoreConfigurator от Теверовского был насколько популярен, что так запросто хорошему проекту умереть не дали, тем более что по контракту все разработки в том числе и те которые велись Теверовским в не рабочее время, принадлежали его работодателю. В итоге компания Smart-X ( http://www.smart-x.com/ ) продолжила разработку этой утилиты под тем же названием, распространя ее под freeware лицензией (для персонального некоммерческого использования). При ее применении в корпоративной сети, следует уже приобрести лицензию, которая стоит 66 $ (годовая подписка) или 99$ (для 1 сервера). Текущей является версия 1.3.0.1 от 1 февраля 2009 года. Никаких ограничений CoreConfigurator в бесплатной редакции не имеет, только при его запуске будет появляться окно с предупреждением.
    После запуска утилиты, вводом в командной строке “Start CoreCFG”, в появившемся меню обнаруживаем 17 пунктов. Кроме тех, которые были в оригинальном CoreConfigurator, появилась возможность:

  • настройки резервирования разделов компонентом WindowsServerBackup;
  • региональные установки;
  • настройка параметров автоматического обновления;
  • управление сервисами;
  • запуск редактора реестра и Диспетчера задач Windows.

Все настройки довольно просты и понятны, выбираем пункт и вводим/отмечаем нужное значение. Утилиту можно свободно скачать с сайта разработчика, в виде ZIP архива или ISO образа. Доступно также 33 страничное весьма подробное руководство на английском языке. В нем в частности поясняется, какие параметры активируются при выборе тех или иных пунктов.

Smart-X CoreConfigurator удобная утилита с графическим интерфейсом

Server Core Configurator

В рамках проекта CodePlex (OpenSource от Microsoft) также разрабатывается аналогичный инструмент — Server Core Configurator ( http://www.codeplex.com/CoreConfig ), распространяемый под лицензией Microsoft Public License (Ms-PL). Версия с CodePlex представляет собой коллекцию VBS (Visual Basic Scripting) скриптов, упакованных в CAB файл или в ISO образ (есть и исходные тексты). Установка заключается в распаковке архива на другом компьютере и копировании на сервер. Непосредственно на Server Core распаковать CAB файл можно при помощи команды “expand”:

> expand CoreConfigurator.cab -f:* C:

Далее запускаем находящийся внутри скрипт «Setup-Core.wsf«, после чего появится меню. Принцип работы с Server Core Configurator несколько отличается от двух предыдущих программ. Параметры работы выбираются вводом цифр или букв, которые соответствуют нужному пункту. Настраивать систему, практически блуждая в меню Server Core Configurator несколько сложнее, но все же удобнее чем вручную. Всего пунктов насчитывается 10, при выборе некоторых будут вызваны дополнительные меню и подменю:
1. Лицензия (текущий статус, настройка прокси, активация, установка ключа, сброс текущего статуса лицензии – всего 12 пунктов);
2. Установка имени компьютера, подключение к домену, запуск DCPromo;
3. Настройка сетевых интерфейсов (просмотр, настройка, переименование, отключение, добавление DNS, ISCSI);
4. Установка/удаление/просмотр ролей и компонентов;
5. Управление учетными записями пользователей, входящими в группу локальных администраторов;
6. Управление общими каталогами;
7. Control Panel (дата, время, региональные настройки, установки монитора, скринсейвер, RDP, WinRM, добавление драйверов, автоматические обновления включая WSUS, Findows Firewall);
8. Server Hardening Menu (отключение — туннельных, LAN, PPP интерфейсов, IPv6, тюнинг NTFS);
9. Информация о системе;
10. Вызов менеджера задач.
Чтобы вернуться в предыдущее меню следует нажать клавишу “X”. Пунктов настроек Server Core Configurator имеет довольно много, и по возможностям он превосходит все остальные программы обзора.

Server Core Configurator – предоставляет самое большое количество настраиваемых параметров

Core Configuration Console

Это bat скрипт ( http://www.nullsession.com/ссс ) создан Джоахимом Неслендером (Joachim Nasslander) еще одним разработчиком, имеющим статус MVP, по принципу работы схож с предыдущим. Распространяется как freeware, в виде ZIP архива или ISO образа. Установка не требуется, достаточно просто распаковать его в каталог на сервере. Вместо графического окна, как в Server Core Configurator, здесь все команды выводятся в командной строке. Меню состоит из 9 пунктов, из которых 2 последние обеспечивают перезагрузку/остановку сервера и выход в CMD.exe. Назначение остальных:
1. Установки компьютера (сеть, менеджер задач, имя сервера, лицензия, автоматическое обновление, разрешение экрана, изменения пароля);
2. Подключение к домену;
3. Региональные настройки, время и дата;
4. Настройки Windows Firewall и удаленного управления (в том числе создание общих каталогов, удаленное подключение администратора через сервер терминалов, WinRM и другие);
5. Просмотр списка установленных/доступных ролей и компонентов, помощь в установке;
6. Быстрые настройки (IP-адрес, имя компьютера, домен);
7. Настройки ССС (установка в C:Windows, изменение переменной PATH, включение в автозагрузку).
Учитывая меньшее количество функций, ССС проще варианта от CodePlex. Единственным его минусом является то, что вместо непосредственно установки ролей и компонетов предлагается лишь ссылка на поясняющую документацию Microsoft. Но кроме помощи в настройке системы, он может помочь в изучении системы. Так как фактически содержит список основных настроек Server Core, которые иначе пришлось бы искать по многим документам.

ССС — простой в использовани BAT-скрипт

HVConfig

Утилита HVConfig ( http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2008/10/03/making-hvconfig-work-on-a-normal-server-core-installation.aspx ) во многом похожа на ССС, но ориентирована на применение в Microsoft Hyper-V Server 2008. Хотя ни что не мешает использовать ее в Server Core, где с ее помощью можно произвести настройки аналогичные ССС (за исключением управления ролями). Правда при запуске скрипт проверяет наличие трех файлов, без которых его работа прерывается:

  • C:WindowsSystem32hvconfig.cmd
  • C:WindowsSystem32en-UShvconfig.vbs
  • C:WindowsSystem32en-USWUA_SearchDownloadInstall.vbs

Перенеся их с любого Hyper-V Server, можно без проблем запустить скрипт.

Утилит упрощающих настройку Windows Server 2008 в режиме Server Core как видите не очень много и вряд ли здесь предвидится большое разнообразие. Ведь сфера применения весьма специфическая и ограничена небольшим набором параметров. Выбрав любую из предложенного списка, можно быстро настроить сервер, даже не зная консольных команд.

Windows Server 2008 R2: Рекомендации по развертыванию ядра сервера

Как Windows Server 2008, так и Windows Server 2008 R2 предоставляют значительную гибкость, когда дело доходит до решения задач развертывания. Можно развернуть сервер как полнофункциональный экземпляр или установить только ядро сервера (Server Core).

Ядро сервера представляет собой облегченную версию Windows-сервера, характеризующуюся минимальным использованием ресурсов. В ядре сервера отсутствуют многие компоненты, которые считаются само собой разумеющимися в полной версии сервера Windows, поэтому ядро сервера окружают многочисленные мифы. Я развенчаю некоторые из этих мифов, а также предоставлю рекомендации по развертыванию ядра сервера. Все приведенные ниже примеры относятся к Windows Server 2008 R2.

Конфигурирование ядра сервера

Один из самых популярных мифов о ядре сервера — его трудно настраивать, потому что все конфигурирование нужно выполнять из командной строки. К счастью, существует несколько инструментов, которые значительно упрощают настройку ядра сервера.

В Windows Server 2008 R2 есть встроенная утилита, которую можно вызвать, выполнив в командной строке команду SCONFIG. Эта управляемая с помощью меню утилита позволяет выполнять основные задачи по конфигурированию, например задать IP-адрес, изменить имя компьютера или присоединить его к домену.

Другим инструментом, который значительно упрощает начальную настройку ядра сервера, является Server Core Configurator 2.0 ( рис. 1 ). Этот инструмент предоставляет гораздо больше возможностей упрощения первоначальной настройки, чем SCONFIG. Он не только включает в себя функциональность аналогичную SCONFIG, но и позволяет добавлять или удалять серверные роли, а также управлять различными параметрами панели управления. Он даже позволяет ввести ключ продукта и активировать сервер. Загрузить Core Configurator можно со страницы по адресу coreconfig.codeplex.com/releases/view/36678.

Рис. 1. Server Core Configurator предоставляет графический интерфейс для настройки ядра сервера

Ограниченные возможности

Поскольку ядро сервера предлагает ограниченный набор служб, оно не подходит для решения всех тех задач, для которых используется полная версия Windows Server 2008 R2. Ядро сервера поддерживает ограниченное количество ролей, и ни одна из них не устанавливается по умолчанию. Вот перечень этих ролей:

  • Службы сертификации Active Directory
  • Доменные службы Active Directory
  • Службы Active Directory облегченного доступа к каталогам
  • BranchCache в режиме Hosted Cache
  • DHCP-сервер
  • DNS-сервер
  • Файловые службы
  • Службы потокового мультимедиа
  • Службы печати
  • Веб-сервер (IIS)

Важность управления установкой исправлений

Некоторые айтишники полагают, что поскольку Server Core нетребователен к ресурсам, его можно рассматривать как некоторое приложение, а не как реальный сервер. Это не так. Централизованное управление обновлениями — важная административная задача независимо от того, работает ли система как ядро сервера или как полная версия Windows-сервера.

Но поскольку у ядра сервера действительно невысокие требования к ресурсам, многие из обновлений серверных версий Windows неприменимы к среде ядра сервера. Таким образом, использование ядра сервера может отчасти (но не полностью!) облегчить бремя управления исправлениями.

Анализатор соответствия рекомендациям

Наилучшей возможностью обеспечить развертывание вашего сервера в соответствии с рекомендациями Microsoft — использовать утилиту «Анализатор соответствия рекомендациям» (Best Practices Analyzer). Однако из-за отсутствия графического интерфейса это может быть непросто. Имеется два основных варианта запуска анализатора. Один из них заключается в запуске проверки непосредственно с рабочего стола ядра сервера. Другой вариант — запуск проверки с другого компьютера, у которого есть графический интерфейс.

Нужно иметь в виду что, поскольку ядро сервера состоит из такого малого набора служб, что сложно говорить о такой вещи, как набор рекомендаций для настройки ядра операционной системы. В данном случае анализатор используется для отдельных ролей сервера. Если сервер работает только как ядро операционной системы без каких-либо дополнительных ролей, вы не сможете выполнить базовые проверки.

В процессе проверки используются модели BPA, которые обслуживают отдельные роли. Например, существует модель Hyper-V и модель Active Directory.

Проверка из командной строки

Если нужно выполнять анализ соответствия рекомендациям из командной строки, следует установить Windows PowerShell. Самый простой способ это сделать — выполнить команду SCONFIG. Далее надо щелкнуть Configure Remote Management (Настройка удаленного управления) и Enable Windows PowerShell (Включить Windows PowerShell) ( рис. 2 ).

Рис. 2. Для включения Windows PowerShell можно использовать утилиту SCONFIG

После установки Windows PowerShell необходимо установить командлеты Server Manager для Windows PowerShell, а также командлеты анализатора соответствия рекомендациям. Это можно сделать с помощью средства обслуживания, развертывания и управления образами (Deployment Image Servicing and Management, DISM).

Как правило, DISM используется для управления развертыванием образов, но параметр /Online позволяет заставить DISM выполнять действия с текущей ОС. Установить необходимые командлеты Windows PowerShell можно с помощью следующих команд в командной строке ( рис. 3 ):

Рис. 3. Установка необходимых командлетов Windows PowerShell с помощью команды DISM

После того как необходимые компоненты установлены, можно запустить проверку на соответствие рекомендациям. Поскольку проверку необходимо запустить посредством Windows PowerShell, выполните команду PowerShell.exe. После этого окно командной строки трансформируется в окно оболочки Windows PowerShell.

Далее нужно импортировать командлеты, которые были включены ранее. Это можно выполнить двумя простыми командами Windows PowerShell:

Теперь, когда все компоненты на месте, необходимо убедиться, что имеются также необходимые модели анализатора соответствия рекомендациям. Для этого выполните следующую команду:

Результат должен выглядеть примерно так, как показано на рис. 4. Если результатов нет, то при попытке проверки анализатор ничего делать не будет.

Рис. 4. Команда Get-BPAModel позволяет просмотреть установленные модели

Самый простой способ запустить проверку соответствия рекомендациям — выполнить команду:

Команда запускает проверку на соответствие рекомендациям для всех моделей, установленных на сервере ( рис. 5 ).

Рис. 5. Проверка соответствия рекомендациям не даст никаких результатов, если моделей нет

Результаты не отображаются автоматически, а чтобы их увидеть, выполните команду:

Эта команда создаст текстовый файл с результатами проверки. Полученный файл можно скопировать на другую систему или использовать следующую команду, чтобы увидеть результаты:

Результаты проверки показаны на рис. 6 .

Рис. 6. Результаты проверки на соответствие рекомендациям

Выполнение проверки с использованием графического интерфейса

Для выполнения проверки на соответствие рекомендациям при развертывании ядро сервера можно использовать графический интерфейс. Для этого нужно запустить проверку с сервера под управлением Windows Server 2008 R2 или использовать компьютер под управлением Windows 7 с установленным пакетом Remote Server Administration Tools. Если вы решили использовать Windows 7, загрузите средства удаленного администрирования сервера со страницы microsoft.com/download/en/details.aspx?displaylang=en&id=7887.

Как и в случае использования командной строки для проверки соответствия рекомендациям, для проверки средствами графического интерфейса требуется наличия Windows PowerShell на ядре сервера. Необходимо также разрешить удаленное управление MMC и диспетчер сервера удаленного управления. Для подготовки сервера можно ввести команду SCONFIG и выполнить следующие действия:

  1. Выполните команду «4» (Настройка удаленного управления).
  2. Выполните команду «2» (Включить Windows PowerShell).
  3. Перезагрузите сервер.
  4. Войдите в систему и введите команду SCONFIG.
  5. Выполните команду «4» (Настройка удаленного управления).
  6. Выполните команду «1» (Разрешить удаленное управление MMC).
  7. Выполните команду «3» (Разрешить диспетчер сервера удаленного управления).
  8. Выполните команду «5» (Вернуться в главное меню).
  9. Выполните команду «13» (Выход командной строки).

Чтобы выполнить проверку, откройте консоль Server Manager и щелкните правой кнопкой корень списка в дереве консоли и выберите Connect to Another Computer. Введите имя компьютера с ядром сервера, который нужно проверить.

После подключения к удаленному компьютеру с ядром сервера, разверните контейнер Roles, а затем выберите роль, которую нужно проверить на соответствие рекомендациям. При просмотре результатов, вы должны увидеть раздел с названием Best Practices Analyzer. Чтобы проверить роль, щелкните ссылку Scan This Role. Результаты проверки отображаются в разделе Best Practices Analyzer, как показано на рис. 7 .

Рис. 7. Ядро сервера можно проверить, используя графический интерфейс другого сервера

Windows PowerShell

Во многих из описанных здесь процессов используется оболочка Windows PowerShell, установленная на компьютере Server Core. Если вы не собираетесь использовать приложение, которое требует Windows PowerShell, по завершении начального конфигурирования и проверки на соответствие рекомендациям его лучше перенести.

Это может показаться странным, поскольку в Интернете масса сообщений, утверждающих, что если вы хотите управлять Server Core из командной строки, то должны делать это средствами Windows PowerShell. Тем не менее, ядро сервера предназначено для управления из командной строки, а не из оболочки Windows PowerShell. На самом деле первая версия ядра сервера даже не предусматривала установку Windows PowerShell. С технической точки зрения нет ничего плохого в том, что на вашем сервере установлен Windows PowerShell. Тем не менее, большинство людей используют ядро сервера из-за его малых требований к ресурсам и низкой вероятности атаки, тогда как наличие установленной Windows PowerShell увеличивает вероятность проведения успешной атаки на сервер.

Чтобы удалить Windows PowerShell, откройте окно командной строки и выполните команду ( рис. 8 ):

Рис. 8. Удаление Windows PowerShell

Некоторые из вас наверняка поинтересуются, почему я использовал команду Start /W OCSETUP, а не ServerManagerCMD. Есть две причины, почему я поступил именно так:

  • Во-первых, ServerManagerCMD является интерфейсом командной строки для Диспетчера сервера, которого нет в ядре сервера. Поэтому ServerManagerCMD отпадает.
  • Другая причина отказа от использования ServerManagerCMD заключается в том, что хотя эта команда существует в полной версии Windows Server 2008 R2, она выводится из обращения. Microsoft настоятельно рекомендует для добавления и удаления компонент использовать командлеты Windows PowerShell, не полагаясь на ServerManagerCMD. Естественно, что для удаления Windows PowerShell нельзя использовать какую-либо команду самой Windows PowerShell.

Как вы видите, методы управления ядром сервера, отличаются от методов, которые применяются для управления обычным экземпляром Windows Server 2008. Несмотря на это, ядро сервера идеально подходит для использования в средах, где требуется высокая безопасность или экономия серверных ресурсов.

История

Windows Server 2008

Windows Server 2008 был первым Windows Server с опцией Server Core (во всех выпусках, кроме IA-64 ). Хотя оболочка Windows Explorer не установлена, доступны Блокнот и некоторые апплеты панели управления , такие как «Региональные настройки». Ядро сервера в Windows Server 2008 не включает .NET Framework , Internet Explorer , Windows PowerShell или многие другие функции, не связанные с функциями главного сервера. Server Core машина может быть сконфигурирован для нескольких основных функций: доменные службы Active Directory , режим Active Directory Application (ADAM), сервер DNS , DHCP — сервер , файловый сервер , сервер печати , для Windows Media Server , IIS 7 веб — сервер и Hyper-V виртуальный сервер. Server Core также можно использовать для создания кластера с высокой доступностью с помощью отказоустойчивой кластеризации или балансировки сетевой нагрузки .

Поскольку Server Core — это не другая версия Windows Server 2008, а просто вариант установки, он имеет те же версии файлов и конфигурации по умолчанию, что и полная версия сервера. В Windows Server 2008 и 2008 R2, если сервер был установлен как Server Core, его нельзя изменить на полную версию графического интерфейса и наоборот.

Чтобы упростить администрирование машины Server Core, был включен сценарий Windows под названием «scregedit.wsf» для внесения основных изменений, таких как включение или выключение автоматического обновления, включение или выключение удаленного рабочего стола и изменение параметров файла подкачки.

Windows Server 2008 R2

В Windows Server 2008 R2 Server Core включает подмножество .NET Framework, так что можно использовать некоторые приложения (включая веб-сайты ASP.NET и Windows PowerShell 2.0). Имея поддержку .NET, это также первая версия Server Core, где можно установить Microsoft SQL Server (поддерживаемый сценарий только с SQL Server 2012+). Диспетчер серверов стал удаленным. Новые роли были включены в Server Core, включая службы сертификатов Active Directory и компонент диспетчера ресурсов файлового сервера роли файловых служб. WoW64 доступен по умолчанию, но его можно отключить.

В дополнение к команде DISM появился новый инструмент настройки сервера из командной строки (Sconfig.cmd) для настройки и управления некоторыми общими аспектами установки Server Core. Диспетчер серверов можно использовать для удаленного администрирования компьютера с ядром сервера.

Windows Server 2012

В отличие от своих предшественников, Windows Server 2012 может переключаться между «Server Core» и сервером с вариантом установки DE без переустановки. Server Core теперь является уровнем конфигурации по умолчанию. Существует также новый вариант установки, «минимальный серверный интерфейс», который позволяет запускать некоторые элементы графического интерфейса, такие как MMC и Server Manager, но без обычного рабочего стола, оболочки или программ по умолчанию, таких как File Explorer . «Минимальный интерфейс сервера» на самом деле является ролью сервера (Server-Gui-Mgmt-Infra) , полная версия GUI также содержит роль Server-Gui-Shell . Некоторые новые функции доступны, как Windows Server Update Services (WSUS), в Active Directory Management Server прав и маршрутизация и удаленный доступ сервер , и много новых функций , а также.

Windows Server 2012 R2

В Windows Server 2012 R2 , Windows Defender доступен в установке Server Core, а также установлен и включен по умолчанию.

Windows Server 2016

Windows Server 2016 имеет вариант установки с минимальным размером (меньше, чем Server Core) под названием Nano Server, оптимизированный для контейнеров Windows Server и Hyper-V, а также для других сценариев, оптимизированных для облака . Microsoft удалила стек графического интерфейса, WoW64 и установщик Windows . Нет поддержки локального входа или удаленного рабочего стола .

При установке Server 2016 предлагает два варианта: Windows Server 2016 (то есть Server Core) и Windows Server 2016 Desktop Experience. Переключение между этими версиями, доступное в Server 2012, не поддерживается (возможность была удалена в Technical Preview 3).

Установка и настройка средств удаленного администрирования сервера на Windows 10

Ранние версии Windows Server имели графический интерфейс, похожий на другие аналогичные клиенты. Это упрощало администрирование, поскольку пользователю не нужно было изучать два разных интерфейса. Для удаленного администрирования нужно было подключиться к серверу с помощью удаленного рабочего стола. Однако информация сеанса терялась по завершении сеанса RDP . С переходом к версиям Windows Server без GUI-интерфейса возникла необходимость удаленного управления сервером без входа или выхода из сеанса RDP . Пакет средств удаленного администрирования сервера ( RSAT ) был создан специально для решения этой проблемы.

В этой статье мы рассмотрим, что представляют собой инструменты RSAT в Windows 10 , а также запустим « Диспетчер серверов » и попытаемся подключиться к удаленному серверу.

Средства удаленного администрирования сервера в Windows 10

RSAT позволяет администраторам запускать инструменты на удаленном сервере для управления его функциями, ролями и службами. Windows 10 имеет встроенную поддержку RSAT . Ниже представлены различные возможности установки RSAT :

  • Установлен по умолчанию в Windows Server 2016 , Windows Server 2012 , Windows Server 2012 R2 и более ранних версиях;
  • Может быть загружен и установлен как автономный пакет обновлений на клиентах под управлением Windows 10 Professional , Windows 10 Enterprise и Windows 10 Education ;
  • Невозможно установить на клиентах под управлением Windows 10 Home или любой ARM-версии ;
  • Невозможно установить на любой из серверных версий операционной системы;
  • Поддерживается удаленное администрирование Windows Server Core или минимального интерфейса Windows Server 2016 , Windows Server 2012 R2 и в некоторых случаях Windows Server 2012 .

Доступные инструменты

Матрицу поддержки RSAT на платформе Windows 10 можно найти здесь . Ключевым моментом является то, что инструменты Hyper-V не являются частью RSAT для Windows 10 , в отличие от более ранних версий. Hyper-V поставляется как часть Windows 10 и может использоваться без установки RSAT . Другие инструменты, которые недоступны в данном релизе:

  • Утилиты администрирования BitLocker Drive Encryption ;
  • Direct Access ;
  • Routing and Remote Access ;
  • Remote Desktop Services ;
  • Windows PowerShell cmdlets for Cluster Aware Updating ;
  • Windows PowerShell cmdlets for Best Practices Analyzer .

Настройка доступных инструментов

Начнем с установки RSAT для Windows 10 . Как уже было сказано, RSAT доступен только для Windows 10 Professional , Enterprise и Education. Он может работать как на 86-разрядной , так и на 64-разрядной версии Windows 10 . Обратите внимание, что предыдущие версии RSAT следует удалить до установки актуальной версии. Чтобы получить доступ к версиям Windows Server 2012 и Windows Server 2008 и управлять ими, необходимы дополнительные обновления для этой версии RSAT . Также обратите внимание, что на удаленном сервере должно быть включено дистанционное управление Windows PowerShell и « Диспетчер серверов ».

Средства удаленного администрирования активированы по умолчанию в Windows Server 2016 , 2012 R2 и 2012 . Следующие шаги были выполнены на устройстве с установленной операционной системой Windows 10 Enterprise x64 , работающей в VMWare . Вы должны повторить их в собственной системе.

  • Загрузите файл настройки RSAT:

  • Необходимо выбрать программу установки, соответствующую используемой архитектуре. В данном случае это 64-разрядная система , поэтому мы загрузим файл WindowsTH-KB2693643-x64.msu ;
  • Дважды кликните по файлу установщика, чтобы начать инсталляцию. Примите условия лицензии и дождитесь окончания установки;
  • В более ранних версиях Windows после установки пакета RSAT приходилось вручную активировать эти инструменты. Но в Windows 10 эти инструменты доступны для использования сразу после завершения установки. Флажок рядом с инструментами RSAT установлен. Это означает, что мы можем продолжать:

  • Теперь перейдите в Панель управления — Система и безопасность — Администрирование , чтобы найти все установленные инструменты RSAT :

  • Перейдите в Панель управления — Программы — Удалить программу ;
  • Нажмите « Просмотр установленных обновлений »;
  • Кликните правой кнопкой мыши по элементу « Обновление для Microsoft Windows (KB2693643) » и выберите пункт « Удалить »;
  • Подтвердите действие, нажав кнопку « Да »:

  • Перейдите в Панель управления — Программы — Программы и компоненты и нажмите « Включить компоненты Windows »;
  • Снимите флажки напротив тех инструментов, которые вы хотите удалить:

Запуск диспетчера серверов

Инструменты, включенные в пакет RSAT , не могут использоваться для управления локальным компьютером. В диспетчере серверов должен быть указан удаленный сервер. Большинство инструментов RSAT интегрированы в диспетчер серверов, поэтому рекомендуется сначала добавить в него пулы серверов перед развертыванием этих инструментов. Чтобы запустить диспетчер серверов:

  • Откройте меню « Пуск », и кликните по элементу « Диспетчер серверов ». Или кликните по полю поиска Cortana в панели задач и начните вводить « Диспетчер серверов ». Вы должны увидеть соответствующую строку в Cortana . Нажмите на эту строку, чтобы запустить « Диспетчер серверов »:

  • Откроется панель управления диспетчера серверов:

  • В ней можно добавлять удаленные серверы и назначать роли для них;
  • Если ПК является частью домена, можно выполнить поиск серверов в Active Directory вашей организации, или ввести IP-адрес по своему выбору. Также можно импортировать адреса серверов из файла;
  • В меню « Инструменты » перечислены все инструменты RSAT , доступные для удаленного администрирования сети.

Профессиональные советы

Иногда приходится работать на различных клиентах, и нужно иметь возможность управлять удаленным сервером с них. Но повторная настройка может занять много времени. Если версии диспетчера серверов на различных клиентах аналогичны, можно скопировать файлы из указанных ниже мест на исходном клиенте в те же места на новом клиенте. Таким образом, при последующем запуске диспетчера серверов на новом клиенте вы найдете конфигурацию, заданную на предыдущем клиенте.

Скопируйте файлы из следующих расположений:

Помните, что версии диспетчера серверов на исходном и новом клиентах должны быть идентичны.

Известные ошибки

В настоящее время RSAT поддерживает только локализацию EN-US . Если вы инсталлируете RSAT на машине, для которой задан регион, отличный от EN-US , установка будет выполнена, но в диалоговом окне « Включение и выключение компонентов Windows » вы не увидите ни одного из инструментов. Чтобы решить эту проблему, установите языковый пакет EN-US . После того, как настроите инструменты в диалоговом окне « Включение и отключение компонентов Windows », можно вновь задать свой регион и язык.

Заключение

В этой статье мы привели краткое руководство по работе с пакетом RSAT и Диспетчером серверов для Windows 10 удаленного администрирования . RSAT устанавливается и настраивается очень просто. Он позволяет эффективно администрировать удаленный сервер. « Диспетчер серверов » включает в себя большое количество различных функций, для полного рассмотрения которых требуется отдельное руководство.

Отказ от использования графического интерфейса на серверах является желательным, поскольку это минимизирует различные риски, а также разгружает ЦП и ОЗУ .

Как включить управление Server Core c помощью клиента сервера терминалов

На сервере Server Core, введите следующую команду

Эта команда разрешит службе Remote Desktop принимать подключения. Это позволяет удаленному рабочему столу для администрации режим для подключений. Кстати, для просмотра текущих настроек вы можете набрать:

1 означает, что RDP соединения запрещены, 0 – разрешены. Примечание: Если вы используете клиент служб терминалов из предыдущих версий Windows , вы должны отключить высокий уровень безопасности, установленный в Windows Server 2008 по умолчанию. Для этого введите команду:

Активация Windows Server 2008 Core

Чтобы активировать свою копию введите команду slmgr.vbs –ato
Выполнять данную процедуру лучше через удаленный рабочий стол, если после ввода команды не появляется никаких сообщений об ошибках, то активация прошла успешно.

В противном случае появится окно с кодом и текстом ошибки. Вот список самих ошибок, которые могут появляться при активации:

0xC004C003 The activation server determined the specified product key is blocked
(Сервер активации определил, что указанный ключ продукта заблокирован)

0xC004B100 The activation server determined that the computer could not be activated.
(Сервер активации определил, что компьютер не может быть активирован)

0xC004C008 The activation server determined that the specified product key could not be used.
(Сервер активации определил, что указанный ключ продукта не может быть использована)

0xC004C020 The activation server reported that the Multiple Activation Key has exceeded its limit.
(Сервер активации сообщил, что ключ многократной активации превышен предел.)

0xC004C021 The activation server reported that the Multiple Activation Key extension limit has been exceeded.
(Сервер активации сообщил, что несколько Ключ активации расширения предел был превышен)

0xC004F009 The software Licensing Service reported that the grace period expired.
(Служба лицензирования программного обеспечения сообщила, что льготный период истек)

0xC004F00F The Software Licensing Service reported that the hardware ID binding is beyond level of tolerance.
(Служба лицензирования программного обеспечения сообщила, что обязательный идентификатор оборудования выходит за уровень толерантности)

0xC004F014 The Software Licensing Service reported that the product key is not available
(Служба лицензирования программного обеспечения сообщила, что ключ продукта не доступны)

0xC004F02C The software Licensing Service reported that the format for the offline activation data is incorrect.
(Служба лицензирования программного обеспечения сообщила, что формат данных автономной активации неверно)

0xC004F035 The software Licensing Service reported that the computer could not be activated with a Volume license product key. Volume licensed systems require upgrading from a qualified operating system. Please contact your system administrator or use a different type of key.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован с помощью ключа многократной установки. Объем лицензионных требуют обновления с квалифицированным операционной системы. Пожалуйста, обратитесь к системному администратору или использовать другой тип ключа)

0xC004F038 The software Licensing Service reported that the computer could not be activated. The count reported by your Key Management Service (KMS) is insufficient. Please contact your system administrator.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Количество сообщил вашего службы управления ключами (KMS) является недостаточным. Пожалуйста, обратитесь к системному администратору)

0xC004F039 The software Licensing Service reported that the computer could not be activated. The Key Management Service (KMS) is not enabled.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Служба управления ключами (KMS) не включен)

0xC004F041 The software Licensing Service determined that the Key Management Server (KMS) is not activated. KMS needs to be activated.
(Служба лицензирования программного обеспечения определила, что служба управления ключами (KMS) не активирована. KMS необходимо активировать)

0xC004F042 The software Licensing Service determined that the specified Key Management Service (KMS) cannot be used.
(Служба лицензирования программного обеспечения установлено, что указанные службы управления ключами (KMS) не могут быть использованы)

0xC004F050 The Software Licensing Service reported that the product key is invalid.
(Служба лицензирования программного обеспечения сообщила, что ключ продукта является недействительным)

0xC004F051 The software Licensing Service reported that the product key is blocked.
(Служба лицензирования программного обеспечения сообщила, что ключ продукта заблокирован)

0xC004F064 The software Licensing Service reported that the non-Genuine grace period expired
(Служба лицензирования программного обеспечения сообщила, что неподлинной истек срок)

0xC004F065 The software Licensing Service reported that the application is running within the valid non-genuine grace period .
(Служба лицензирования программного обеспечения сообщила, что приложение работает в рамках действующего неоригинальных льготного периода)

0xC004F066 The Software Licensing Service reported that the product SKU is not found.
(Служба лицензирования программного обеспечения сообщила, что продукт SKU не найдено)

0xC004F068 The software Licensing Service determined that it is running in a virtual machine. The Key Management Service (KMS) is not supported in this mode.
(Служба лицензирования программного обеспечения определила, что он работает в виртуальной машине. Служба управления ключами (KMS) не поддерживается в этом режиме)

0xC004F069 The Software Licensing Service reported that the computer could not be activated. The Key Management Service (KMS) determined that the request timestamp is invalid.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Служба управления ключами (KMS) определила, что запрос временной метки является недействительным)

0xC004F06C The Software Licensing Service reported that the computer could not be activated. The Key Management Service (KMS) determined that the request timestamp is invalid.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Служба управления ключами (KMS) определила, что запрос временной метки является недействительным)

0x80070005 Access denied the requested action requires elevated privileges.
(Отказано в доступе запрошенное действие требует повышенных привилегий)

0x8007232A DNS server failure.
(Ошибка DNS сервера)

0x8007232B DNS name does not exist.
(DNS имя не существует)

0x800706BA The RPC server is unavailable.
(Сервер RPC недоступен)

0x8007251D No records found for DNS query
(DNS запрос не вернул записей)

0x80092328 DNS name does not exist
(DNS имя не существует)

  • Автор: Уваров А.С.
  • 22.12.2016

В наших прошлых материалах мы рассматривали установку бесплатного гипервизора Hyper-V как одной из ролей Windows Server. Одним из недостатков этого метода является необходимость наличия лицензии на серверную OC, что в ряде случаев может привести к дополнительным затратам, в тоже время существует автономный продукт Hyper-V Server, который позволяет использовать одноименный гипервизор без каких-либо ограничений совершенно бесплатно. Однако он более сложен в установке и первоначальной настройке, которые и станут предметом нашей сегодняшней статьи.

Прежде всего внесем ясность в термины. Hyper-V — это бесплатный гипервизор от компании Microsoft, работающий на платформе Windows. Первоначально поддерживались только серверные версии, но начиная с Windows 8 (редакции не ниже Pro) его можно использовать и в настольных ОС. Несмотря на то, что Microsoft явно не обозначает редакции гипервизора, новые поколения ОС содержат в себе новые версии Hyper-V. Так как степень интеграции Hyper-V в ОС достаточно велика, то вы не можете обновить версию гипервизора отдельно от версии ОС.

Если ориентироваться по версии конфигурации виртуальных машин, то можно говорить о восьми поколениях Hyper-V, версию 8.0 содержат Server 2016 и Windows 10 (1607). Наиболее распространенные Windows Server 2012 R2 (и Windows 8.1) имеют пятое поколение гипервизора.

Таким образом, если мы хотим использовать последнюю версию гипервизора, то нам нужна последняя версия ОС. А так как лицензии на Windows не допускают использования более поздних выпусков ОС, то бесплатный Hyper-V может оказаться не таким уж бесплатным. Аналогичные затруднения возникают при виртуализации уже существующих сред, покрытых лицензиями на более ранние версии Windows или виртуализации UNIX-систем. Специально для таких случаев Microsoft выпустила специальный продукт — Hyper-V Server.

Hyper-V Server — специальный выпуск на основе Windows Server Core с сильно урезанными функциями, обеспечивающими только работу гипервизора и его обслуживание. При этом, вопреки распространенному мнению, никакой разницы между Hyper-V Server и Hyper-V в качестве роли Windows Server нет. Это один и тот-же продукт.

Когда говорят о Hyper-V Server и Windows Server Core, то в первую очередь пытаются сделать упор на экономию ресурсов за счет отсутствия GUI, однако это мнение ошибочно. При создании данных продуктов вопрос экономии ресурсов стоял в последнюю очередь, да и глупо говорить о каком-либо «недостатке ресурсов» на гипервизоре.

Основная цель создания Windows Server Core и Hyper-V Server — это сокращение количества работающих служб и компонентов системы, что позволяет уменьшить площадь атаки (меньше служб — меньше уязвимостей) и существенно сократить затраты на сопровождение системы, например, меньшее количество перезагрузок при обновлении системы и меньшее время установки обновлений. Поэтому о внедрении именно Hyper-V Server стоит подумать даже если вы не испытываете затруднений с лицензированием.

Установка и первоначальная настройка Hyper-V Server

Образ для установки можно получить на официальном сайте, после регистрации, если у вас до сих пор не было учетной записи Microsoft. Процесс установки ничем не отличается от установки иных версий Windows и не должен вызвать затруднений.

По ее завершению нас встречает предельно лаконичный интерфейс с двумя открытыми окнами: командной строки и текстовой утилиты конфигурирования.

Если вы закрыли последнее, то чтобы снова вызвать данную утилиту просто выполните команду:

А вот если вы закрыли все окна, включая окно командной строки, то можете внезапно оказаться перед черным экраном без средств управления системой вообще. В этом случае нажмите Ctrl+Shift+Esc (данная комбинация работает также через RDP) и при помощи вызванного диспетчера задач запустите нужный вам процесс, например, командную строку.

Перейдем к настройке. В первую очередь следует настроить сеть, указать имя сервера, его членство в нужной рабочей группе или домене и разрешить удаленный рабочий стол. Также, если вы хотите, чтобы ваш сервер отвечал на команду ping, то следует перейти в пункт 4) Настройка удаленного управления и выбрав опцию 3) Настройка отклика сервера на сообщение проверки связи явно разрешить это действие.

Затем укажите параметры обновления сервера и установите все имеющиеся на данный момент обновления. С ручной установкой связан один «сюрприз»: указанные в утилите символы не действуют, и чтобы скачать и установить все доступные обновления нужно при запросах вводить маленькую русскую букву т.

После завершения настройки и установки обновлений сервер следует перезагрузить. Здесь может возникнуть вполне закономерный вопрос: а что делать дальше? Как им управлять? Для управления Hyper-V Server понадобится еще один компьютер с установленными средствами управления Hyper-V, а настройки самого сервера можно производить из консоли MMC. Для этого создадим нужные разрешающие правила в брандмауэре. Для этого запустим PowerShell и последовательно выполним следующие команды:

На этом настройку сервера следует считать законченной, можно проверить подключение к нему средствами RDP и, если все прошло нормально, переходить к настройке клиентской станции.

Настройка клиента для работы с Hyper-V Server

Для управления Hyper-V Server вам понадобится ПК с ОС не ниже Windows Server 2012R2 или Windows 8.1 редакции Pro или Enterprise, мы будем рассматривать дальнейшую настройку на примере клиентских ОС. Домашние и 32-разрядные версии ОС не подойдут, так как в них нет возможности установить диспетчер Hyper-V.

Так как сетевое обнаружение и общий доступ к файлам и принтерам на сервере выключен, то нужно добавить для него на DNS-сервера запись типа А, связывающую имя сервера и его IP-адрес или внести соответствующую строку в файл hosts, в нашем случае она выглядит так:

Если ваш сервер находится в рабочей группе, то следует добавить параметры подключения к нему, иначе клиент будет пытаться выполнить подключение из-под текущего пользователя.

где ServerName — имя сервера Hyper-V, UserName — имя администратора сервера Hyper-V и password — его пароль.

Если вы используете Windows 10, то дополнительно запустите командную строку (или консоль PowerShell) от имени администратора и выполните там команды:

где ServerName — имя сервера Hyper-V.

Затем запустите оснастку dcomcnfg, через Win+R или из командной строки, и разверните дерево Службы компонентов — Компьютеры — Мой компьютер. После чего в по щелчку правой кнопки мыши выберите Свойства и перейдите на закладку Безопасность COM — Права доступа — Изменить ограничения и в открывшемся окне установите для пользователя АНОНИМНЫЙ ВХОД права Удаленный доступ.

Выполнив данные настройки можно запустить консоль MMC Управление компьютером и щелкнув правой кнопкой на одноименном корневом пункте выберите Подключение к другому компьютеру и укажите имя сервера Hyper-V.

После чего вы можете управлять удаленным сервером используя привычный набор инструментов. Для решения большинства повседневных задач оснастки Управление компьютером вполне достаточно, особенно если учесть, что большинство настроек делаются всего один раз.

Для того, чтобы использовать оснастку Управление дисками предварительно потребуется запустить службу Виртуальный диск, это можно сделать прямо здесь, через оснастку Службы.

Единственной недоступной оснасткой будет Диспетчер устройств, настроить его работу можно, но практического смысла в этом нет, так как работать он все равно будет в режиме «только чтение». К тому же по факту это не представляет проблемы: база драйверов Windows Server достаточно обширна и если вы проявили разумную предусмотрительность при выборе оборудования, то к вопросу драйверов вам вообще обращаться не придется.

В противном случае вам следует обратиться к инструментам командной строки для работы с драйверами: 1.6. Установка оборудования и управление драйверами (локально)

Наконец мы подошли к самому главному. Перейдем в классическую Панель управления — Программы и компоненты — Включение и отключение компонентов Windows и установим Средства управления Hyper-V.

После чего вы получите в свое распоряжение привычный инструмент управления Hyper-V который позволяет полноценно управлять гипервизором. Никаких особенностей в работе с Hyper-V сервер нет, поэтому мы не будем останавливаться на этом вопросе более подробно.

Для того, чтобы передавать на гипервизор файлы, например, образа для установки, можно воспользоваться стандартными общими ресурсами, скажем, набрав в адресной строке проводника:

вы попадете на диск С: сервера.

Для примера мы создали новую виртуалку и установили туда свежую версию Debian, не испытав каких-либо затруднений ни при работе с гипервизором, ни с самой виртуальной машиной.

Как видим, несмотря на несколько более сложный процесс установки и настройки Hyper-V Server представляет собой удобный и надежный инструмент, который к тому же можно использовать полностью бесплатно.

Сравнение параметров установки Windows Server 2016 и 2019

В редакциях Standard и Datacenter можно выбрать различные варианты установки. Эти варианты влияют на то, какие функции будут доступны после установки, такие как наличие графического интерфейса пользователя и набор сервисов. Присутствуют следующие варианты установки:

  • Desktop Experience (с графическим интерфейсом);
  • Core;
  • Nano.

Desktop Experience — это вариант установки, с которым знакомо большинство людей. Этот параметр устанавливает большинство функций и ролей из коробки, включая интерфейс графического интерфейса рабочего стола. Вы получите Диспетчер серверов, который позволяет добавлять и удалять роли и компоненты. Преимущество в том, что система может быть проще в управлении для людей, привыкших использовать графический интерфейс. Недостаток в том, что у вас появляется больше обновлений, перезагрузок и открытых портов с которыми предстоит иметь дело.

Узнайте больше от Microsoft здесь.

В Server Core отсутствует графический интерфейс и несколько ролей, которые устанавливаются по умолчанию под опцией Desktop Experience. Серверное ядро имеет меньший объем занимаемого дискового пространства и, следовательно, меньшую область атаки из-за меньшей кодовой базы. Здесь также меньше обновлений, перезагрузок и открытых портов для работы. Это отличный вариант для серверов инфраструктуры, таких как контроллеры домена Active Directory и DNS-серверы.

В этой редакции отсутствуют инструменты специальных возможностей, встроенные инструменты настройки сервера и поддержка звука. Эта версия без излишеств. Не лишним будет убедиться, что вы знакомы с администрированием на основе командной строки.

Подробнее об этом можно прочитать на сайте Microsoft.

Nano

Начиная с Windows Server 2019, Nano доступен только как контейнеризированный образ операционной системы. Он предназначен для запуска в качестве контейнера внутри хоста контейнеров, такого как Server Core, упомянутого выше. Если вы опираетесь на контейнерные приложения, предназначенные для серверных ОС, то эту версию вы будете использовать для компиляции этих приложений.

Nano можно развернуть с помощью версий Standard или Datacenter, но у вас должна быть прикреплена Software Assurance к лицензированию хост-сервера. Узнать об этом подробнее можно на сайте Microsoft.

Читать еще:  1. Смотрим ID своей страницы ОК.РУ
Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector