Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
Appearance settings
Салимжанов Р.Д
Part 1 Basic Configuration of Windows Server 2019
Salimzhanov R.D.
Базовая настройка Windows Server необходима для обеспечения безопасной и эффективной работы сервера.
Она включает в себя следующие шаги:
1. Установка и настройка сетевых компонентов: установка драйверов для сетевых карт, настройка протоколов передачи данных (TCP/IP), определение IP-адресов, масок подсети и шлюзов.
2. Настройка безопасности: установка пароля администратора, создание учетных записей пользователей, настройка прав доступа к файлам и папкам.
3. Установка и настройка служб: выбор необходимых служб (например, DNS-сервер, DHCP-сервер), их конфигурация.
4. Настройка удаленного доступа: открытие портов для удаленного управления сервером через RDP (Remote Desktop Protocol) или другие протоколы.
Базовая настройка Windows Server позволяет подготовить его к выполнению конкретных задач, таких как хранение данных, обработка информации или предоставление сервисов другим устройствам в сети.
Для настройки IP-адреса, маски сети, шлюза по умолчанию и DNS-сервера на сервере в Windows Server 2019 выполните следующие шаги:
В диспетчере серверов открываем “Локальный сервер”:
После чего нажимаем на нужный нам Ethernet и выбираем свойства:
Далее задаем статический IP адрес:
Теперь мы простейшим образом настроили IP сервера.
Таким образом, настройка сетевого интерфейса закончена.
Настроим пинг сервера, для того чтобы он отображался во внутренний сети других ПК.
Как открыть, и настроить правила брандмауэра, можно прочитать в моей статье “Организация безопасного режима брандмауэра Windows” (https://vc.ru/dev/1195814-organizaciya-bezopasnogo-rezhima-brandmauera-windows)
Создадим правило для входящих подключений, с разрешение использовать ICMPv4:
Проверим ping сервера:
Начнем с настройки протокола сетевого времени (NTP — Network Time Protocol), она важна для обеспечения точности и синхронизации времени на всех устройствах в сети. Неправильная синхронизация времени может привести к ошибкам в работе приложений, проблемам с безопасностью и служить причиной ошибок в журналах событий.
Откроем редактор локальной групповой политики:
Перейдем в “Конфигурацию компьютера” выберем “Административные шаблоны” “Система”:
Найдем службу времени Windows, и откроем:
Включим NTP-сервер:
Точно также включим и если надо отредактируем “Глобальные параметры конфигурации”:
Теперь как мы видим служба времени работает:
Но не забываем, что NTP работает по порту 123, поэтому, настроем правило брандмауэра. Как открыть, и настроить правила брандмауэра, можно прочитать в моей статье “Организация безопасного режима брандмауэра Windows” (https://vc.ru/dev/1195814-organizaciya-bezopasnogo-rezhima-brandmauera-windows)
Создадим правило для входящих подключений, с разрешение использовать порт 123:
Точно также можно подключить NTP клиента, для синхронизации времени.
Теперь настроем локального пользователя.
Настройка локального пользователя на сервере позволяет управлять доступом к определенным ресурсам и функциям сервера для конкретного пользователя. Это обеспечивает безопасность данных и информации на сервере, так как разные пользователи могут иметь разные уровни доступа и привилегий.
Кроме того, настройка локального пользователя позволяет устанавливать индивидуальные настройки и предпочтения для каждого пользователя, что обеспечивает более удобное и персонализированное использование сервера.
Настроем администратора и дадим ему права, для этого откроем “Управление компьютером”:
Зайдем в “Пользователей”:
Создать админа пользователя, при создании рекомендуется указать надежный пароль:
После того, как пользователь создан, следует определить ему права, к примеру USER_admin будет входить в группу администраторов, для этого зайдем в свойства этого пользователя и присвоим эму группу:
Выбираем группу “Администраторы”:
Теперь следует задать нашему пользователю отдельную политику, для этого переходим в Microsoft Management Console, MMC (консоль управления Microsoft), это позволит нам с помощью гибкого интерфейса конфигурировать систему. То есть, создать политику под отдельного пользователя.
Открывается интерфейс консоли, где мы выбираем “Добавить или удалить оснастку”:
Выбираем “Редактор объектов групповой политики”, и нажимаем “Добавить”.
А дальше, выбираем нашего пользователя:
Далее сохраняем:
После чего, при запуске редактора для нашего пользователя, мы можем более гибко настроить его права.
В следующий части базовой настройки Windows Server 2019, разберем: “Установка и настройка служб”, а также “Настройка удаленного доступа”.
2) Помощник Админа // [канал]. URL: https://t.me/channel_adminwinru (дата обращения 26.06.2024).
3) Как управлять параметрами ОС Windows 10 с помощью редактора групповой политики // [электронный ресурс]. URL: https://www.starusrecovery.ru/articles/how-to-install-group-policy-editor-in-windows-10.html / (дата обращения 25.06.2024).
В этой статье мы рассмотрим самые базовые настройки Windows Server 2022 — это Active Directory, DNS, DHCP, настройки терминальных лицензий, добавление пользователей… Эти настройки являются не обязательными, но как правило применяются как базовые для большинства задач.
— Скачать бесплатно дистрибутив Windows Server 2022 Standard и Datacenter можете в нашем каталоге.
— Пошаговая инструкция по установке Windows Server 2022 в нашей прошлой статье.
— Приобрести ключи активации для Windows Server 2022 Standard и Datacenter можете так же в нашем каталоге.
1) При установке Windows Server 2022 например на русском языке, добавляется по умолчанию только одна раскладка клавиатуры — «Русский язык», для настроек нам необходима еще английская раскладка клавиатуры. Добавим ее.
Заходим в меню «Пуск» => Параметры => Время и язык.
Во вкладке «Язык» нажимаем на «Добавление языка».
Выбираем «Английский» => Далее.
Можем оставить все галки, кроме назначения языком интерфейса и нажимаем «Установить».
Теперь дожидаемся установки языкового пакета, после установки можете перезагрузить сервер и у Вас появится возможность переключения языка раскладки на английский язык.
2) Следующим шагом, нам нужно задать имя серверу для более простого подключения к нему. Заходим в проводник => Слева «Этот компьютер» => Свойства.
В меню «О программе» нажимаем «Дополнительные параметры системы».
В новом окне выбираем вкладку «Имя компьютера» => Изменить.
Задаем имя компьютера, имя может быть любое. Рекомендуем не использовать кириллицу, а только латиницу и цифры.
Для применения настроек — перезагружаем сервер.
3) Далее, зададим локальный статический IP адрес сервера. Это так же необходимо для бесперебойного подключения к нему. (мы рекомендуем помимо всего использовать так же статический публичный IP для корректного подключения к нему из внешней сети интернет). Так же, данная настройка обязательна для последующей настройки DHCP сервера.
В поиск вводим ncpa.cpl
Правой кнопкой мыши на сетевую карточку => Свойства.
Мы будем настраивать Ipv4, выделяем его курсором и нажимаем «Свойства».
Задаем настройки IP Вашей сети. Внимание! На скриншоте ниже — это пример, у вас должны быть Ваши собственные настройки под Вашу сеть.
3) Теперь переходим к добавлению ролей и компонентов в Active Directory (Диспетчере серверов).
Нажимаем меню «Пуск» => Диспетчер серверов.
Добавить роли и компоненты.
В следующем окне просто нажимаем «Далее».
В меню «Тип установки» выбираем пункт => Установка ролей и компонентов.
Далее «Выбираем сервер из пула». Он у нас должен быть один.
Далее, выбираем нужные Вам роли (функионал сервера), в случае чего, вы всегда сможете добавить что-либо еще, если что-то понадобится дополнительное.
Мы выберем на примере DHCP-сервер, DNS-сервер (Внимание! DNS (домен) не всегда нужен под рабочие задачи, убедитесь, что он нужен именно Вам, прежде чем его выбирать для установки. Мы его устанавливаем лишь для примера.), Доменные службы и Службы для удаленных рабочих столов (для подключения к серверу по RDP).
После выбора нужных служб идем далее.
Далее, пролистываем до меню «Службы ролей» в подпункт «Службы удаленных рабочих столов» и выбираем здесь пункты «Лицензирование удаленных рабочих столов», «Узел сеансов удаленных рабочих столов» и «Шлюз удаленных рабочих столов».
Пролистываем до конца в меню «Подтверждение», нажимаем «Установить» и дожидаемся установки служб.
После перезагрузите сервер для применения настроек.
4) После перезагрузки заходим в меню Active Directory (Диспетчер серверов) и перейдем в настройки доменных служб (DNS), если вы не выбирали данную службу, то пропустите этот пункт настройки.
Выбираем пункт «Добавить новый лес» => и задаем имя для домена, он может быть любым, например названием вашей компании, или название вашего сайта. Настоятельно рекомендуем задавать только на латинице (или цифры).
В параметрах контроллера домена задаем пароль для Вашего домена.
Параметр NetBIOS как правило задается автоматически от имени домена.
Доходим до проверки предварительных требований и нажимаем «Установить». Дождитесь установки.
После установки домена можете проверить в свойствах системы, что Ваш сервер добавлен в домен.
5) Перейдем к настройке DHCP, чтобы сервер мог раздавать IP адреса на клиентские ПК.
Нажимаем «Далее».
Оставляем по умолчанию.
В этой настройке готово.
Теперь в диспетчере серверов, в меню слева выбираем пункт DHCP => Правой кнопкой мыши на Ваш сервер => Диспетчер DHCP
Раскрываем ветку DHCP => Ваш сервер => IPv4, правой кнопкой мыши на этот пункт => Создать область.
В новом окне «Далее».
Задаем любое имя области.
Далее задаем диапазон IP адресов, который будет раздавать сервер на локальные компьютеры, а так же маску подсети. (На скриншоте ниже — это пример, у вас может быть свой диапазон).
При желании, можете исключить какой-либо промежуток IP адресов, либо просто нажмите «Далее».
Задаем срок действия раздачи IP адреса на компьютеры. Мы зададим большой срок в 365 дней, у вас он может быть любой под Ваши задачи.
Выбираем пункт «Да, настроить эти параметры сейчас».
Можете добавить адрес маршутизатора (роутера) из вашей сети.
Можете добавить WINS-сервер, если у вас уже он был ранее настроен на сервере, то он добавится автоматически. Либо можете пропустить данный пункт настройки.
Активировать эту область сейчас.
Готово.
Теперь видим, что область успешно создана.
6) Теперь приступим к лицензированию удаленных рабочих столов (RDP / RDS), чтобы Вы могли подключаться к серверу с клиентских ПК по RDP.
— Первое, что для этого нужно — это ключ активации Windows Server 2022 RDS User или Device CAL. Приобрести его можете в нашем каталоге на следующей странице.
— Чем отличается User CAL от Device CAL можете ознакомиться в нашей прошлой статье.
— Для активации ключа RDS теперь можете воспользоваться следующей инструкцией по настройке и активации данного функционала в нашей прошлой статье. Инструкция является универсальной, начиная от 2012r2 версии до 2022 версии Windows Server.
7) Следующим шагом рассмотрим как добавить пользователя в Windows Server, в случае, если Вы не устанавливали на сервер домен (DNS). С созданными пользователями Вы можете под их данными подключаться к серверу по RDP.
Заходим в Active Directory => Средства => Управление компьютером => Локальные пользователи и группы => Пользователи => Новый пользователь.
Задаем имя пользователя, можете так же указать его должность, или краткое описание. Обязательно задаем ему пароль для входа. При желании можете установить пункты запрета на смену пароля пользователю и отключение срока действия пароля.
Пользователь создан. Нажав на него двойным кликом курсором мыши можете задать пользователю более детальные настройки, при необходимости.
Предположим, что у нас уже установлена операционная система Windows Server 2019. Рассмотрим базовую настройку.
Минимальные требования:
- 64-разрядный процессор с тактовой частотой 1,4 ГГц;
- ОЗУ 512 МБ (2 ГБ для варианта установки “Сервер с рабочим столом”);
- диск 32 ГБ;
- доступ к Интернет.
Первоначальные настройки Windows Server 2019 можно разделить на несколько пунктов:
- Создание новой учетной записи Администратора.
- Настройка статического IP-адреса сервера.
- Проверка правильности настройки времени и часового пояса.
- Установка всех обновлений системы.
- Задать понятное имя для сервера и, при необходимости, ввести его в домен.
- Активировать лицензию Windows Server 2019.
- Настроить основные параметры безопасности.
Создание новой учетной записи Администратора
Первым шагом будет создание новой учетной записи администратора. Сервер может быть подвергнут атакам, т.к. предполагается, что вы используете “Администратор” в качестве основной учетной записи администратора. Поэтому создадим новую учетную запись и выдадим ей права администратора.
Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором для вызова панели Управление компьютером, вам нужно написать:
Затем на вкладке “Локальные пользователи и группы” переходим в “Пользователи” и по клику правой кнопки мыши в основном окне выбираем пункт “Новый пользователь”. После создаем пользователя, задаем ему пароль и выдаем права Администратора. Затем выходим из учетной записи “Администратор” и заходим в свою новую учетную запись.
Повторите все описанные действия выше до момента создания нового пользователя, отключите базовую учетную запись “Администратор” в целях безопасности сервера, так как вы будете выполнять остальные действия по настройке под учетной записью нового администратора.
Настройка статического IP-адреса сервера
Серверы должны иметь фиксированные IP-адреса. Это требование для многих служб (Active Directory,DNS,DHCP).
Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно выполнить, в котором для вызова сетевых настроек, вам нужно написать:
У вас появится окно “сетевые подключения” со списком доступных вам сетевых адаптеров. Щелкните по нужному левой кнопкой мыши дважды.
В окне “Состояние” выберите Свойства -> IP версии 4(TCP/IP) -> Использовать следующий IP-адрес -> Введите данные статического адреса -> Нажмите “Ок”.
Настройка времени и часового пояса
В целях безопасности, таких как правильная работа двухфакторной аутентификации и правильной работы журналов, служб, отдельных программ на Windows Server 2019 — нужно, чтобы время на всех серверах совпадало и было верным по часовому поясу. Иначе неправильное системное время будет отражено во всех программах, где время является критически важным показателем.
Для настройки времени и часового пояса нажмите на: Пуск -> Параметры -> Время и язык.
Установка обновлений
Обновление Windows Server является обязательной ежемесячной рутиной, которая устраняет дыры в безопасности и исправляет неправильно работающие на сервере службы, программное обеспечение. Но, обновляя сервер на последние не протестированные патчи, будьте предельно внимательны, читайте отзывы. Для первоначальной настройки сервера, установить обновления нужно обязательно. Установите обновления Windows: Пуск -> Параметры -> Обновление и безопасность.
В нижней части экрана Центра обновления Windows есть опция “Изменить период активности”. Установите этот параметр, иначе вы станете свидетелем перезагрузки вашего рабочего сервера в рабочее время.
Настройка имени сервера и ввод в домен
Сервер настраивается для определенных целей, ему нужно имя, по которому можно будет проще понимать что это за сервер, отследить его статистику в сетевых подключениях, подключиться к нему, настроить службы и т.д. Меняем имя сервера и его описание (если нужно), вводим в домен.
Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором вам нужно написать:
В окне Панель управления -> Система и безопасность -> Система.
Переходим в свойства системы -> Изменить параметры -> Изменить. Задаем «Имя компьютера», и если нужно, то имя домена. После изменения параметров нужно перезагрузиться.
Активация лицензии
Без активированной лицензии, после того как закончится пробный период пользования, сервер будет перезагружаться каждые 30 минут, чтобы этого не происходило, нужно обязательно активировать сервер для дальнейшей его эксплуатации. Для активации операционной системы нужно: Пуск -> Параметры -> Обновление и безопасность -> Активация -> Изменить ключ продукта. Введите ключ продукта от Windows Server 2019.
Основные параметры безопасности
Как правило, необходимые параметры безопасности связаны с защитой сети, поэтому Брандмауэр Windows должен быть включен, узнайте какие порты нужны вашим службам для работы, настройте его соответствующим образом, но не выключайте брандмауэр.
Дальнейшая настройка заключается в настройке локальной политики безопасности сервера.
Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором для вызова панели локальной политики безопасности, вам нужно написать:
В локальной политике безопасности мы установим несколько параметров в разделе Политики учетных записей и Локальные политики. Политика первой учетной записи -> Политика паролей. Установим минимальный срок действия пароля равным 0 (нулю) дней, а минимальную длину пароля – 12 символов.
Политика учетных записей -> Политика Блокировки Учетной Записи -> Порог блокировки учетной записи -> 3 недопустимые попытки входа в систему. Продолжительность блокировки учетной записи и сброса блокировки учетной записи установлена на 30 минут. Если кто-то попытается принудительно ввести ваш пароль Windows Server, то после трех промахов, этот IP-адрес не сможет войти в систему в течение 30 минут.
Перейдем к следующему Локальные политики -> Политика Аудита. Здесь мы установим параметры ведения журнала. У каждого из вариантов, которые установлены, есть карточка с описанием, которую вы можете увидеть для получения более подробной информации.
Рисунок 1 — Политика аудита
Нужна помощь? Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.
Эта статья описывает, как заказать и использовать Windows Server 2022.
Мы предлагаем Microsoft Windows Server 2022 в качестве дополнения к вашему выделенному корневому серверу по выгодным тарифам.
Заказ дополнения Windows
Чтобы установить Windows Server 2022 на свой сервер, пожалуйста, заказывайте соответствующее дополнение через Личный кабинет клиента. Здесь вы также найдете условия использования.
После завершения вашего заказа установка выполняется на вашем сервере автоматически. Вы получите электронное письмо, как только установка будет завершена.
Доступ к удаленному рабочему столу
После этого у вас будет возможность подключиться к своему серверу с полными правами администратора, используя клиент удаленного рабочего стола. Большинство вариантов Windows поставляются с клиентом удаленного рабочего стола (rdp). Вы можете найти его, перейдя в Пуск -> Средства Windows -> Подключение к удаленному рабочему столу. На Linux установите пакет rdesktop или один из многих альтернатив. Windows поставляется с программой mstsc, но вы можете использовать альтернативы, такие как Terminals.
Для входа используйте имя пользователя Administrator и пароль, который вы выбрали при заказе дополнения.
Дополнительные лицензии RDP (на пользователя) можно заказать, написав запрос в поддержку.
Смена пароля при первом доступе
При первом входе в систему Windows предложит вам изменить ваш начальный пароль. Это сделано из соображений безопасности сервера. Пожалуйста, выберите надежный пароль, который не легко угадать.
Важное замечание: Первый вход не позволяет аутентификацию на уровне сети. Дополнительную информацию можно найти Здесь.
Отключение защиты от перебора паролей
Обновление Windows Server KB5020282 внедряет функцию “Блокировка учетной записи для встроенных локальных администраторов”, которая блокирует учетную запись администратора после 10 неудачных попыток ввода пароля в течение 10 минут. Поскольку мы используем статические IP-блоки, подобные атаки не редкость и могут привести к блокировке вашей учетной записи администратора. Вы можете изменить настройки этой функции или полностью ее отключить в локальной политике безопасности. Вы можете найти ее в Диспетчере сервера, выбрав “Инструменты”, а затем “Локальная политика безопасности”.
Программное зеркалирование RAID 1 / дублирование дисков
Windows Server 2022 позволяет объединить несколько установленных дисков в программный RAID 1 (зеркалирование), чтобы при отказе одного диска все ваши данные оставались на втором диске.
Когда вы заказываете у нас сервер с Windows, он автоматически оснащается зеркалированием, если есть два одинаково больших диска.
Настройка программного RAID в Windows 2022 аналогична настройке в Windows Server 2016/2019. Инструкции по настройке программного RAID в Windows Server можно найти здесь.
Среда восстановления Windows / Консоль восстановления
Консоль восстановления Windows (Среда восстановления / RE) полезна, если, например, вам нужно восстановить загрузчик или загрузочный сектор, или если вам нужно загрузить полное резервное копирование ранее созданного резервного копирования с Хранилища.
Устаревшая версия
Сначала вам следует заказать KVM-консоль. В вашем запросе попросите команду поддержки предварительно загрузить Среду восстановления Windows</ em>. Это даст вам прямой доступ к монитору и клавиатуре вашего сервера. Техники перезапустят сервер, и он загрузит Windows RE через сеть. Как только Windows загрузится, появится графический интерфейс с инструкциями, которые вы должны выполнить.
UEFI
С установкой в режиме UEFI Среда восстановления Windows не может быть загружена через PXE. В этой ситуации техники предоставят вам KVM-консоль с USB-накопителем с Windows RE.
Часто задаваемые вопросы / FAQ
Забытый пароль
Если вы забыли пароль администратора, напишите запрос в поддержку в Личном кабинете клиента и попросите команду поддержки сбросить ваш пароль.
Сброс службы
В Windows CTRL+ALT+DEL вызывает только диалоговое окно аутентификации. Следовательно, функция “Отправить CTRL+ALT+DEL” нашей службы сброса в настоящее время не способна перезапускать сервер. Вместо этого сделайте аппаратный сброс. Это должно по-прежнему работать так, как задумано.
Служба обновления Windows
По техническим причинам служба обновления Windows для наших установок Windows настроена так, что обновления могут только загружаться, но не устанавливаться.
Для изменения этого вам нужно настроить Реестр. Чтобы начать, введите команду “regedit” в диалоговом окне Выполнить.
Перейдите в HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU и установите значение ключа “AUOptions” равным 5.
Теперь вы можете настроить функцию обновления в панели управления.
Служба резервного копирования Windows
Если вам нужно использовать службу резервного копирования Windows (функцию) вместе с Хранилищем, создайте пользователя в локальной системе с тем же именем, что и учетная запись Хранилища. Затем добавьте этого пользователя в группу “Операторы резервного копирования”.
Использование собственных лицензий
Мы участвуем в программе Microsoft SPLA. Лицензия Windows, предоставленная нам, является SPLA-лицензией. Совмещение собственных лицензий клиентов с SPLA-лицензией должно быть оформлено в письменной форме (контракт), поскольку клиент должен поручить нам хостинг продукта. Кроме того, внедрение собственной лицензии Microsoft клиента не всегда возможно (например, для лицензий терминального сервера). Поэтому, с учетом увеличенного административного времени и усилий, которые потребовались бы для этого, мы решили не разрешать совмещение лицензий. Следовательно, вы не можете использовать собственные лицензии Microsoft на арендованной у нас операционной системе Windows.
Однако вы можете установить свою собственную версию Windows, используя свою собственную лицензию. Установка Windows возможна через KVM-консоль.
Включенная лицензия для Hyper-V в стандартной версии
В рамках нашей SPLA-лицензии у вас есть дополнительная лицензия для использования экземпляра Hyper-V при использовании стандартной версии. Вы можете использовать ее следующим образом:
- Закажите дополнительный отдельный IP через Личный кабинет клиента.
- Запишите виртуальный MAC-адрес.
- Создайте новый экземпляр.
- Добавьте сетевой адаптер Legacy и присвойте ему MAC-адрес.
- Запустите экземпляр и дайте ему загрузиться через PXE.
- При успешной загрузке появится меню PXE Boot (синий логотип).
- Активируйте установку Windows через Robot для дополнительного IP.
- Снова загрузите экземпляр через PXE, и вместо меню начнется установка Windows. После появления экрана стандартного входа в систему вы можете использовать экземпляр.