Установка и настройка Windows Server 2019 Core



Установка и настройка Windows Server 2019 Core

Установка и настройка Windows Server 2019 Core

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разбирали причины синего экрана Windows, научились их диагностировать и решать. В сегодняшней публикации я вас научу производить установку Windows Server 2019 Core версию с последующей настройкой и введением в эксплуатацию. Думаю, что начинающим системным администраторам, данная информация окажется весь полезной и практичной.

Для чего устанавливать Windows Server 2019 Core версию

И так небольшая справка из истории, существует два режима работы операционной системы Windows Server:

1. Это классическая установка с графическим интерфейсом, где пользователь имеет возможность взаимодействовать с большим количеством различных окон с настройками и 99% всех действий выполняется с помощью мышки. Это безусловно удобно, но менее безопасно.
2. Второй вариант, это использование режима не имеющего графической оболочки, ну почти, это так называемый режим Core или Nano. Тут из операционной системы Windows Server 2019 Core выпилены все графические составляющие, за исключением некоторых исключений. Администратору предоставляется командная строка и оболочка PowerShell, через которую он может взаимодействовать в систему.

Неоспоримый плюс Core версии

1. Операционная система Windows Server 2019 в режиме Core работает на порядок быстрее, чем ее графическая версия
2. Уменьшается объем необходимого дискового пространства для системы, очень актуально в инфраструктурах, где есть нехватка HDD или SSD пространства.
3. Уменьшается периметр возможной атаки на операционную систему, так как в ней меньше компонентов, меньше библиотек и возможных точек проникновения
4. Требуется меньшее количество обновлений
5. У вас все так же остается возможность удаленного. графического управления

Установка Windows Server 2019 Core

Несколько лет назад я вам рассказывал, про тот же процесс, но в Windows Server 2012 R2. И так у вас есть несколько вариантов развертывания:

• Вы будите, это делать на физический сервер, для это у вас может быть загрузка с WDS сервера или же вы можете создать загрузочную флешку с Windows Server 2019.
• Второй вариант, это подготовка сервера в виде виртуальной машины на разных гипервизорах, например Vmware ESXI 6.5 или Hyper-V.

Выбрав удобный для вас механизм развертывания операционной системы, вы загружаете дистрибутив. На первом экране инсталляции выбираете если есть возможность язык интерфейса мастера установки, это ни как не влияет на сам язык Windows Server.

Далее, так как нам не требуется восстановление системы, то мы нажимаем по центру, кнопку «Установить«.

На следующем этапе, вам и нужно выбрать режим установки Windows Server 2019 Core, который не имеет возможностей рабочего стола, это и есть графический интерфейс. Я выберу версию Standard.

Принимаете лицензионное соглашения и делаем шаг вперед.

Так как нас не интересует обновление устаревшей системы ,то мы выбираем второй пункт «Выборочная установка, для опытных пользователей»

Остается только произвести разметку диска и продолжить инсталляцию Core версии. В моем случае, это один диск, объемом 40 ГБ, мне этого будет достаточно, более чем.

Начинается процесс копирования файлов Windows, затем идет подготовительный этап по установке файлов. Вам остается его дождаться, система уйдет в перезагрузку.

Далее начинается этап установки драйверов на ваше оборудование, установка обновлений.

После очередной перезагрузки Windows Server 2019 у вас появится окно командной строки в котором вам необходимо изменить пароль администратора.

Задаем два раза ваш пароль на вход.

Если вы все ввели верно, то вам покажут, что пароль успешно изменен, на этом установку Windows Server 2019 Core можно считать оконченной и можно приступать к настройке.

Настройка Windows Server 2019 Core

Чтобы ввести такой сервер в эксплуатацию, вам необходимо произвести базовую настройку вашего Windows Server 2019, напомню, это:

• Правильно его назвать по стандартам вашей компании
• Задать статический IP-адрес
• Установить обновления
• Настроить удаленное управление
• Настроить фаэрвол

Напоминаю, что в командной строке вы легко можете использовать знакомые вам команды, например netsh, hostname, ipconfig, dir, cd и многое другое

Все эти команды вы как администратор желательно должны знать, но так как на дворе 2019 год, то логично, что большее внимание нужно уделять PowerShell, который вы легко можете открыть в текущем cmd, но это путь более долгий.

Разработчики еще начиная с версии Windows Server 2012, а может и раньше, вшили замечательный скрипт sconfig, который буквально в считанные минуты позволит вам выполнить поставленные задачи по настройке. В командной строке введите:

sconfig и нажмите Enter

В результате у вас появится голубое окно с 15-ю пунктами:

1. 1. Домен или рабочая группа — тут вы можете присоединить сервер к домену или рабочей группе
   2. Имя компьютера — позволяет вам изменить имя системы
   3. Добавление локального администратора

1. Настройка удаленного управления (WinRM), по умолчанию служба включена
2. Параметры центра обновления Windows — установка последних фиксов и заплаток безопасности.
3. Скачивание и установка обновлений
4. Удаленный рабочий стол — включение RDP
5. Сетевые параметры — настройка сети (Статические или DHCP)
6. Дата и время
7. Параметры телеметрии
8. Активация Windows
9. Выход из системы
10. Перезапуск сервера
11. Завершение работы сервера
12. Выход в командную строку

Давайте для начала зададим нужное имя нашему серверу Windows Server 2019 Core. Выбираем пункт 2 и нажимаем Enter. Как видим у меня сейчас не очень красивое имя WIN-EMC77JSLINS. Задаем новое имя сервера, у меня это будет w2019core01. Когда согласитесь сохранить изменения, вас попросят перезагрузить сервер, соглашаемся.

Как видим сервер после перезагрузки изменил имя.

Далее я вам предлагаю ввести наш Windows Server 2019 Core в домен Active Directory. Для этого выбираем первый пункт. Вас спросят, что вы хотите сделать, так как мы хотим сделать сервер частью нашего предприятия, то нажимаем букву «D«. Укажем имя домена и имя пользователя от имени которого мы выполним присоединение, напоминаю, что по умолчанию, это может сделать даже любой пользователь Active Directory, как минимум 10 раз.

Вводим пароль от учетной записи два раза, если все хорошо, то вам выскочит окно, где вы можете изменить имя компьютера, мне это не нужно.

В результате у меня уже в статусе домен, видится нужное мне значение. На контроллере домена запись уже должна появиться, но я вам рекомендую все же перезагрузиться.

Следующим шагом я вам предлагаю настроить статический ip-адрес. Выбираем в sconfig 8-й пункт сетевые параметры. В моем примере у меня есть два сетевых интерфейса, я буду настраивать второй, имеющий выход во внутреннюю, доменную сеть. Выбираю второй пункт.

Как видим у вас четыре пункта:

1. Установка адреса сетевого адаптера
2. Установить DNS-серверы
3. Очистить параметры DNS-сервера
4. Вернуться в главное меню

Выбираем первый пункт и зададим статический ip-адрес. На первом шаге вас спросят выбрать динамическое получение адреса с DHCP сервера, клавиша «D» или же статическое получение, выбираем «S«. Указываем ip адрес, в моем случае, это 192.168.31.20, задаем маску сети и основной шлюз. Ваши настройки сохранятся.

Теперь выбираем второй пункт и укажем DNS серверы. Лучше указывать два, для отказоустойчивости.

Проверяем наши сетевые настройки и возвращаемся в главное меню.

Далее я вам советую проверить дату и время, а так же часовой пояс, это очень важно. Выбираем пункт 9 «Дата и время». И о чудо в Windows Server 2019 Core есть графическое окно, да не удивляйтесь.

Давайте включим удаленный рабочий стол, чтобы была возможность подключаться при необходимости по RDP, хотя уверен, что это будет очень редко, так как есть более удобный механизм WinRM. Выбираем 7-й пункт.Тут будет два варианта, буква «E» включить или буква «D» отключить. Далее нужно выбрать будите ли вы использовать NLA или нет, я советую использовать, поэтому выбираем первый пункт:

1. Разрешить только клиенты, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (Больший уровень безопасности)
2. Разрешить клиенты, на которых запущена любая версия удаленного рабочего стола (Меньший уровень безопасности)

Вас уведомят, что удаленный рабочий стол включен.

Остается не решенным еще вопрос по обновлению Windows Server 2019 Core. Для этого у нас есть два пункта 5 и 6. Выбираем пункт 5, вас спросят, как будут находится обновления, в каком режиме. На выбор будут автоматический, буква «A«, скачивание, буква «D» или ручной режим, буква «M«. Я выберу «M», так как я привык перепроверять получаемые обновления.

Вас уведомят, что настройки к центру обновления Windows применены.

Выбираем 6 пункт и скачаем обновления. Вас спросят найти для всех продуктов или только рекомендуемые. я вам советую закрывать все, что можно, поэтому я выбираю пункт «A«.

Начинается поиск обновлений, видим у меня нашлось 3 обновления, я могу поставить их все сразу или поодиночке. Я выберу все сразу, пишем «A«.

Производится загрузка обновлений. их установка через некоторое время вы увидите их статус.

Активация Windows Server 2019 Core

Остается еще активировать ваш сервер, надеюсь, что у вас в локальной сети развернут и настроен KMS сервер. Выбираем 11 пункт. В параметрах активации Windows, у вас будут пункты:

1. Просмотр сведений о лицензии
2. Активация Windows
3. Установка ключа продукта
4. Вернуться в главное меню

Просмотрим текущее состояние активации Windows Server 2019 Core. Выбираем пункт 1. У вас откроется окно командной строки, вы увидите работу скрипта slmgr. В моем примере я вижу редакцию ОС, ее тип Volume и то, что активация не выполнена, ошибка 0x0C004F056.

Попробуем активировать сервер, выбираем пункт 2. Если KMS есть, то все отработает, если его нет ,то получите ошибку «0x8007232B DNS-имя не существует».

Если нужно поменять ключ продукта, то выберите пункт 3, и у вас откроется еще одно графическое окошко.

В Windows Server 2019 Core по умолчанию уже включена служба удаленно управления WinRM, поэтому дополнительно ее настраивать не нужно. В окне PowerShell введите:

Enter-PSSession -ComputerName w2019core01

В итоге я спокойно подключился и ввел команду ipconfig, где вижу ранее настроенный ip-адрес.

На этом я хочу закончить базовую установку и настройку Windows Server 2019 Core. В будущих статьях я вам расскажу ,как включать «Удаленное управление» через оснастку, научу настраивать правила брандмауэра. С вами был Иван Семин .автор и создать IT портала Pyatilistnik.org.

Май 14, 2019 09:00Сегодня я хотел бы познакомить читателя с Windows Server Core 2008 R2. Как показывают мои личные наблюдения, многие администраторы его боятся. Причина проста: в головах прочно засело Windows=GUI, а вот GUI-то в нем как раз и нет. Как следствие все воспринимают Server Core как «не такой» Windows. Он действительно не такой, но ничего страшного в нем нет. Более того, в нем есть свои плюсы и прелести. Из очевидных — экономия ресурсов. Из не очевидных — отсутствие возможности тыкать во все места дисциплинирует и заставляет разбираться в том что хочешь сделать. Меньшая требовательность к ресурсам позволяет эффективнее распределять оные при виртуализации серверов. Поясню: Есть, положим, сервер (не важно физический или виртуальный). На нем Windows Server 2008R2, AD (не основной контроллер), WSUS. Чтобы это хоть как-то ворочалось минимум нужно 2GB памяти. Вместо него можно сделать две виртуалки с Server Core, на одной AD, на второй WSUS. При этом обе эти виртуалки будут жить с полугигом памяти и прекрасно себя чувствовать. При этом лишаемся мы только GUI, которым я, например, и так не пользуюсь практически, по крайней мере с консоли сервера.Теперь расскажу с чего начинать и как делать: Рассказывать и показывать процесс установки не вижу смысла. Там все просто и банально. Накосячить просто негде. Первый успешный логин являет нашему взгляду вот такую радостную картину. Первым делом запускаем sconfig. Настраиваем сеть, вводим в домен, разрешаем RDP, в общем делаем все что нужно. Отдельно хочу заметить, что в русской версии не работает разрешение удаленного управления MMC через sconfig. При попытке это сделать вы получите сообщение о невозможности перенастройки брандмауэра. Обходится просто:netsh advfirewall set domainprofile firewallpolicy allowinbound,allowoutbound Если паранойя не позволяет открыть все порты, то можно настраивать тонко.Следующий этап: Установка PowerShell. Установки ролей и компонентов делается с помощью команды DISM. С ее помощью также можно посмотреть список доступных компонентов и ролей (DISM /online /Get-Features).DISM /online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:NetFx2-ServerCore-WOW64 /FeatureName:NetFx3-ServerCore /FeatureName:NetFx3-ServerCore-WOW64 /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets Эта команда поставит нам .NET2, .NET3, сам PowerShell, и наборы управляющий командлетов. Если есть желание, можно поставить файловый менеджер, например, FAR:PS C:Dist>msiexec /package Far20.x64.msi PS C:Dist> cd Env: PS Env:> $cur = get-item -Path Path PS Env:> $cur.Value+=";C:Program FilesFar2" PS Env:> Set-Item -Path Path -Value $cur.Value Теперь у нас есть платформа. Все дальнейшие настройки и аналитику можно уже получать с помощью MMC оснасток со своего ПК или другого сервера. Далее собственно установка ролей, все делается до умопомрачения просто. Сначала рассмотрим установку WSUS:1-е: Включаем IIS. DISM /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:IIS-WebServer /FeatureName:IIS-WebServerRole /FeatureName:IIS-ASPNET /FeatureName:IIS-WindowsAuthentication /FeatureName:IIS-HttpCompressionDynamic /FeatureName:IIS-IIS6ManagementCompatibility /FeatureName:IIS-ISAPIFilter /FeatureName:IIS-ISAPIExtensions /FeatureName:IIS-NetFxExtensibility /FeatureName:IIS-Metabase2-е: Ставим сам WSUS (http://www.microsoft.com/download/en/details.aspx?id=5216). И настраиваем как обычно, через визард. (если указать в качестве хранилища имеющийся SQL-сервер, то надо иметь ввиду, что имя базы WSUS не спрашивает а использует имя SUSDB, и если на этом сервере есть такая база, то WSUS ее просто грохнет).3-е: Ставим из того-же дистрибутива на свой ПК оснастку управления. И в общем-то все. WSUS сервер готов. Контроллер домена: Тут все еще проще. DISM /online /Enable-Feature /FeatureName: DNS-Server-Core-Role - ставим DNS. dcpromo /replicaornewdomain:replica /replicadomaindnsname:domain.name /safemodeadminpassword: /autoconfigdns:yes - ставим AD. Ролью DNS и AD можно управлять оснастками со своего рабочего ПК точно так же как это обычно делается с консоли сервера. Вот, например, запущенный удаленно диспетчер сервера. То есть весь процесс установки и настройки Server Core ничуть не сложнее, чем настройка обычного сервера. Однако информации по нему гораздо меньше и вообще он как-то не заслужено обделен вниманием. P.S. Я сознательно обошел вопросы лицензирования и тот факт, что лицензии стоят дороже чем железо, так что прошу меня за это не пинать. Ситуации бывают всякие, и иногда использование Server Core вполне себе оправдано.

О редакции

Windows Server доступен в двух видах: Server Core и Desktop Experience (GUI).

Так же, существует редакция Microsoft Hyper-V Server. Она бесплатна и ее не следует путать с его братьями и сестрами: Windows Server Standard или Datacenter с установленной ролью Hyper-V.

Основная задача Core редакции — предоставление более защищенной среды выполнения для работы приложений и сервисов. Если брать обычный сервер, присутствие в его инсталляции GUI кроме очевидного удобства администрирования несет еще и дополнительные тысячи строк кода. Этот код может содержать потенциальные уязвимости, которые в свою очередь окажут влияние на уровень безопасности системы в целом.

Чтобы приложение могло работать в Core режиме, у него должны отсутствовать все зависимости от GUI. Например, SQL Server такой возможностью обзавелся начиная с 2016 версии, а Exchange Server только с 2019. Если же брать роли самого сервера, в 95% случаев они прекрасно могут работать и работают без графики.

Дополнительным бонусом можно считать возможность редакции в отключении поддержки WOW64. Если очень кратко — это подсистема Windows для запуска приложений х86 в х64 битных ОС. Другими словами, после ее отключения любой 32-х битный код перестанет работать. Если вы точно знаете, что на сервере будут отсутствовать х86 приложения — смело отключайте. Например, на файл-сервере точно можно.

К маленьким, но все же значимым преимуществам Core редакции относятся еще уменьшенные объемы системного диска и количества обновлений. Оба преимущества непосредственно связаны с отсутствием GUI. В первом, на диске просто отсутствуют их бинарники, а во втором — для него не требуются обновления.

Управление

Отдельной темой для разговора будет управление. В принципе, на данный момент разница в управлении Core редакцией и с GUI отсутствует. Средства управления можно разделить на утилиты CMD, оснастки MMC и PowerShell.

До 2008-го сервера, Microsoft болел страшным недугом – «болезнью маленьких утилиток». Симптомы проявлялись в написании каждой командой разработчиков своего набора утилиток. Они обладали своим синтаксисом и решали, порой, крайне специфические задачи. Подобные явления обеспечивали дополнительную головную боль, так как разный синтаксис и способ применения крайне усложнял их использование.

Графические средства управления представляли собой расширяемую MMC консоль. Идея была в создании единого фреймворка, под который уже каждая группа разработчиков писала свои расширения, которые уже и выполняли свои специфические функции. Многие консоли MMC доступны и сейчас и входят в состав GUI сервера или пакета RSAT для клиентских операционных систем.

И опять же, начиная с 2008-го сервера обстоятельства стали меняться в лучшую сторону, в сторону PowerShell. Для Server Core, этот инструмент имеет огромное значение, так как предоставляет основные возможности удаленного управления. Оно выполнено поверх сервисов WinRM а не RPC.

RPC — это старая технология, живущая еще со времен NT 4.0 Прописка в клубе пенсионеров автоматически означает наличие огромного багажа совместимостей. Именно это дает отличное подспорье для реализации ряда целевых атак. В большинстве случаев, грамотная настройка помогает сгладить самые острые шероховатости, но все же, технология старая и имеет ряд конструктивных недостатков. Более новая технология управления, основанная на протоколе WS-Management, реализуется в WinRM. Именно на WinRM основывается функционал удаленного управления PowerShell. Начиная с Windows Server 2012, он настраивается автоматически и принимает входящие подключения в доменных и приватных сетях.

Относительно новое, но крайне перспективное средство управления — Windows Admin Center. WAC дает потрясающие возможности единой точки управления инфраструктурой Windows Server в виде веб приложения. Я планирую отдельно сделать цикл статей, где расскажу о процессе установки и основным принципам работы с этим продуктом. Пока же, коротенькое видео которое дает базовый обзор:

Выводы

Windows Server Core однозначно заслуживает внимания. Хоть он и может показаться сложным в использовании из-за отсутствия графических элементов управления, Server Core является безопасной платформой для разворачивания сервисов. Современные средства управления PowerShell и Windows Admin Center — в значительной степени сглаживают отсутствие привычного GUI, одновременно предоставляя новые возможности управления.

Используемые источники:

• http://pyatilistnik.org/install-and-configure-windows-server-2019-core/
• https://habr.com/post/138786/
• https://ait.in.ua/on-premise/windows-server/windows-server-core.html