Windows server 2012 r2 standard server core installation что это

Содержание

Что нового в Server Core
Установка Server Core
Руководство по безотказной работе Server Core
Переключение между версиями Server Core и GUI
Доступ к диспетчеру задач 
Закрытие окна командной строки
Изменение пароля администратора
Доступ к общим файлам
Поиск команд от А до Z 
Чтение текстовых файлов с помощью Notepad
Редактирование реестра
Завершение работы и перезагрузка
Начальная конфигурация Server Core
Предоставление информации о компьютере 
Обновление сервера
Настройка сервера
Дистанционное администрирование Server Core
Конфигурирование ролей и компонентов
Создание контроллера домена и управление DNS 
Конфигурирование службы DHCP
Настройка файлового сервера
Настройка сервера печати 
Управление лицензиями с помощью службы KMS
Защита данных с помощью утилиты Windows Server Backup

Специалисты из компании Microsoft проектируют и разрабатывают очередные версии своих продуктов на основе рыночного спроса. Вдобавок они проти­востоят конкуренции путем объединения достоинств и компонентов, на что другим приходится как-то реагировать. Так, продуктом Server Core, который появился в Windows Server 2008 и был улучшен в Windows Server 2012 R2, разработчики из Microsoft расширили линейку своих ОС Windows для борьбы с конкурентами и в от­вет на запросы системных администраторов, желавших работать командной строке.
В этой главе мы посмотрим, что нового в Server Core версии Windows Server 2012 R2, и покажем, как управлять этой ОС с использованием PowerShell.
В этой главе вы научитесь:
пользоваться новой функциональностью в Server Core;
устанавливать и конфигурировать Server Core;
настраивать Server Core для развертывания внутри филиала;
+ дистанционно управлять ОС.

Вы уже устанавливали Windows Server 2012 R2 и видели, что на паре экранов
отображались варианты установки. Обязаны ли вы применять версию с графичес­
ким пользовательским интерфейсом (GUI)? Вам нравятся преимущества Server Core в отношении безопасности и сокращения накладных расходов, но вам также нравит­ся пользовательский интерфейс в стиле «указать и щелкнуть», предлагаемый верси­ей GUI. Для вас есть хорошие новости: в версии Windows Server 2008 R2 после уста­новки Server Core возвратиться назад было невозможно, но в Windows Server 201 2 R2 теперь можно переключаться туда и обратно между версиями Server Core и GUI.
Стандартным выбором является Server Core, но если вы решите выбрать установку с использованием GUI, то все равно будете иметь доступный инструмент PowerShell.
Настроив сервер и подготовив его к функционированию в производственной среде, можете просто переключить ero на версию Server Core.

При чтении этой главы имейте в виду, что несмотря на возможность переключе­
ния на версию G U 1 с целью решения тех же задач, мы будем применять для этого
Server Саге. Например, мы покажем, каким образом проверить копию Windows с ис­пользованием Server Core. Вы можете счесть выполнение этих задач более простым, переключившись на версию G Ul, и будете полностью правы. Большинство приме­ров в данной главе рассматривались также в главе 2, где они прорабатывались в вер­сии GUI. В настоящее время PowerShell 3.0 предлагает дополнительные командлеты
для администрирования сервера Server Саге. Синтаксис командлетов теперь проще для понимания. Ко многим существовавшим ранее командлетам были добавлены параметры, позволяющие расширить и х функциональность. В разделе «Руководство по безотказной работе Server Core» далее в этой главе будет приведен полный спи­сок новых командлетов, добавленных в Windows Server 2012 R2.
Что ТАКОЕ SERVER CoRE?
Server Core — это ОС Windows Server с минимально необходимыми требованиями,
позволяющими функционировать в качестве операционной системы. В состав этой ОС не входит графический пользовательский интерфейс, проводник Windows, бра­узер lnternet Explorer и другие зависимые ком поненты. Устранение этих дополне­
ний означает, что мы должны обходиться без многих удобных инструментов адми­
нистрирования, в частности оснасток, встроенных в консоль управления Microsoft
(Microsoft Management Consote). В итоге главным интерфейсом для управления сис­
темой остается командная строка PowerShell.
Что же это означает для администратора?
• Сокращение затрат на обслуживание. Меньший объем функциональности сни­
жает объем необходимых обновлений.
• Уменьшение площади атаки. Отсутствие дополнительных средств приводит к
снижению числа потенциальных целей для атаки. Роли и компоненты можно ус­
танавливать по мере необходимости, а ограниченное количество служб сократит
площадь атаки.
• Сокращение требований к производительности. Редакция Server Core меньше за­
гружает ЦП и занимает меньше пространства на диске, поэтому требования к
оборудованию снижаются.

Установка Server Core

Перед установкой Server Core примите во внимание тот факт, что благодаря воз­
можности переключения между версиями Server Core и GUI, совершенно не имеет
значения, какая версия бьта установлена первой. Это дает возможность установить
сервер версии GUJ, как объяснялось в главе 2, а затем переключить его на Server Саге.
Процесс установки Windows Server 2012 R2 Server Саге так же прямолинеен, как
и в случае других редакций этой ОС. Вы загружаете сервер из установочного DVD­
диска и дальше следуете инструкциям. Можете использовать файл . xml автономной
установки, чтобы сконфигурировать все вплоть до устанавливаемых компонентов.
Этот файл генерируется с помощью комплекта Windows Automated Installation Кit,
что в данной главе не рассматривается.
Программа установки позволяет выбрать ОС для установки, как показано на рис. 3. 1.
Рис. 3.1 . Выбор редакции Server Саге при установке Windows Server 2012 R2 1 35 1. Выберите желаемую редакцию Server Core — Standard или Datacenter — и щел­ кните на кнопке Next (Далее). 2. Ознакомьтесь и примите условия лицензионного соглашения и щелкните на кнопке Next. На следующем экране запрашивается необходимый тип установки. 3. Поскольку выполняется чистая установка, выберите переключатель Custom (Специальная). На следующем экране запрашивается местоположение для ус­ тановки (рис. 3.2). Мы предпочитаем делить жесткий диск на два раздела: 50 Гбайт для ОС и ос­ тавшийся объем для данных и приложений. Это уменьшает размер резервной копии системного диска. Меньший размер раздела может не позволить даль­нейшую установку дополнительных приложений, пакетов обновлений, обнов­лений безопасности и исправлений, что приведет к нестабильной работе и по­тенциальной перестройке ОС. 4. Щелкните на ссылке New (Новый) в нижней части экрана, чтобы создать раз­дел с объемом 50 Гбайт. Программу установки Windows также создает системный раздел размером 350 Мбайт, в котором хранится консоль восстановления ОС. Удалить этот раз­дел не удастся. Не переживайте по поводу этого недоступного пространства; в настоящее время даже флэш-накопители обладают большей емкостью. 5. После успешной установки войдите в систему с применением учетной записи администратора (Administrator), как это делалось бы при полной установке. 6. Пароль пока не назначен, поэтому введите новый пароль. Как только процесс установки завершит построение профиля администратора, появится рабочий стол, показанный на рис. 3.3, который имеет совершенно спар­танский вид. Нет ни диспетчера серверов, ни панели задач, ни системного лотка. Имеется только открытое окно командной строки. 136 Where do you want to inst•ll Windows� 350.О МВ 320.О МВ Syяmi 50.4 G8 50.4 GB Primмy 29.ЗGВ 29.ЗGВ Рис. 3.2. Выбор раздела для установки Рис. 3.3. Пустой пользовательский интерфейс Server Соге ГЛАВА 3 Для целей этой книги мы изменили стандартные настройки окна командной строки PowerShel, улучшив читабельность экранных снимков. По умолчанию ко­манды будут отображаться белыми символами на черном фоне. Чтобы внести ана­логичные изменения, щелкните правой кнопкой мыши на левом верхнем углу экра­на и выберите в контекстном меню пункт·properties (Свойства). На вкладке Colors (Цвета) измените цвет шрифта и фона, как показано на рис. 3.4.

Руководство по безотказной работе Server Core

Перед погружением в детали вы должны ознакомиться с несколькими советами по обеспечению безотказной работы этой ОС. Мы обсудим доступ к диспетчеру за­дач для управления процессами, запуска задач и просмотра показателей производи­тельности. Затем мы рассмотрим базовые команды, которые обычно упускаются из виду, когда доступен графический пользовательский интерфейс, предлагаемый вер­сией GUI. Они позволят выполнять рутинные задачи администрирования и обеспе­чат доступ в сеть.
Рис. 3.4. Изменение цветовых настроек окна командной строки

Переключение между версиями server core и OUI

Этот прием будет описан первым в руководстве по безотказной работе, посколь­
ку возможность переключения между версиями Server Core и GUI может оказаться
очень удобной. Мноrие администраторы завершают начальную настройку, используя
версию GUI, и переключаются на версию Server Core в производственной среде.
Вам понадобится загрузить сценарий, находящийся по адресу:
http : //gallery . technet .rnicrosoft . com/scriptcenter/
Switch-between-Windows-96802 65d/file/107247/l /SwitchGUIServerCORE . zip
Данный сценарий применяется вне зависимости от того, какие версии переклю­
чаются. Прежде чем запускать сценарий, необходимо разрешить выполнение сце­
нариев на сервере; по умолчанию это запрещено. Для этого запустите следующий
команмет:
PS C : >Set-ExecutionPolicy AllSigned
Теперь можно запустить сценарий из местоположения, куда бьш загружен файл,
используя PowerShell (рис. 3.5).
После выдачи запроса введите одно из перечисленных ниже целых значений:
• 1 — мя переключения на версию Server Core;
• 2 — мя переключения на версию GUI;
• 3 — мя установки версии GUI из онлайнового ресурса.
Потерпите некоторое время; весь процесс может занять несколько минут. По за­
вершении будет запрошена перезагрузка сервера, по прошествии которой вы долж­
ны увидеть нужную версию ОС.

Доступ к диспетчеру задач

Версия Server Core предоставляет совсем немного компонентов графического пользовательского интерфейса. Наиболее важным является диспетчер задач (Task Manager).

Рис. 3.5. Запуск сценария PowerShell
Это тот самый диспетчер задач, который вы хорошо знаете и любите по другим
версиям Windows. Существует два главных способа открыть диспетчер задач, кото­
рые описаны ниже.
• . Вы можете открыть проверенное временем диалоговое окно
Security (Безопасность), нажав комбинацию клавиш . В этом
диалоговом окне можно по выбору блокировать рабочую станцию, выйти из
системы или запустить диспетчер задач.
• . Для запуска диспетчера задач вы можете также воспользо­
ваться методом «секретного рукопожатия MSCE», нажав комбинацию клавиш
. Теперь, когда вы об этом знаете, считайте себя членом элит­
ного клуба. Данный метод был одной из недокументированных возможностей.

Закрытие окна командной строки

Вы, как хороший системный администратор, всегда закрываете приложения пос­
ле завершения работы с ними, чтобы они не потребляли ценные ресурсы, подоб­
ные памяти и ЦП, верно? Значит, вы наверняка пожелаете закрыть окно командной
строки после завершения задачи во время нахождения в системе Server Core.
Поняв, что вы только что закрыли единственный интерфейс с ОС, для возвраще­
ния окна командной строки можете выполнить перечисленные ниже шаги.
1. Откройте диспетчер задач, как объяснялось ранее.
2. Выберите пункт меню FileqNew Task (Run) (ФайлqНовая задача (Выполнить)).
Откроется окно Create new task (Создать новую задачу}, подобное окну Run
(Выполнить), которое доступно через меню Start (Пуск).
3 Введите cmd и щелкните на кнопке ОК, как показано на рис. 3.6.
4. Введите PowerShell в окне командной строки, что приведет к переключе­
нию на командную строку PowerShell.

Изменение пароля администратора

Инструмент PowerShell будет применяться llJlЯ выполнения большинства задач
администрирования, но все равно есть несколько инструментов командной строки,
которые проще в использовании, поэтому они включены в рассматриваемые здесь
примеры. После входа в систему Server Саге в первый раз вас может интересовать,
как можно изменить пароль администратора в будущем.
Это делается с помощью команды net user:
PS C : UsersAdministrator>net user administrator *
Туре а password for the user :
Введите пароль дл я п ользовател я:
Retype the password to confirm :
Повторите ввод пароля для подтверждения :
The command completed successfully .
Команда выполнена успешно .
Символ звездочки обеспечивает запрос нового пароля.
Команда net действительно стара. Она относится к временам, когда ОС Windows NT
считалось новой технологией (NT — new technology).
Один из новейших способов изменения пароля предусматривает применение ко­
мандлета PowerShell под названием Set-ADAccountPassword. Ниже приведен син­
таксис этого командлета:
Set-ADAccountPassword [ — Identity]
[ -AuthType (Negotiate 1 Basic } ] [ -Credential J
( -NewPassword ] [ -OldPassword ]
[-Partition ] [-PassThru ] [ -Reset ]
[ -Server ] [ -Confirm] [ -WhatI f ] [ ]

Доступ к общим файлам

С учетом того, что Windows Server является сетевой ОС, вам понадобится полу­
чать доступ к общим ресурсам в сети. Если в своей работе вы опирались на про­
водник Windows, то могли никогда не сталкиваться с необходимостью подключения
к обшей папке из командной строки. Для отображения общих ресурсов на сервере
предназначена команда net view:
PS C : Users Administrator>net view \bfl
Shared resources at bfl
Share name Туре Used as Comment
isos
netlogon
PuЬlic
SYSVOL
Dis k
Dis k
Disk
D1sk
temp Dis k
The command completed success fully.
Для доступа к тому служит команда net use, которая отображает общий ресурс
на букву устройства:
PS C : Users Administrator>net use Z : \bfltemp
The command completed success fully

В командной строке можно переходить на такое устройство, вводя его букву, на-
пример, z : . Затем вnодятся нужные команды MS-DOS для работы с папками.
Для удаления отображенного устройства используйте следующую команду:
PS C : Users Administrator>net use Z : /de1
Z : was deleted successfully
Можно также применять команд.лет PowerShell под названием get-psdr i ve
для получения информации об устройстве и команд.лет New-PSDrive для отобра­
жении на новое устройство. Ниже в целях справки показан синтаксис командлета
New-PSDrive:
New-PSDrive [ -Name ] [ — PSProvider] [-Root ]
[ -Credential ] [ — Descript ion ]
[ -Persist] [ -Scope ] [ -Confi::m} [-Whati f ] � -UseTransaction ]
[ ]

Поиск команд от А до z

Справочники по командам очень удобны. В Windows Server 201 2 R2 имеется
такой справочник для оказания помощи при полной установке; тем не менее, он
содержит гиперссылки на объяснения всех этих команд. Лучшим местом для на­
хождения списка доступных команд является справочник по командам (h t tp : / /
technet . microsoft . com/en-us/library/cc754340 . aspx), который предлагает
меню от А до Z. При поиске команды, которая выполнит работу, это первое место,
где следует начинать.
Больш инство командлетов PowerShell можно найти через страницу h t t р : / .1
technet . microsoft . com/en-us /library/hh801 904 . aspx. На ней вы увидите
все категории администрирования со ссылками на сотни командлетов.

Чтение текстовых Файлов с помощью Notepad

В полной установке для редактирования текстовых файлов вы используете ути­
литу Notepad. Она также доступна в Server Core. Эта утилита относится к «старой
школе» и представлена в виде очень ранней версии. Хотя она и не настолько древ­
няя, как VI, но существует с тех дней, когда была актуальна ОС Windows NТ.
Невероятно, но проектировщики Core на самом деле думали о том, чтобы ис­
ключить эту удобную утилиту, пока специалисты из отдела маркетинга не получили
обратную связь от пользователей. Удаление этой утилиты стало бы крупной ошиб­
кой. Утилита Notepad является важнейшим инструментом д,1я Server Core.
У нас есть пример текстового файла по имени ipconfigCommand . txt. Для его
открытия служит следуюшая команда:
C : Use rs Administrator>notepad documents ipcon figCommand . txt
Нам нравится применять Notepad дпя построения сложных команд. В конце спра­
вочного текстового файла, подобного ipconfigComrrcand . txt, приводятся примеры,
которые можно вырезать, копировать, вставлять и редактировать необходимым об­
разом. Затем результирующую команду можно вставить в окно командной строки.
Вывод этой команды легко скопировать из командной строки, используя пункт Mark
(Пометить) контекстного меню, которое доступно по щелчку правой кнопкой мыши.
После этого вывод можно вставить обратно в файл, открытый в Notepad.

Редактирование реестра

Сценарий SCRegedi t . ws f создан командой разработчиков Server Core и предна­
значен для выполнения общих задач, связанных с редактированием реестра. Список
общих задач в Server Core можно получить с помощью параметра /cli. Не все зада­
чи придется выполнять, но список включает «секретное рукопожатие MSCE», поз­
воляющее открыть диспетчер задач. Поскольку scregedi t . wsf является сценарием
Visual Basic (УВ), его придется запускать через интерпретатор, который находится в
папке System32, поэтому перейдите в нее:
C : WindowsSystem32>cscript scregedi t . ws f / cl i

Завершение работы и перезагрузка

Имеется также команда PowerShell, предназначенная для завершения работы и
перезагрузки сервера. Можно даже ввести причину перезагрузки или завершения ра­
боты в качестве примечания. Для перезагру;эки сервера введите следующую команду:
PS С : > Restart-Computer
Чтобы перезагрузить удаленные компьютеры, можно ввести показанную ниже
команду, которая завершит работу двух удаленных (ServerOl и Server02) и локаль­
ного компьютера (localhost):
PS С : > Restart-Computer -ComputerName ServerO l , Server02 , localhost

Начальная конфигурация Server Core

Как было указано ранее в этой главе, можно переключиться на версию GUI и
сконфигурировать сервер из диспетчера серверов (рис. 3.7), после чего переклю­читься обратно в режим командной строки.
Конфигурирование настроек сети Главным элементом, который необходимо изменить мя сети, является статичес­ кий 1 Р-адрес. Для получения ряда базовых конфигурационных настроек сети можно приме- нить утилиту ipconfig или командлет PowerShell: PS C : Users Adrnini strator> get-netipconfiguration
InterfaceAlias : Ethernet
!nterfaceindex : 12
InterfaceDescription : Intel (�) 8257 41 Gigabit Network Connection
NetProfile . Name : Network
IPv4Address 1 92 . 1 68 . 1 . 2 0
I Pv6De faultGateway
IPv4 DefaultGateway : 1 92 . 1 68 . 1 . 1
DNSServer 192 . 1 68 . 1 . 1
По умолчанию используется подключение к локальной сети. Для его изменения
предназначен команмет PowerShell под названием New-NetIPAddress. Ниже при­
веден его синтаксис:
New-NetIPAddress [ -I PAddress ] — InterfaceAlias
[ -AddressFamily ] [ -AsJob ] [ -CirnSession ] [-Defau:tGateway ] [-PolicyStore ]
[ -PreferredLi fetime ] [ — PrefixLength ]
[ -SkipAsSource ] [ -Thro�tleLimit ]
[ -Туре ] [ -Val idLifetime ] [ -Confirm] [ -What i f ]
[ ]

Предоставление имени компьютера и домена

Какой команмет PowerShell предназначен мя добавления компьютера в домен?
Все очень просто — командлет Add-Computer:
PS c : UsersAdrninistrator>Add-Computer
Командлетам PowerShell не обязательно передавать многочисленные ключи и па­
раметры. Многие команметы запрашивают параметры, намного упрощая кривую
обучения, т.к. требуется запомнить только название командлета, а не все его пара­
метры. С учетом сказанного вы увидите запрос учетных данных мя входа (рис. 3.8).

Рис. 3.8. Введите учетные данные для входа
После входа будет запрошено имя домена:
crndlet Add-Cornputer at cornrnand pipeline position 1
Supply values for the following pararneters :
Credential
DornainNarne : BigFirrn. corn

По умолчанию программа установки Windows назначает компьютеру довольно
оригинальное имя, которое можно просмотреть с применением команды hostname:
PS c : UsersAdrninistrator>hostname
WIN-AG6PV07DM2A
Поскольку это имя не особо дружественное к пользователю, мы изменим его на
Вfscl. (Это не крупное улучшение, но такое имя хотя бы проще для ввода с клавиа­
турь1.) Следующий командлет PowerShell выполняет переименование компьютера:
PS c : UsersAdrninistrator>Renarne-Cornputer
После этого PowerShell запросит новое имя компьютера:
crndlet Rename-Computer at cornrnand pipeline position 1
Supply values for the following parameters :
NewName : Ьfscl

Обновление сервера

Следующее действие заключается в выполнении типичных рутинных работ для
обноаления сервера последними испраалениями, в том числе и связанными с безо­
пасностью. Работы состоят из двух шагов.
1. Включение автоматического обноаления и обратной связи.
2. Загрузка и установка обноалений.

Включение автоматического обновления
Поведение автоматического обновления можно модифицировать с помощью
нескольких команд, используя SCONFIG. Введите в командной строке SCONFIG.
В окне командной строки отобразится меню. Выберите вариант 5, Windows Update
Settings (Параметры обновления Windows), введя 5. Это приведет к сообщению
текущей настройки, которой по умолчанию является Manual (Ручное). Чтобы изме­
нить его на Automatic (Автоматическое), просто введите букву А На рис. 3.9 пока­
зано меню Server Configuration (Конфигурация сервера) и окно с сообщением о
том, что автоматическое обновление было включено.

Рис. 3.9. Включение автоматического обновления посредством SCONFIG
На рис. 3.9 также видны все задачи, для выполнения которых можно применять
SCONFIG. М ы объясним, как решать некоторые из этих задач с использованием раз­
личных инструментов, подобных PowerShell, но это просто другой способ достиже­ния той же самой цели.
загрузка и установка обновлений
При полной установке мы предпочитаем выполнять этот шаг путем от­
крытия окна свойств системы и перехода в нем на вкладку Automatic Updates
(Автоматические обновления). Щелчок на гиперссылке Windows Update Web Site
(Веб-сайт Windows Update) инициирует загрузку и установку исправлений. Однако в
этом участвует браузер lnternet Explorer, который в версии Server Core не устанавли­
вается. Взглянув снова на рис. 3.9, вы заметите, что об этом позаботится вариант 6,
Download and Install Updates (Загрузить и установить обновления).
После ввода 6 в командной строке утилита SCONFIG запросит о том, искать все
или только рекомендуемые обновления. Сделайте выбор и получите нужные резуль­
таты. Затем можете установить все обновления, ни одного или отдельные из них.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ ЗА ПОСЛЕДСТВИЯ ИСПОЛЬЗОВАНИЯ ПРИМЕРА СЦЕНАРИЯ
Не забывайте, что сценарии, которые вы обнаружите на веб-сайтах, являются приме­рами, а это значит, что вы должны применять их лод собственную ответственность.
Компания Microsoft стоит только за объектной моделью, с применением которой
они разрабатывались, но не за самими сценариями. У вас имеется возможность мо­дифицировать сценарий; таким образом, есть реальный шанс нарушить работу уста­новленной копии ОС. Вы должны давать себе отчет, что ваши сценарии могуr содер­жать промахи и ошибки. Только от вас зависит написание безошибочного сценария, который делает именно то, что от него требуется. Поскольку эта глава посвящена изложению Server Core, вопросы написания сценариев на VB и детальные обсужде­ния любых примеров выходят за рамки целей, на которые глава ориентирована.

Настройка сервера

На этом этапе вы приступаете к применению инфраструктурных ролей и включе-
нию дистанционного администрирования. Ниже перечислены соответствующие шаги.
1. Добавление ролей и компонентов.
2 Включение дистанционного администрирования.
3. Конфигурирование брандмауэра Windows.
Добавление ролей и компонентов
Консоль диспетчера серверов, появившаяся в полной версии Windows Server 2012,
сделала установку ролей и компонентов прямолинейной. По сушеству вы отмечае­
те флажок — и роль устанавливается. Если в дополнение к желаемой роли должны
быть установлены связанные роли и/или компоненты, мастер добавления ролей и
компонентов (Add Roles and Features Wizard) уведомит об этом. Затем по мере про­
движения по экранам мастера они будут установлены. В Server Core процесс анало­
гичен. В результате выполнения команды будет выдано уведомление обо всех свя­
занные ролях и/или компонентах, но без их установки. После этого вам придется
выдать множество команд для добавления заранее требуемых компонентов и ролей.
Добавляемыми ролями являются контроллер домена (Active Directory Domain
Services), DNS, DHCP и Print and Document Services. Базовые файловые службы
уже установлены и поддерживаются службой ролей File Server. Кроме того, добав­
лена пара компонентов, в том числе Windows Server Backup (Резервное копирование
Windows Server) для обеспечения возможности резервного копирования. Следующий
командлет PowerShell выдает список доступных ролей и компонентов:
rem Вывод списка доступных ( включенных и отключенных ) ролей
PS C : Usersadrninistrator>Get-WindowsFeature
Теперь, имея этот список, вы можете видеть имена ролей, чтобы добавить их с помо­
щью следующего командлета. В приведенном ниже списке показана роль DHCP Server.
В качестве параметра командлета должно указываться имя из столбца Name (Имя).
Display Name Name Install State
[ ] DHCP Server DHCP availaЫe
[ ] Acti ve Directory Domain Services AD-Domain-Services availaЫe
[ ] DNS Server DNS availaЫe
[ ] Print and Document Services Print-Services availaЫe
PS C : Usersadrninistrator>Add-WindowsFeature DHCP

Установка каждой роли может занять несколько минут. При возникновении про­
блем с установкой инструмент PowerShel уведомит об этом. Он также сообщит о за­
ранее требуемых компонентах. После добавления роли можете запустить командлет
Get-WindowsFeature снова, чтобы удостовериться в том, что состояние изменилось
на Installed (Установлена). Давайте установим оставшиеся компоненты:
PS C : Usersadministrator>Add-WindowsFeature AD-Domain-Services
PS C : Users administrator>Add-WindowsFeature DNS
PS C : Usersadministra tor>Add-Windows Feature Print-Services
Включение удаленного рабочего стола
И снова на помощь приходит утилита SCONFIG. Обратившись к рис. 3.9, вы уви­
дите вариант 7, Remote Desktop (Удаленный рабочий стол). После ввода 1 в ко­
мандной строке будет выдан запрос о том. что необходимо сделать — включить или
отключить удаленный рабочий стол. Выберите ЕnаЫе (Включить), введя букву Е.
Будет задан вопрос о том, нужно ли разрешить клиенты, выполняющие любую вер­
сию Remote Desktop, или только клиенты, выполняющие Remote Desktop с Network
Level Authentication.
Введите выбранный вариант. Отобразится всплываюшее окно с подтверждением,
и на этом работа завершена.
Конфигурирование брандмауэра
. Понадобится внести некоторые изменения в конфигураuню брандмауэра.
Брандмауэр должен пропускать протоколы дистанционного администрирования
(Remote Administration). Это включает конфигурирование портов мя разрешения
коммуникаций, требуемых оснастками консоли улравления Microsoft (Microsoft
Management Console). Следующая команда разрешает протоколы, ассоuиированные
с группой Remote Administration:
netsh advfi rewall firewall set rule group=»Remote Administration»
new enaЫe=yes
Указанная группа включает все порты М МС, которые могут быть доступны на
сервере. Поскольку существуют подмножества протоколов, вы можете точно на­
строить политики брандмауэра для дистанuионного управления конкретными опе­
рациями М МС, такими как Event Viewer (Просмотр событий), Disk Management
(Управление дисками), File and Priпt Services (Службы фалов и печати) и Task
Scheduler (Диспетчер задач).
Удивительно, но эта группа не содержит операции Remote Desktop. Они являют­
ся частью собственной группы с таким же именем. Группа Remote Desktop должна
быть разрешена с помощью приведенной ниже команды, которая, кстати говоря,
представляет собой пример из встроенной справочной системы netsh advfirewall
firewall set rule. Никакой магии здесь нет. (Параметр new указывает на добавле­
ние новой настройки к правилу.)
netsh advfirewall firewall set rule group=»Remote Des ktop»
пеw епаЫе=уеs
Если вы хотите администрировать брандмауэр из консоли М МС, то должны так­
же выполнить следующую команду:
netsh advfirewal l set curreпtprofile settings remotemanagement еnаЫе

Хотя брандмауэр должен всегда оставаться включенным, бывают ситуации вроде
тестирования нового приложения, когда может понадобиться его отключить. Ниже
показана команда для включения и отключения брандмауэра:
netsh advfirewall set allprofi les s tate оп
netsh advfirewal l set allprofiles s tate off
В случае если в конфигурации допущена ошибка, брандмауэр можно сбросить с
помощью следующей команды:
netsh advfirewal l reset
Последней из рассматриваемых команд для брандмауэра вы, скорее всего, будете
пользоваться наиболее часто; она позволяет разрешать или запрещать порт. Ниже
приведен пример добавления и удаления порта 1433 для SQL Serveг:
netsh advfirewall firewall add rule name=»Open SQL Server Port 1433″
di r=in action=a llow protocol=TCP localport=l433
netsh advfi rewall firewall delete rule name= «Open SQL Server Port 1 4 33»
protoco l=tcp localport= l 4 3 3
Мы должны продемонстрировать также командлет PowerShell, который можно
применять для конфигурирования брандмауэра. С его помощью можно устанавли­
вать правила, модифицировать их и управлять поведением, изменяя свойства:
Set-NetFirewal lProfile — Profile Domain, PuЫ ic, Private -EnaЬled True
Для удаления правила брандмауэра используйте с,1едующий командлет:
Remove-NetFi rewal lRule -Action Block

Дистанционное администрирование Server Core

Прежде чем приступать к конфигурированию ролей, установленных на сервере,
необходимо ознакомиться с опциями дистанционного администрирования. Ниже
мы кратко опишем их, но вы будете встречаться с ними при конфигурировании ро­
лей в последующих разделах.
Удаленный рабочий стол (Remote Desktop) — это очень надежный и безопасный
метод дистанционного администрирования стандартных установленных копий ОС,
и он также доступен в версии Server Саге. Консоль упранления Microsoft (Мicrosoft
Management Console) и ее оснастки превосходны для администрирования Server
Са г е, пока сеть поддерживает это. Ноrюй возможностью является удаленная коман­дная оболочка Windows (Windows Remote Shell), которая предоставляет возможность
подключения к удаленному серверу в режиме командной строки.
Управление серверами с помощью удаленного рабочего стола
Терминальные службы (Terminal Services) в административном режиме появились
в версии Wiпdows 2000. Они были желанным дополнением, т.к. предоставляли среду виртуального рабочего стола подключаемого компьютера. В Wiпdows Server 2003 они стали устанавливаться по умолчанию. Это важный метод для выполнения дистанци­онной работы на серверах. С применением данного метода мы обычно устанавли­вали и конфигурировали приложения на серверах Wiпdows, находящимся на другом конце континента. Это надежный вариант для Serveг Core.
В Wiпdows Server 2012 Server Саге вы должны понимать, что рабочий стол содер­жит всего лишь командную строку и несколько инструментов с графическим пользовательским интерфейсом, т.е. все то же самое, как если бы вы вошли в систему локально. Существуют методы для публикации на вашем рабочем столе только ко­мандной строки Server Core в виде приложения RemoteApp, но мы не рекомендуем поступать так. Вам по-прежнему нужны инструменты с графическим пользователь­ским интерфейсом, такие как диспетчер задач, Notepad и редактор реестра, входя­щие в состав ядра Server Core. Не забывайте, что удаленный рабочий стол и его по­литика брандмауэра должны быть разрешены, чтобы быть доступными. Мы делали это ранее в разделе «Начальная конфигурация Server Core».
дистанционное управление с помощью оснасток консоли ммс
Администраторы нашли консоль управления Microsoft (Microsoft Management
Console — ММС) универсальным методом для управления удаленными компьюте­
рами. Ее сила заключается в использовании протокола RPC и интегрированной ау­тентификации Windows, что обеспечивает быстрое и эффективное управление ком­пьютерами из домена внутри локальной сети.
Проблему с изменением учетных данных аутентификации можно обойти. Введите следующую команду, чтобы зарегистрировать свои учетные данные:
cmdkey /add:bfscl /user:Administrator /pass : P@sswOrd
Вы можете предпочесть не указывать параметр /pass, чтобы ввод пароля запра­шивался интерактивно. После регистрации своих учетных данных к серверу можно подключаться через оснастку.
Для получения в свое распоряжение оснасток, управляющих всеми службами
Windows, в предшествующих версиях Windows Server необходимо было устанавливать
пакет adrninpak . msi. В версии Windows Server 2012 пакет adrninpak . msi был заменен компонентом Remote Server Administration Tools (Инструменты дистанционного
администрирования северов). Его установка стала проще и лучше в настройке. На
рис. 3.1 О показано, что компонент Remote Server Administration Tools был включен в мастере добавления ролей и компонентов.

Рис. 3.1 О. Установка компонента Remote Server Administration Tools

Добавив оснастку к новой консоли М МС, при желании можете подключиться
к другому компьютеру. Некоторые оснастки позволяют объединять множество сер­веров в одно дерево с целью проведения консолидированного администрирования.
Ниже описаны шаги по созданию консоли М МС для управления службой в установленной копии Windows Seiver 2012 Seiver Core. Обратите внимание, что эти шаги могут быть выполнены только после того, как служба DHCP будет запущена и авто­ризована. Все это обсуждается в разделе «Конфигурирование службы DHCP» далее в главе.
1. После установки компонента Remote Seiver Administration Tools в полной уста­
новленной копии ОС введите � в окне Run (Выполнить).
2. Выберите в меню File (Файл) пункт Add/Remove Snap-in (Добавить или уда­
лить оснастку).
3. Откроется диалоговое окно Add/Remove Snap-in (Добавление или удаление ос­
насток) со списком доступных оснасток, которые можно добавить в этот эк­
земпляр консоли.
4. Выберите оснастку D HCP и щелкните на кнопке Add (Добавить). Затем
щелкните на кнопке ОК.
5. В окне консоли ММС щелкните правой кнопкой мыши на значке DHCP и
выберите в контекстном меню пункт Add Server (Добавить сервер).
6. Откроется диалоговое окно Add Server (Добавление сервера), в нижней час­
ти которого находится список авторизованных серверов DHCP (рис. 3.1 1 ).
Выберите нужный экземпляр Seiver Core.
7. Щелкните на кнопке ОК, и отобразятся детали выбранного сервера DHCP,
по которым можно осуществлять навигацию, как показано на рис. 3.12.

Рис. 3.12. Консоль DHCP с выбранным экземпляром Server Саге
Отправка команд дистанционным образом: Windows Remote Shell

Инструмент Windows Remote Shell (Удаленная командная оболочка Windows) позволяет отправлять команды серверу. Аналогично Telnet, он дает возможность подключиться к серверу и запустить команду из удаленной командной строки. Однако
он не поддерживает постоянное подключение, как это присуще Telnet. Инструмент
Windows Remote Shel отправляет команду, получает результаты ее выполнения и за­крывает подключение.
Это облегченное клиент-серверное приложение, построенное на основе техно­
логии SOAP (Simple Object Access Protocol — простой протокол доступа к объектам).
Относительно протокола SOAP нужно знать только то, что для отправки команды
серверу клиент использует текст в формате XML, и тот же самый формат имеет вы­вод, посылаемый обратно клиенту по протоколу НТТР. Коммуникации, основанные
на тексте, легко читать с помощью текстовых редакторов наподобие Notepad, а про­токол НТТР легко отслеживать посредством анализатора протоколов. Таким обра­зом, не считайте Windows Remote Shell безопасным методом управления сервером.
Вы должны заблокировать его.
В Microsoft предлагают возможность испытания Windows Remote Shel через ко­
манду winrm quickconfig. Тем не менее, она устроена так, что работает с НТТР и
портом ТСР под номером 5985. Согласно рекомендациям, такая настройка не пред­
назначена для производственных сред. Чтобы пользоваться этим инструментом, вы должны обеспечить шифрование коммуникаций и аутентификацию сервера. Такой уровень защиты предоставляется протоколом IPsec, но он может оказаться недо­ступным. Вы можете настроить Windows Remote Shell для коммуникаций по прото­колу НТТРS (SSL), который применяет серверный сертификат для аутентификации
сервера и шифрования подключения.
Ниже рассматриваются необходимые основные шаги.
получение сертификата
Получить сертификат можно двумя способами: купить его в известном центре
сертификации или настроить собственный центр сертификации и запросить серти­фикат у него. Второй способ гораздо менее затратный, особенно при использовании Windows Server.
Собственный uентр сертификации также несложен в настройке; однако вы
должны иметь полностью готовый план относительно того, как это будет достигну­то в произuодственной среде Active Directory. Вы должны обдумать решения, кото­рые оказывают продолжительное влияние на всю организацию. И это влияние будет требовать ручного администрирования, если понадобится устранить его. В данном
разделе не будем вдаваться в особые детали. Мы собираемся показать, как это сде­
лать «быстро и начерно» в экспериментальной среде.
В контроллере домена с полностью установленной ОС Windows Server 2012 уста­
новлена служба сертификатов Active Directory (Active Directory Certificate Services).
Обычно эта служба роли включает компонент Certification Authority Web Enrollment
(Веб-развертывание uентра сертификации). В свою очередь, он может потребовать
компонент lnternet Information Services (l IS). Мы не будем его устанавливать. а выбе­рем только службу Certificate Authority (Центр сертификации). Она позволит создаватьи администрировать сертификаты. В дополнение эта служба 11редоставит компьютерамдомена возможность запрашивать сертификаты, применяя протокол RPC и аутенти­фикацию KerЬeros. Мы установим доверенный корневой це11тр сертификации предпри­ятия. Корневой выбран потому, что это первый и единственный домен в организации.
Уровень предприятия выбран из-за того, что для выяснения, заслуживают ли доверия
серверы и пользователи, uентр сертификации использует Active Directory. Поскольку он юаимодействует с Active Directory, uентр сертификации автоматически вьщает про­веренных пользователей и компьютеры. Уcertutil -viewstore my
my
Строка my ссылается на собственные сертификаты из хранилища локальной
машины. После запуска certutil открывается окно со списком установленных
сертификатов (рис. 3.1 3). Обратите внимание на ссылку Click here to view certificate
properties (Щелкните здесь, чтобы просмотреть свойства сертификата) ниже единственного устаноnленного сертификата. Щелчок на ней приведет к открытию окна синформаuией о сертификате.
Инструмент PowerShell преллагает еше один способ получения сертификатов че­
рез их поставшикоu. Обычно поставщик представляет собой группу объектов, по
которым PowerShell может проходить. Примером поставщика является файловая
система, поэтому nы можете выполнять операции над объектами файлов и папок
внутри нее. Другой поставщик — хранилище сертификатов. По хранилищу серти­
фикатов можно проходить для просмотра и управления сертификатами.

Рис. 3.13. Сертификаты, отображаемые certutil

Команда dir — это псевдоним, созданный разработчиками PowerShell для ко­
мандлета get-items. Подобным образом вы можете применять стандартную ко­
мандную строку MS-DOS для навигации по файловой системе. Следующая команда
выводит список тех же самых местоположений, что и выполненная ранее команда
certutil:
rern Запуск PowerShell
C : UsersAdrninistrator . BIGFIRМ >powershell
PS C : Users adrninistrator . BIGFIRМ> dir cert: local.шachinemy 1 FL

{ Systern. Security . Cryptography. Oid, Systern . Security .
. Oid, System . Security . Cryptography . Oid,
System . Security . Cryptography . Oid . . . }
Параметр 1 FL в действительности является сокращением другой команды. Он
форматирует вывод команды dir в список строк. Нам нравится подобный формат,
потому что значения не усекаются, как обычно происходит в табличном формате.
В данном случае табличный формат (который не показан) не усекает самое важное
значение — отпечаток (ThumЬprint).
Создание прослушивателя
Прослушиватель сообщает службе Windows Remote Shell порт и IР-адрес для про­
слушивания и ответа на клиентские запросы. По умолчанию порт НТТР имеет номер
5985, а порт HTTPS — 5986. Ниже приведена команда, с помощью которой можно
просмотреть стандартные настройки. Атрибуты и в вы­
воде этой команды отражают настройки портов. Независимо от того, что вы можете
думать о языке XML, параметром команды является format : pretty. Вывод выглядит избыточным. Тем не менее, верхняя половина, начиная с , пред­
ставляет настройки клиента, который будет отправлять запросы другим серверам.
Нижняя половина, начинающаяся с , описывает настройки службы,
которая будет получать эти запросы для их выполнения на данном сервере.

Прослушиватель также позволяет сопоставлять сертификат с портом и 1 Р­
адресом. Таким образом, используя надежный прием, который приведен в примере
внутри встроенной документации по команде winrm /?, мы подготовили следую­
щую команду, предназначенную мя создания прослушивателя:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @
{ Hostname=»Ыscl . Ьig firm . com» ;
Certi ficateThumbprint=»03ADB670C63E8DlCDB7 6 4CD7AA589C51D854 307C» )
Параметры команды объясняются н иже.
Address=* Служба будет прослушивать все доступные I Р-адреса.
Transport=HTTPS Существуют только два варианта: НТТР и НТТРS.
Hostname=
Указанные протоколы работают со стандартными порта­
ми 5985 и 5986.
Э то должно соответствовать имени хоста в сертификате.
CertificateThumЬprint= Э то отпечаток, полученный с помощью команды certutil.
Создание входящего правила брандмауэра
Следующее требование связано с включением входящего правила брандмауэра с
целью получения клиентских запросов. Для незащищенного порта НТТР такое пра­вило уже доступно, и его можно настроить с применением опции /quick:config,
но необходимо построить правило мя порта НТТРS.
Если вы — дотошный системный администратор, то можете быть склонны к
использованию команды netsh advfirewall firewall с многочисленными параметрами. С другой стороны, оснастка М МС предназначена для спокойных, попивающих кофе непрофессиональных системных администраторов. Материал этой системы ориентирован как на первый, так и на второй типаж.
Мы начнем с непрофессионального стиля, который позволит увидеть важней­шие параметры при конструировании правила. Мастера наподобие New lnbouпd
Rule Wizard ( Мастер нового входящего правила) удобны, поскольку они обеспечивают проход по всем шагам процесса конфигурирования, не пропуская ни одного важного из них. Они будут оказывать помощь в формировании строки команды, позволяющей создать то же самое правило. Точно так же как в разделе » Руководство по безотказной работе Server Саге», мы рекомендуем создавать правила сначала пос­редством мастера в случае стандартной установки и затем пробовать делать это в командной строке. Другой вариант предполагает принятие более простого подхода,при котором строка команды создается в среде стандартной установки и преобразу­ется в Serveг Соге, как объяснялось в разделе «Руководство по безотказной работе Serveг Сorе».
Используя брандмауэр Windows в режиме повышенной безопасности (Windows
Firewall with Advanced Security), сфокусированный на установку Server Core, мы про­ведем вас через мастер нового входящего правила.
На первой странице мастера (рис. 3.14) выберите переключатель Port (Для пор­
та), чтобы создать правило для порта.
Рис. 3.14. Выбор типа входящего правила
На странице Protocol аnd Ports (Протокол и порты) выберите переключатель ТСР
и введите 5986 в качестве номера порта (рис. 3.15).

На странице Action (Действие), показанной на рис. 3.16, предлагаются три опции,
которые описаны ниже.
• Allow the connection (Разрешить подК11ючение). Это то, что нужно в рассматри­
ваемом примере.
• Allow the connection if it is secure (Разрешить безопасное подК11ючение). Для
организации подК11ючения требуются коммуникации IPSec. Для установки по­
литик IPSec можно воспользоваться компонентом Network Access Protection
(Защита доступа в сеть) внутри сети.
• Block the connection (Блокировать подК11ючение). Это приводит к блокирова­
нию подК11ючения.

Рис. 3.16. Выбор действия для входящего правила
Страница Profile (Профиль) позволяет выбрать профили, для которых применяет­
ся создаваемое правило (рис. 3.17). Публичный и частный профили предназначены
для компьютеров, являющихся мобильными, так что вы можете работать дома или в
беспроводных точках доступа. Поскольку текущий сервер выступает в качестве кон­
троллера домена, понятия «публичный» и «частный» к нему неприменимы. В целях
защиты оставьте отмеченным только флажок Domain (Доменный).
На странице Name (Имя) можно ввести имя и необязательное описание нового
правила (рис. 3.1 8).
Данная работа также может быть сделана в виде одной командной строки:
netsh advfi rewall fi rewall >add rule ?
Использование : add rule nаmе=<строка>
dir=in l out
action=allow l Ьlock l bypass
[ program=<пyть к программе> ]
[ sеr,1iсе=<короткое имя служ бы> 1 any]
[description=<cтpoкa>J
[enaЬle=yes l no ( по умолчанию=уе s ) ]
[profile=puЬlic l private l domain l any [ , . . . ] ]
159
[ localip=any l <aдpec I Pv4 > 1 <aдpec I Рv6> 1 <подсеть> l <диапазон> l <список> ]
[ remoteip=any l localsubnet l dns l dhcp l wins l defaultgateway l
<адрес I Pv4> 1 <aдpec I Рv6> i <подсеть> l <диапазон> l <список> ]
[ localport=0-65535 1 <диапазон nортов> [ , . . . ] 1 RPC 1 RPC-EPMap 1 I PHTTPS 1 any
( по умолчанию=аnу) ]
[ remoteport=0- 65535 1 [ , . . . ] 1 any ( по умолчанию=аnу) ]
[ protocol=0-255 i icmpv4 1 icmpvб l icmpv4 : тип , кoд l icmpv6 : тип, кoд l
tcp l udp l any ( по умолчанию=аnу) ]
[ interfacetype=wireless l lan l ras l any]
[ rmtcomputergrp=<cтpoкa SDDL> ]
[ rmtusrgrp=<cтpoкa SDDL> J
[ edge=yes l deferapp l de feruser l no (по умолчанию=nо ) ]
[ security=authenticate l authenc l authdynenc l authnoencap l notrequired
( по yмoлчaнию=notrequired) ]
Список параметров является длинным и пугающим. Однако в разделе
«Руководство по безотказной работе Server Core» было указано, что вы можете озна­
комиться с примерами, приведенными в конце встроенной справки. Их можно вы­
резать и редактировать в Notepad, чтобы добиться необходимого эффекта. Следует
отметить, что командная строка не обладает особо большими возможностями по
обучению:
PS C : Usersadministrator . BIGFIRM> netsh advfi rewall fi rewall add rule
name=»Windows Remote Management HTTPS »
description=»Oткpывaeт порт 5986 для дистанционного управления с
использованием WinRM» protocol=TCP dir=in l ocalport=598 6
profile=domain action=allow
Ok
Ниже приведено описание параметров и их соответствие ранее показанным стра­
ницам мастера.
+ add rul e . В оснастке мы должны щелкнуть на объекте lnbound Rules
(Входяшие правила) правой кнопкой мыши и выбрать в контекстном меню
пункт New (Новое).
• name= и description=. Это информация, добавленная на последнем экране
мастера (см. рис. 3.18).
+ protocol= и localport=. Эта информация была добавлена так, как показано
на рис. 3. 15.
• di r=. Это отражает входящую характеристику правила. Направление было
установлено выбором мастера нового входящего правила (New Inbound Rule
Wtzard).

• act i o n = . Установка профиля была произведена так, как показано на
рис. 3. 16. Опции в командной строке имеют в основном такие же значения:
act ion=allow 1 Ыосk 1 bypass. Однако bypass — это эквивалент выбора переключателя Allow the connection if it is secure.
На рис. 3. 1 5 обратите внимание на то, что тип правила является следствием вы­
бора локального порта. Правило, которое основано на программе или службе, обла­
дает собственной структурой, которая имеет примеры, приведенные во встроенной
справке.
тестирование с помощью WinRS
Текущим клиентом, доступным для Windows Remote Shel, является winrs . ехе.
Он функционирует в средах Windows 7, Wiпdows 8 и Windows Server 2012. Для тести­рования службы мы воспользовались справочной информацией по winrs . ехе:
rem Тестирование winrs с включенным брандмауэром .
PS C : Users Administ rator . BI GFIRM>wi nrs -r : https : / /bfscl . bigfirm .
com : 5 8 9 6 ipcon fig
Windows IP Con f i gura tion
Ethernet adapter I nternal :
Connection-specific DNS Suff ix
Link-local I Pv6 Address . . . .
I Pv4 Address . . .
Subnet Mas k . . .
De fault Gateway .
fe80 : : b5al : 157f : 72 2 0 : 4 f4c%3
1 92 . 1 68 . 1 . 1 1
255 . 2 55 . 2 55 . 0
1 92 . 1 68 . 1 . 254

Конфигурирование ролей и компонентов

Теперь все готово для помещения этой скромной инфраструктурной машины в
производственную среду. Данный экземпляр Server Core планируется настроить в
качестве инфраструктурного сервера филиала. Он будет предоставлять службы ау­
тентификации, файлов и печати, а также общую сетевую поддержку для небольшой
группы компьютеров в корпоративной сети, имеющей связи с глобальной сетью.
Во время выполнения начальных задач на компьютере были установлены роли
Activ e Directory Domain Services, DNS, DHCP и Print and Document Services. Каждая из упомянутых ролей нуждается в конфигурировании. Мы покажем, как выполнять
начальные задачи для каждой службы с применением командной строки и инстру­
ментов с графическим пользовательским интерфейсом.
На сервере уже установлены две дополнительные роли — служба роли File Server
(Файловый сервер) и служба Кеу Management Service (Служба управления ключа­
ми). Служба роли File Server будет конфигурироваться для предоставления сетевого
доступа к .1окальным папкам. Служба Кеу Management Service будет управлять ак­
тивацией ОС с корпоративными лицензиями внутри сети. Сервер филиала может
оказаться наилучшей площадкой для получения информации об активации, предна­
значенной филиалу, от серверов лицензий Microsoft.

Поскольку сервер филиала изолирован от корпоративного центра данных, он
должен выполнять операции резервного копирования данных, хранящихся в общих
папках. В первоначальной конфигурации устанавливается компонент Windows Serveг
Backup (Резервное копирование Windows Serveг), и далее мы продемонстрируем ко­
манды, позволяющие соответствующим образом скопировать нужные данные.
Детали конфигурирования Serveг Соге для того или иного компонента будут
встречаться в этой книге повсеместно.

Соэдание контроллера домена и управление DNS

В предшествующих версиях Windows Serveг для создания и продвижения кон­
троллеров доменов необходимо было использовать утилиту командной строки
DCPromo. В Windows Serveг 201 2 утилита DCPromo была объявлена устаревшей и
допускала применение только с файлом ответов. По этой причине мы собираемся
продемонстрировать новый способ создания контроллера домена с применением
PoweгShell. Так как роль Active Diгectory Domain Services (АО DS) была установлена
ранее в главе, большая часть работы уже сделана.
Вы должны провести проверку предварительных условий, которая является но­
вовведением Windows Serveг 201 2. Такая проверка поможет выяснить, подходит ли сервер для установки контроллера домена.
Командлет Test-ADDSDomainControllerinstallation выполняет проверку
предварительных условий для установки контроллера домена, как если бы осущест­
влялась реальная установка. Он запрашивает учетные данные для входа в домен, как показано на рис. 3.19.
Рис. 3.19. Выполнение Test-ADDSDomainControllerinstallation
Все готово для установки контроллера домена. Командлет I ns t a l l-ADDS
DomainController одновременно установит и DNS. Если никакие параметры не
указаны, то будут использоваться следующие стандартные настройки:
• Контроллер домена, допускающий только чтение: нет
• Глобальный каталог: да
• DNS-cepвep: да
• Папка базы данных: с : Windows NTDS
• Папка журнальных файлов: с: Windows NTDS
t Папка SYSVOL: С: WindowsSYSVOL
Существует множество сценариев, которые можно загрузить и применять для
конфигурирования всех параметров. Ниже приведен полный список параметров на
тот случай, если вам необходимо изменить конфигурацию:

I nstall-ADDSDornainController -DornainNarne <Строка> [ -ADPrepCredential
<Учетные данные PowerShell> ] [ -AllowDornainControllerReinstall ]
[ -ApplicationPartitionsToReplicate <Строковый массив>]
[ -CreateDnsDelegation] [ -Credential <Учетные данные PowerShell>]
[ -CriticalReplicationOnly] [-DatabasePath <Строка> ]
[ -DnsDelegationCredential <Учетные данные PowerShell>] [ — Force]
[ -InstallationMediaPath <Строка>] [ — InstallDns ] [ -LogPath <Строка> ]
[ -MoveinfrastructureOperationMasterRoleifNecessary] [ -NoDnsOnNetwork]
[ -NoGlobalCatalog ] [ -NoRebootOnCornpletion] [ -ReplicationSourceDC
<Строка> ] [ -SafeModeAdrninistratorPassword <Безопасная строка>]
[ -SiteNarne <Строка>] [ -SkipAutoConfigureDns ] [ -SkipPreChecks ]
[ -SysternKey <Безопасная строка> ] [ -SysvolPath <Строка> ] [ -Confirrn]
[ -Whatif] [ <Общие параметры>]
Теперь запустите комаНД11 ет:
PS C : Usersadrninistrator> Install-ADDSDornainController
Будет выдан следующий запрос:
The target server will Ье configured as а dornain controller and restarted
when this operation is cornplete .
Do you want to continue with this operation?
[ У ] Yes [А] Yes to All [N] No [L] No to All [ S ] Suspend [ ? ] Help
(default is «У» ) : У
Целевой сервер будет сконфигурирован как контроллер домена и перезапущен
после завершения этой операции.
Хотите ли вы продолжить данную операцию?
[У] Да [А] Да для всех [N] Нет [L] Нет для всех [S] Приостановить [ ?]
Справка (по умолчанию «У») : У
После выбора варианта Yes начнется процесс установки (рис. 3.20), который мо­
жет занять несколько минут.
Рис. 3.20. Установка контроллера домена

Конфигурирование службы DHCP

После выхода ОС Windows Server 2003 разработчики из Microsoft начали кое в чем имитировать системы Linux. Они увеличили набор команд, чтобы снабдить поклон­ников систем Linux инструментами для конфигурирования максимально возможно­го числа аспектов. Именно тогда вошло в моду пользоваться командой netsh. Упомянутая команда приходит на ум, когда речь идет об управлении службой DHCP. Документация по netsh dhcp доступна в TechNet. С ее помощью можно подготовить однострочные команды или воспользоваться интерактивной оболоч­ кой, что и делается в рассматриваемом примере. Офис филиала требует базовой реализации DHCP, с единственной областью видимости и стандартными опциями областей видимости шлюза, DNS-cepвepoв и доменного имени DNS. Перед настройкой понадобится авторизовать службу в ВвЕдЕНИЕ в SERVER CoRE 163 Active Directory с применением опции add server. В следующем коде мя ввода ко­ манд используется интерактивный режим: netsh> dhcp
netsh dhcp>add server bfscl . bigfirm . com 1 92 . 1 68 . 1 . 1 1
Adding server bfscl . b igfirm . com, 1 92 . 1 68 . 1 . 1 1
Command completed successfully .
netsh dhcp>show server
1 Servers were found in the directory service :
В службе каталогов найден 1 сервер :
Server [Ьfsc l . Ьigfirm . com] Address [ 1 92 . 1 68 . 1 . 1 1 ] Ds location : с.
n=bfscl . Ьigfirm . com
Command completed successfull y .
Для добавления области видимости понадобится переключиться на командную
строку netsh dhcp server и применить команду add scope. Обязательными пара­
метрами являются подсеть и маска подсети, которые представляют эту область ви­
димости, имя области видимости и любые комментарии:
netsh dhcp>server
netsh dhcp server>add scope 1 92 . 1 68 . 1 . 0 255 . 2 55 . 255 . 0 «Branch Office 1 »
«Sample DHCP scope»
Command completed successfully .
netsh dhcp server>show scope
Scope Addres s — Subnet Mas k — State — Scope Name — Comment
1 92 . 1 68 . 1 . О — 255 . 2 55 . 255 . 0 -Active -Branch Office 1 -Sample DHCP scope
Total No . of Scopes = 1
Command completed successfully.
Для области видимости необходимо указать диапазон 1 Р-адресов. чтобы она мог­
ла обслуживать клиентов DHCP, и стандартные опции области видимости. Опции
области видимости задаются с помошью кодов опций в форме трехзначных иден­
тификаторов. Такие идентификаторы можно видеть в консоли управления DHCP
(DHCP Management Console). Опции имеют значения в форматах байта, слова,
двойного слова, строки или IР-адреса. В нашем примере мы применяем следующие
опции, идентификаторы и значения:
• Диапазон IР-адресов: 192.168.1.50 — 100
• Стандартный шлюз: 003. 192.168.1.254
• DNS-cepвep: 006, 192.168.1.1 1
• Доменное имя DNS: 015, bigfirm. com
netsh dhcp server>scope 192 . 168 . 1 . 0
Changed the current scope context to 1 92 . 1 68 . 1 . О scope .
netsh dhcp server scope>add iprange 1 92 . 1 68 . 1 . 50 1 92 . 1 68 . 1 . 1 00
Command completed s uccessfull y .
netsh dhcp server scope>set optionvalue 003 I PADDRESS 1 92 . 1 68 . 1 . 2 5 4
Command completed successfully .
netsh dhcp server scope>set optionvalue 006 I PADDRESS 1 92 . 1 6 8 . 1 . 1 1
Command completed success full у .
netsh dhcp server scope>set opt ionvalue 0 1 5 STRING bigfirm . com
Command completed success ful ly .
netsh dhcp server scope>show optionvalue
Options for Scope 1 92 . 1 68 . 1 . 0 :
DHCP Standard Options :
General Option Values :
Optionid : 51
Option Value :
NumЬer of Option Elements = 1
Option Element Туре = DWORD
Option Element Value = 6 9 1 2 0 0
Optionld : 3
Option Va lue :
Number of Option Elements = 1
Option Element Туре = I PADDRESS
Cption Elernent Value = 1 92 . 1 68 . 1 . 2 5 4
Optionid : 6
Option Va lue :
Nurnber of Option Elernents = 1
Option Element Туре = I PADDRESS
Option Element Value = 1 92 . 1 68 . 1 . 1 1
Optionid : 1 5
Option 1/alue :
KumЬer of Option Elernents = 1
Option Element Туре = STRING
Option Element Value = Ьigfirrn . com
Command completed succe ssfully.
После выполнения показанных выше команд на машине с Server Core можно
также подключиться к службе из удаленного сервера и проверить конфиrураuию че­
рез инструмент с графическим пользовательским интерфейсом.

Настройка файлового сервера

Служба роли файлового сервера, File Server, предоставляет базовые возможности
совместного использования файлов. Для ее поддержки никаких спеuиальных ролей
или компонентов устанавливать не придется. Подобно многим другим ролям, про­
uедуры по открытию совместного использования папок в полных установках обыч­
но выполняются с помошью консоли М МС или других приложений с графическим
пользовательским интерфейсом, таких как проводник Windows. Далее мы проде­
монстрируем альтернативный способ проведения этих проuедур с применением ко­
мандной строки.
создание основного раздела
Первая задача заключается в предоставлении раздела данных. В следуюшем при­
мере мы решили установить его размер в 1 О Гбайт.
ВВЕДЕНИЕ в SERVER CORE 1 65
Для выnолнения этой оnераuии nодходит команда DiskPart. Она реализует всю
функциональность консоли уnравления дисками (Disk Management Console) в форма­
те командной строки или интерактивной оболочки. Первый набор команд отобража­
ет сведения о дисках и томах на комnьютере. Обратите внимание, что nеречисленные
тома включают тома на других дисках. Раздел данных nока еще не размещен, nоэтому в
сnиске томов он отсутствует. Для создания раздела данных понадобится выбрать диск,
который обозначается значением в столбце Disk ### вывода команды list disk.
PS C : Windowssystem32>diskpart
Microsoft DiskPart version 6 . 1 . 7 000
Copyright (С) 1 999-2008 Microsoft Corporation .
On computer : BFSCl
DISKPART> list disk
Dis k ### Status Size Free Dyn Gpt
Disk О Online
DISKPART> list volume
Volume # # # Ltr Label
75 GB 55 GB
Fs
Т ур е
— — — — — — — — —
Volume О
Volume 1
D GBlSXFRE EN UDF CD-ROM
Volume 2 С
:::JISKPART> select disk О
NTFS
NTFS
Dis k О i s now the selected dis k .
Partition
Partition
Size
2850 мв
200 мв
1 9 GB
Status Info
— — — — — — — —
Healthy
Healthy System
Healthy Boot
Теперь мы создадим основной раздел. Для начала следует отобразить справоч­
ную информацию. Размеры разделов в выводе указываются в мегабайтах, и можно
пользоваться примерной оценкой вида 10 Гбайт = 10 ООО Мбайт. После того как ос­
новной раздел создан, его необходимо выбрать. Это позволит назначить ему букву
диска:
DISKPART> help create partition prirnary
Example :
CREATE PARTITION PRIМARY SI ZE=l OOO
rern s i ze i s in МВ so 55 gb i s 55000
DISKPAR7> create partition prirnary s i ze=lOOOO
DiskPart succeeded in creating the speci fied partition .
DISKPART> l ist part ition
Partition ###
Туре
Partition 1
Partition 2
* Parti tion 3
Primary
Primary
Primary
DISKPART> s elect partition 3
Size
2 0 0 мв
1 9 GB
1 0 GB
Partition 3 is now the selected partition .
DISKPART> assign letter=e
Offset
1024 кв
201 мв
20 GB
Dis kPart successfully assigned the drive letter or rnount point .
Созданный раздел можно видеть как доступный том. Его нужно выбрать и сфор-
матировать с файловой системой NTFS:
166
DISKPART> list voluшe
Volume #Jt# Ltr Label
Volume О
Volume 1
о
Volume 2 С
* Volume 3 Е
GВlSXFRE EN
Fs Т у ре
— — —- — —
UDF CD-ROM
NTFS Parti tion
NTFS Parti tion
RAW Partition
DISKPART> select volume 3
Volume 3 i s the selected volume .
Si ze
2850 мв
200 мв
1 9 GB
1 0 GB
DISKPART> format fs=ntfs label=»Data volume» quick
100 percent completed
DiskPart successfully formatted the volume .
создание папок и редактирование разрешений
ГЛАВА 3
Status Info
— — — — — —
Healthy
Healthy System
Healthy Boot
Healthy
В этом примере будет создана папка sales. Для создания папки использует­
ся командлет PowerShe\ под названием New- Item: NEW-ITEM Е : s a l e s -type
di rectory. Затем необходимо привести в порядок настройки безопасности для
папки sales — назначить группе Administrators (Администраторы) разрешение
Ful l Control (Полный доступ).
Когда через свойства пользователя в консоли Active Directory Users and Computers
(Пользователи и компьютеры Active Directory) выделяется домашн � я папка, то она
создается автоматически и пользователь получает для нее разрешение Ful l Control.
К папке применимы унаследованные разрешения, поэтому стандартная группа
Users (Пользователи) получает для нее разрешение Read (Чтение). Разрешения для
группы Users при доступе к папке sales понадобится удалить.
ВАЖНОСТЬ ПРАВИЛЬНОГО НАПИСАНИЯ
Для автоматического применения имен пользователей к путям домашних папок
вы должны использовать системную переменную %username%. Таким образом, в
консоли Active Directory Users and Computers путь домашней папки внутри свойств
пользователя может выглядеть следующим образом: Ьfscl . Ь i g f i rm . com
users%username%. Внимательно относитесь к правильному написанию. Если ввес­ти имя этой переменной некорректно, к домашней папке пользователя будет при­
менена литеральная строка. Нередко нам приходилось встречать домашние папки с
именами вроде %usrename% или %usernam%.
Как удостовериться в правильности написания? С помощью команды echo.
Переменная %username% подобна другим системным переменным в том, что она
действует также и в строке с приглашением на ввод команды. Команда echo выведет
значение переменной, :как показано ниже:
rem Имя записано пра в ильно
C : >echo %username%
Administrator
rem Имя записано непра в ильно
C : >echo %uesername%
%uesername%
Получив подтверждение правильности написания, можете скопировать имя пе­
ременной в буфер обмена и впоследствии вставлять его в консоли Active Directory
Users and Computers или внутри сценария.

Далее демонстрируется применение командлетов PowerShell, позволяюших моди­
фиuировать разрешения для папки sales. Первый командлет, Get-Acl, ювлекает
разрешения для папки. Свойство Format-List обеспечивает форматирование ре­зультатов в читабельном виде. Второй командлет. Set-Acl, используется для уста­новки разрешений для лапки.
rem Отображение разрешений для папки sales
Get-Acl E : sales 1 Format-Li st
Path Microsoft . PowerShel l . CoreFileSystem : : C : sales
Owner : BUILTINAdrninistrators
Group : BFSCl None
Access : NT AUTHORITYSYSTEM Al low FullControl
BUI LГIN Adrninistrators Al low FullControl
BUI LTINUsers Allow ReadAndExecute , Synch roni ze
BUI LTINUsers Allow AppendData
Audit
Sddl
BUI LTINUsers Allow CreateFiles
CREATOR OWNER Allow 2 68 4 3 5 4 5 6
O : BAG : S — l — 5-2 1 — 4 2 0 4 4 7 1 0 8 3- 1 1 8 9308523-32 4 03 5 0 4 7 6- 5 1 3 0 :
A I (А; OICI I D ; FA; ; ; SY ) ( А ; OICI I D ; FA; ; ; ВА) ( А ; O I C I I D ; Ох1200а9;
; ; вu ; (A; CIO; LC ; ; ; BU ) (A; C I I D; DC ; ; ; BU ) (A; OICI IOI D ; GA; ; ; СО)
Ниже приведен удобный небольшой сценарий, который позволяет модифициро­
вать групповые разрешения для палки. Он изменяет разрешения для папки sales
так, чтобы только группа Administrators имела доступ Full Control:
$acl = Get-Acl «Е : Sales»
$Groupl = «Administrators »
$ rulel = New-Obj ect System . Security .AccessControl . FileSystemAccessRule
-ArgumentList @ ( $Groupl , » FullContro l » , «Containerinherit,
Obj ectinheri t » , «None», «Allow » )
$acl . SetAccessRule ( $ rulel )
$acl I Set-Acl
$acl . SetAccessRule Protection ( $ t rue, $ false )
$acl I Set-Acl
Далее показаны результаты выполнения этого сценария для папки sales. Как
видите, теперь разрешение Full Control есть только у группы Administrators:
Path
Owner
Group
Access
Audit
Sddl
Microsoft . PowerShell . Core FileSystem : : E : sales
BUI LTINAdrninist rators
BFSCl None
BUILTIN Administrators Allow Full Control
O : BAG : S- 1-5-2 1 — 4 2 0 4 4 7 1 0 8 3- 1 1 8 9308523-32 4 0350476-5130:
PAI (A; OI C I ; FA; ; ; BU )
Совместное использование папки
Совместное использование папок организуется исключительно просто с помо­
шью команды net share. Действительно, это почтенная команда, появившаяся еще
во времена LAN Manager. Приведенная ниже команда создает обший ресурс. Имя
общего ресурса эквивалентно пути, за которым следуют разрешения.
Параметр /Unlimi ted задает количество подключений, разрешенных к этому
общему ресурсу.
168
rem Создание общих ресурсов
E : >net share SALES=e : sales /grant : Ы gfirmsales , FULL /Unlimited
Sales was shared successfully .

Рис. 3.21 . Проверка общих ресурсов в Server Core

Настройка сервера печати

Службы е-Print требуют компонентов установленной роли Print and Document
Services. Кроме того, как и другие роли, эту роль понадобится сконфигурировать.
В предшествующих версиях Windows процесс добавления принтера управлялся мас­ тером, при этом все компоненты были сведены в одну процедуру. В число таких компонентов входил выбор драйвера и порта, с возможностью создания конфигура­ ций порта ТСР и принтера. Функциональность существенно не изменилась, а лишь  внешний вид, поэтому мы не будем особенно задерживаться на деталях.
Можно было бы предусмотреть команды для выполнения каждой процедуры в
командной строке, но это стало бы своего рода пятым колесом в телеге. В среде
Windows Server 2012 управление конфигурациями принтера производится в консо­ли Print Management (Управление печатью), которая является еще одной оснасткой ММС. Мы кратко рассмотрим этот подход, а затем предложим другой способ. Администратор, ответственный за принтеры, должен установить консоль Print Management путем установки либо роли Print and Document Services (Службы печати и документов), либо только компонента Print and Document Services в Remote Server Administration Tools (Инструменты дистанционного администрирования серверов) на совместимой рабочей станции.
После установки консоли Print Management ее можно открыть и добавить экземп­
ляр Server Core, как показано на рис. 3.22. Каждый компонент попадает в собственную объектную категорию, так что теперь вы располагаете мастером для каждой из них.
Для добавления драйвера необходимо щелкнуть правой кнопкой мыши на эле­
менте Drivers (Драйверы) и выбрать в контекстном меню соответствующий пункт.
Открывшийся мастер выглядит похожим на мастера из предыдущих версий ОС
Windows.Формы довольно стандартны, поэтому нет нужды возиться с ними, однако пор­ты очень важны. Обычно офисные принтеры не подсоединены локально к серверу, а подключены к сети. Следовательно, придется создавать стандартный порт ТСР.
Опять-таки, это выглядит очень знакомо (рис. 3.23).

Рис. 3.23. Добавление порта ТСР
169
Затем можно создать принтер со специфическим драйвером, портом, именем,
общим именем, разрешениями и другими конфигурационными настройками, вос­
пользовавшись мастером установки сетевого принтера (рис. 3.24).
Теперь давайте посмотрим, как конфигурировать принтер с применением ко­
мандлетов PowerShell вместо старых методов сценариев в Server Core. При желании можно по-прежнему пользоваться сценариями . vbs, но, как упоминалось ранее, в Microsoft прикладывают большие усилия, чтобы сделать PowerShell оснонной средой администрирования в командной строке.

Рис. 3.24. Мастер установки сетевого принтера

Для добавления принтера предназначен командлет Add-Printer, который поз­
воляет добавить как локальный, так и сетевой принтер. Ниже рассмотрены оба слу­чая. Сначала добавим локальный принтер НР 5150 для отдела продаж (Sales):
PS С : > Add-Printer -Name «Sales Printer» -DriverName «НР 5150»
А теперь добавим сетевой принтер к настроенному ранее серверу печати:
PS С : > Add-Printer -ConnectionName \b fscl 192 . 1 68 . 1 . 253
Временами на сервере может отсутствовать драйвер принтера. Добавление
драйвера принтера на сервер осуществляется с помощью следующего командлета
PowerShell:
PS С : > Add- PrinterDriver -Name «НР 5150″
После установки принтера необходимо сконфигурировать свойства печати, такие
как цвет. Для начала имеет смысл просмотреть текущие настройки свойств, чтобы выяснить, какие из них должны быть изменены:
PS С : > Get-PrintConfiguration — PrinterName » НР 5150″
PrinterName ComputerName Collate Color DuplexingMode
НР 5150 True True OneSided
Имея конфигурацию, можно изменить значение свойства Color на false:
PS С : > Set-PrintConfiguration -PrinterName «НР 5150» -Color $ false

Управление лицензиями с помощью службы кмs

Компания Microsoft предложила в версиях Windows 8 и Windows Server 2012
новый процесс корпоративной активации Volume Activation 3.0. Он отличается от
привычной онлайновой активации. Установленные копии, регулируемые корпо­
ративной лицензией, подключаются к центральному серверу службы управления
ключами (Кеу Management Service — KMS) внутри локальной сети, который будет
регистрировать «лицензию» активации для клиента в Microsoft через Интернет. Это позволяет Microsoft контролировать количество активаций с одним и тем же корпо­ративным ключом продукта.

По умолчанию серверы Windows 8 и Windows Server 2012 сконфигурированы на
подключение к серверу KMS, прежде чем предпринимать попытки онлайновой ак­тивации. Если сервер не может обнаружить в сети сервер KMS, но выполняет он­лайновую активацию, то он действует в качестве сервера KMS. Данным проuессом можно управлять.
При рассмотрении развертывания сервера KMS в рамках офиса филиала пона­
добится принять во внимание два ключевых аспекта. Первый — обеспечение воз­
можности защищенного подключения по ТСР//Р. Этот процесс всерьез облегчен,
так что не требует меменных подключений к WAN; тем не менее, по-прежнему
необходимо централизовать активации на одной площадке. Другой аспект касается
того, что сервер KMS не начнет взаимодействовать с Microsoft до тех пор, пока не
наберется 25 подходящих лицензий для активации. Это означает, что должно быть 25 установок Windows 8. Лицензия Windows Server 201 2 учитывается как 5 установок
Windows 8. Таким образом, одного сервера Windows Server 2012 и двадцати рабочих
станций будет достаточно мя запуска взаимодействия с Microsoft.
До запуска взаимодействия ОС на компьютерах работает на протяжении льготного периода, который без активации в конечном итоге завершится переходом в так называемый «режим сокращенной функциональности».
В офисе филиала, в котором имеется более 25 лиuензий, но нет защищенного
подключения по TCP/IP к головному офису, практическим вариантом является на­
стройка сервера KMS. Если порог в 25 лицензий не удовлетворяет, то в Microsoft
предлагают множественный ключ активации корпоративной лицензии (Volume
License Multipe Activation Кеу — МАК), который работает подобно онлайновой ак­
тивации ключей продуктов.
В последующих разделах описаны шаги по настройке сервера KMS на базе уста­
новки Server Core в офисе филиала.
отключение публикации SRV в DNS
Записи SRV находятся в DNS и публикуют факт сушествования служб в сети.
Более подробно они будут обсуждаться в главе 5. По умолчанию сервер KMS публи­
кует службу посредством записи SRV в первичном домене DNS. В рассматриваемом
примере Windows Server 2012 Server Core таким доменом является BigFinn.com.
В домене DNS по имени BigFi rm . com вы увидите запись SRV дЛЯ VLMCS .
_ ТСР . Bigfirm . сот. Она будет иметь следующие свойства:
t Имя: vlrncs . ТСР
• Тип: SRV
• Приоритет: О
• Вес: О
• Порт: 1688
• Имя хоста: Bfscl .Ьigfirrn. com
Если вы хотите, чтобы это произошло, то до.1жны добавить разрешения для зоны
DNS, чтобы позволить обновления серверам KMS. Мы рекомендуем использовать в качестве сервера KMS контроллер домена, поскольку он уже обладает разрешения­ми для регистрации записей SRV в DNS.
Однако с помощью записей SRV отсутствует контроль над тем, на какой сервер
KMS попадут клиенты, если они находятся в офисе филима. Клиенты могут запро­
сить DNS и получить ответ мя сервера. который расположен где-то в другом месте.
Для сохранения коммуникаций локальными сервер KMS должен быть зарегистриро­ ван на стороне клиента. Кроме того, для сервера в офисе филиала публикация SRV в DNS должна быть отключена. Это делается путем создания параметра типа dword
по имени DisaЫeDNS PuЫ ishing со значением 1 внутри ключа HKEY_LOCAL
МACHINESOFTWAR:::Microsoft vJindows NTCurrentVersion SL реестра.
Включение брандмауэра
В конфигурации брандмауэра Windows уже присутствует одно входящее прави­
ло, которое является частью группы ролей Кеу Management Service. Его необходимо
включить с помощью следующей команды:
netsh advfirewall fi rewall set rule group=»Key Management Service»
new enaЬle=yes
Активация установки
Точно так же, как активировался экземпляр Server Core, сервер KMS офиса фи­
лиала должен быть активирован посредством опций slrngr . vbs /ipk и /ato.
Указание клиентам на сервер KMS
По умолчанию клиенты Voume Activation 3.0 (Windows 8 и Windows Server 2012)
пытаются подключиться к серверу KMS автоматически с применением записей SRV.
Поскольку этот процесс не учитывает площадку, может быть задействован любой
предоставленный сервер KMS. С помощью следующей команды можно вручную на­ значить сервер KMS каждому клиенту внутри филиала:
cscript c : wincows system32slmgr . vbs /skrns bfscl . Ыgfirm . com : 1 688
Для распространения этого по всей площадке можно было бы воспользоваться
объектом групповой политики.

Защита данных с помощью утилиты Windows Server Backup

Это один из компонентов, добавляемых к установке Server Core. Резервное копирование данных — всегда хорошая идея. В вашей среде могут пренебрегать использованием встроенных инструментов резервного копирования, отдавая предпочтение независимым решениям по резервному копированию уровня предприятия. Мы не порицаем такой подход. Тем не менее, между установкой и полноценным произ­водством всегда существует момент, когда решение по резервному копированию
уровня предприятия еще не установлено или не сконфигурировано. Мы обнаружи­ли, ‘ПО утилита NTBackup Utility великолепно подходит для резервного копирова­ния жизненно важных данных.
Разработчики из Microsoft модернизировали встроенную утилиту резервного копи­рования и назвали ее Windows Server Backup (Резервное копирование Windows Server).
Она взаимодействует со службой теневого копирования томов (Volume Shadow Сору Service) с целью фиксации состояния данных, предназначенных для резервной копии. Изначально эта утилита была спроектирована для предоставления только дис­танционных копий на наборе переносимых жестких дисков. Копии на лентах были устранены, так что съемные жесткие диски являлись единственным вариантом ре­зервного копирования. К счастью, к моменту выпуска разработчики из Microsoft расширили приложение для включения путей UNC к общим папкам и локально подключаемым жестким дискам.
В этом обсуждении мы исследуем командлеты PowerShell, управляющие утилитой
Windows Server Backup. Прежде nсего, понадобится установить компонент Windows Server Backup. Ниже приведено его точное имя, а просмотреть полный список имен можно посредством командлета Get-Windows Feature. Можно также получить список всех командлетов, ассоциированных с Windows Server Backup, запустив ко­манду get-command *wb* -comrnandtype cmdlet.
PS c : UsersAdministrator>Install -WindowsFeature Windows-Server-Backup
В случае успешной установки компонента вы увидите в PowerShell следуюший
вывод:
Success Restart Needed Exit Code Feature Result
True No Success { Windows Server Backup }
Теперь необходимо создать новую политику резервного копирования. Политика
резервного копирования представляет собой набор инструкций для автоматиза­
ции этого процесса. Сразу после создания политика по умолчанию пуста и должна
вручную быть заполнена инструкциями. Такие инструкции нключают планирова­ние графика резервного копирования, а также установку целевого местоположения, файлов и ряда друтих параметров. Для установки политики применяется командлет
New-WBPolicy:
PS c : UsersAdministrator> Kew-WBPolicy
Schedule
BackupTargets
VolumesToBackup
FilesSpecsToBackup
Fi lesSpecsToExclude
ComponentsToBackup
BMR
SystemState
OverwriteOldFormatVhd
VssBackupOptions
False
False
False
VssCopyBackup
Просмотрев свойства New-WBPolicy, с помощью показанного ниже сценария их
можно установить. Этот сценарий установит политику для выполнения резервного копирования содержимого папки Sales каждый день в 9:00.
PS C : Users Administrator> $policy = New-WBPolicy
$fileSpec = New-WBFi leSpec -FileSpec C : Sales
Add-WBFileSpec — Policy $policy -FileSpec $ filespec
Add-WBBareMetalRecovery $policy
$dis ks = Get-WBDisk
$backupLocation = New-WBBackupTarget — Disk $di sks [ 2 ]
Add-WBBackupTarget -Policy $policy -Target $backupLocation
Set-WBSchedule -Policy $policy 0 9 : 00
Set-WBPolicy — Policy $pol icy

Итак, вы узнали, как использовать PowerShell для работы с утилитой Windows
Server Backup. Полный список командлетов для взаимодействия с Windows Server
Backup приведен по адресу http : / /tec:шet . microsoft . com/en-us/l ibrary/
ее7 06683 .aspx.