Установка и настройка разных версий Windows Server

Необходимые требования

Выбранный метод установки предполагает определенные требования как со стороны программного обеспечения, сетевой, а также инфраструктурных частей. Рассмотрим подробнее:

Программное обеспечение:

• Windows Server 2012 / 2012 R2 Standard или Datacenter;
• Windows 7 enterprise или ultimate, Windows 8, 8.1 Enterprise;

Со стороны сетевой инфраструктуры:

• Наличие 2-х сетевых интерфейсов;
• Два публичных IPv4 адреса, причем для поддержки протокола Torredo необходимо чтобы адреса были последовательные, например, и

Инфраструктурные требования:

• Сервера Directaccess должны быть членами домена ActiveDirectory предприятия;
• PKI инфраструктура — необходима для поддержки клиентов Windows 7, а так же возможности развертывания двухфакторной аутентификации и, так же, многосайтовости;
• NLS — северами сетевого размещения могут выступать любые веб сервера работающие по протоколу https;
• Сервер политики работоспособности NAP: сервер сетевых политик (NPS). Данный компонент инфраструктуры не обязателен, но при внедрении позволит обеспечить подтверждение запросов на проверку работоспособности систем;

Диспетчер учетных данных Windows

Вы можете использовать Диспетчер учетных данных Windows , входящий в состав служб аутентификации, для сохранения учетных данных, таких как имена пользователей и пароли, чтобы вы могли легко заходить на веб-сайты или защищать компьютеры. Вы можете получить доступ к диспетчеру учетных данных через панель управления.

Чтобы получить доступ к диспетчеру учетных данных, введите «диспетчер учетных данных» в начальном поиске и нажмите Enter.

В диспетчере учетных данных Windows вы можете:

1. Добавить, изменить или удалить учетные данные Windows
2. Добавить общие учетные данные
3. Добавить учетные данные на основе сертификата
4. Резервное копирование хранилища Windows
5. Восстановить хранилище Windows

Все говорят сами за себя и им легко управлять.

Диспетчер учетных данных не работает

Если вы обнаружите, что ваш Диспетчер учетных данных не работает, введите в начале поиска и нажмите Enter, чтобы открыть Диспетчер служб. Здесь убедитесь, что служба Credential Manager и ее зависимости запущены и работают должным образом. Дополнительные действия по устранению неполадок см. В разделе Диспетчер учетных данных не работает.

Дополнительные ресурсы на MSDN здесь и здесь тоже. Нажмите здесь, чтобы узнать, как добавить, сделать резервную копию, восстановить учетные данные пользователя с помощью Windows Vault.

Диспетчер веб-учетных данных в Windows 10/8

В Windows 10/8 вы также увидите еще один тип учетных данных, называемый веб-учетными данными, который помогает Internet Explorer хранить ваши веб-пароли. Перейдите сюда, чтобы узнать, как управлять паролями в Internet Explorer с помощью диспетчера учетных данных, и здесь, если вы обнаружите, что Internet Explorer не сохраняет учетные данные для веб-сайта.

VaultPasswordView позволяет расшифровывать пароли, хранящиеся в хранилище Windows.

Добавление пользователей в Windows

В Windows 8.1 компания Microsoft убрала необходимость добавления пользователей через панель управления. Многие считали это сложным и неудобным. Теперь Вы можете добавить пользователей просто в панели настроек ПК.

Чтобы создать локальную учетную запись пользователя:

• Откройте чудо — кнопки и выберите «Настройки».
• В нижнем правом углу экрана, щелкните по «Дополнительные настройки ПК».
• В настройках ПК, щелкните по «Учетные записи».
• В разделе учетных записей, щелкните по «Другая учетная запись».

Подсказка. Если Вы создаете учетную запись за другого уже имеющего учетную запись Microsoft человека достаточно просто ввести адрес его электронной почты. ПК не будет запрашивать пароль до его первого входа в систему.

• Затем, в новом окне щелкните по «Добавить пользователя».

Внимание. Так, чем отличается локальная учетная запись от учетной записи Microsoft? У локальной учетной записи есть явные преимущества, если Вы используете только один ПК, в котором все сохранено локально, нет ничего в облаке, и Вы обеспокоены конфиденциальностью. Однако, в этом случае невозможно использовать Windows Store и Ваши настройки не будут синхронизироваться с другими ПК.

• Чтобы создать локальную учетную запись, щелкните по «Не регистрировать учетную запись Microsoft» и перейдите на следующий экран.

• Нажмите кнопку «Локальная учетная запись». У Вас запросят ввести имя и пароль для нового пользователя.

• Введите имя пользователя, пароль и подсказку для пароля (в случае, если Вы забудете пароль). Когда Вы закончите, у Вас спросят, хотите ли Вы включить семейную безопасность, чтобы получать отчеты о онлайн активности детских аккаунтов.

Внимание. Если Вы отметите эту опцию, то будете уведомляться о их входе в систему и контролировать их действия.

• Локальная учетная запись создана. Щелкните «Закончить», чтобы завершить процесс.

Windows Server Datacenter and Standard

• Основными продуктами семейства Windows Server 2019 являются Windows Server 2019 Standard и Datacenter. Любой из них может быть установлен в режиме Server Core или Desktop Experience (GUI). Сначала рассмотрим различия между выпусками Standard и Datacenter, а затем обсудим их подопции Server Core и Desktop Experience.
• Windows Server 2019 Datacenter является наиболее полным выпуском семейства продуктов Microsoft Server и, вместе с тем, самым дорогим, по оценкам Microsoft. Это отражает увеличение цены по сравнению с MSRP аналогичного сервера, версии 2016 года. Стоимость лицензии рассчитывается на основе ядра / клиентской лицензии.

• Лицензия Datacenter предоставляет самый широкий набор функций и возможностей с наименьшим количеством лицензионных ограничений среди всех выпусков Server. Например, все серверы, которые виртуализированы на сервере Datacenter, лицензируются автоматически их хостом Datacenter, учитывая, что хост-сервер и гостевые серверы имеют одинаковую версию. Такие гости также могут быть автоматически активированы с помощью активации виртуальной машины (AVMA).
• В Windows Server 2016 была представлена защищенная виртуальная машина — новая функция, доступная только в выпуске Datacenter. В отличие от этого, Host Guardian Service был доступен только в выпуске Datacenter Windows Server 2016, хотя в выпуске Windows Server 2019 служба Host Guardian стала доступна также и в Standard версии. Хотя такое и происходит время от времени, это не правило, а скорее исключение. В итоге: новые возможности представлены в новых выпусках Windows Server, в то время как другие функции отключены. Некоторые функции являются эксклюзивными для выпуска Datacenter, тогда как иногда такие функции становятся доступными для более дешевых вариантов лицензирования.
• Вот список функций, которые были удалены из Windows Server 1803, а также список функций, которые больше не поддерживаются. Стоит учесть, что это только частичный список по сравнению с, гораздо более длинным списком в семействе продуктов Windows Server 2019. Это связано с двумя основными причинами: 1. Windows Server 2019 является обновлением с 2019 года, тогда как версия 1803 является обновлением с 1709. Вполне вероятно, что больше функций было отклонено как в версии 1709, так и в 1809; 2. Windows Server 2019 состоит из целого семейства продуктов (включая Essentials, где Essentials Experience только что снята с производства).
• В качестве дополнения, можно заметить, что Windows Server 1809 является эквивалентом Windows Server 2019 Server Core. Server 2019 относится к каналу долгосрочного обслуживания (LTSC), тогда как сервер 1809 доступен только в качестве серверного ядра и является частью Semi-Annual Channel.
• Datacenter Exclusive Capabilities. Назовем несколько возможностей, которые поддерживаются только в Windows Server 2019 Datacenter, а не в Standard (или в Essentials): роль сетевого контроллера; Программно-определяемая сеть (SDN); Программно-определяемое хранилище (SDS), дедупликация, доступ к памяти; Storage Spaces / Direct (S2D); Репликация хранилища (частичная доступность в стандарте); Автоматическая активация виртуальной машины (AVMA); Лицензионное ограничение для 2 операционных сред / контейнеров Hyper-V (VM) в стандартной версии и неограниченное в Datacenter.
• Вот подробное сравнение Microsoft со сравнением функций Windows Server 2019 Datacenter и Standard. На самом деле, это не сравнение, а список возможностей. Сравнение подчеркивает различия, тогда как это «сравнение» на самом деле затрудняет выявление различий, превращая его в список функций.
• Microsoft, определяет Windows Server 2019 Datacenter как «идеальный для высоко виртуализированных центров обработки данных и облачных сред». Стандартная версия описывается как «идеальная для физических или минимально виртуализированных сред». В отличие от этого, “сводный брат” Hyper-V Server 2019, кажется, не идеален ни для чего.

Настройка системы

Этот процесс несколько отличается на разных версиях обеспечения, поэтому мы рассмотрим его отдельно на Windows Server 2008 и 2012.

Итак, начальная настройка версии 2008 R2 делается так:

1. После первой загрузки перед вами появится меню «Задач первоначальной настройки».
2. Задайте часовой пояс.
3. Укажите имя для компьютера.
4. Введите настройки сети VPN — IP и DNS адреса, данные шлюза и WINS.

Как сделать этот компьютер контроллером домена? Для этого вам потребуется следующее:

• Откройте Диспетчер Сервера.
• В меню слева выберите вкладку Roles.
• Нажмите Add roles («Добавить роли»).
• Появится ознакомительная информация — если вы впервые делаете установку подобных компонентов, вам стоит её прочесть.
• Далее, выберите роль Active Directory Domain Services.
• Вам отобразятся функции, которые будут загружены вместе с ролью, после следует выбрать их установку кнопкой Add required features.
• Теперь вы увидите ещё немного сопровождающей информации о том, что нужно ставить как минимум два контроллера, задать настройки DNS и запустить dcpromo после загрузки роли — это мы и сделаем позже.
• После прочтения жмите «Далее» и «Установить» (Next, Install).
• По окончании установки закройте окно и откройте Пуск.
• Введите в поле «Выполнить» значение dcpromo.
• Запустится мастер, после информации о совместимости нажмите Next.
• В окне выбора конфигурации остановитесь на Create a new domain in a new forest.
• Введите название домена, следуйте дальше.
• Выберите действующую версию Windows Server 2008 R
• В окне дополнительных функций отметьте DNS сервер, на предупреждение нажмите Yes.
• В следующем меню измените адреса директорий — но только если вам действительно это нужно.
• Установите пароль, жмите «Далее».
• Проверьте в Summary список устанавливаемых компонентов, если всё нормально, жмите Next.

После перезагрузки компьютера изменения вступят в силу.

Давайте теперь остановимся на том, как происходит первоначальная настройка VPN и прочих параметров на операционной системе 2012 года.

А выполняется она таким образом:

1. После первого запуска перед вами появится Диспетчер серверов, выберите вкладку Локальный сервер.
2. Первым делом можно изменить имя этого компьютера — кликните правой клавишей на текущее название, выберите Свойства.
3. В открывшемся окне на вкладке «Имя компьютера» выберите «Изменить».
4. Введите новое имя для ПК, кликните ОК, в основном окне — «Применить».
5. Установите дату и время — соответствующая строка есть в том же меню локального сервера.
6. Как настроить VPN на Windows Server 2012? Для этого нажмите на строку напротив Ethernet и впишите необходимые данные сети.
7. В появившемся окне выберите адаптер сети, в контекстном меню — «Свойства».
8. В свойствах подключения из списка выберите «Протокол интернета 4».
9. В настройках протокола введите нужные данные — DNS-адрес, маску подсети и шлюз, сохраните изменения.

И последнее, что стоит сделать при первоначальной настройке — разрешить доступ к этому компьютеру с других устройств. Для этого в меню Диспетчера серверов снова выберите Локальный сервер, найдите строку «Удалённый рабочий стол».

Кликните по ссылке этой строки, в открывшемся окне отметьте «Разрешить удалённые подключения к компьютеру…» и поставьте галочку напротив пункта ниже — последнее действие выполняется по желанию.

Сравнение параметров установки Windows Server и 2019

В редакциях Standard и Datacenter можно выбрать различные варианты установки. Эти варианты влияют на то, какие функции будут доступны после установки, такие как наличие графического интерфейса пользователя и набор сервисов. Присутствуют следующие варианты установки:

• Desktop Experience (с графическим интерфейсом);
• Core;
• Nano.

Desktop Experience — это вариант установки, с которым знакомо большинство людей. Этот параметр устанавливает большинство функций и ролей из коробки, включая интерфейс графического интерфейса рабочего стола. Вы получите Диспетчер серверов, который позволяет добавлять и удалять роли и компоненты. Преимущество в том, что система может быть проще в управлении для людей, привыкших использовать графический интерфейс. Недостаток в том, что у вас появляется больше обновлений, перезагрузок и открытых портов с которыми предстоит иметь дело.

Узнайте больше от Microsoft здесь.

В Server Core отсутствует графический интерфейс и несколько ролей, которые устанавливаются по умолчанию под опцией Desktop Experience. Серверное ядро имеет меньший объем занимаемого дискового пространства и, следовательно, меньшую область атаки из-за меньшей кодовой базы. Здесь также меньше обновлений, перезагрузок и открытых портов для работы. Это отличный вариант для серверов инфраструктуры, таких как контроллеры домена Active Directory и DNS-серверы.

В этой редакции отсутствуют инструменты специальных возможностей, встроенные инструменты настройки сервера и поддержка звука. Эта версия без излишеств. Не лишним будет убедиться, что вы знакомы с администрированием на основе командной строки.

Подробнее об этом можно прочитать на сайте Microsoft.

Nano

Начиная с Windows Server 2019, Nano доступен только как контейнеризированный образ операционной системы. Он предназначен для запуска в качестве контейнера внутри хоста контейнеров, такого как Server Core, упомянутого выше. Если вы опираетесь на контейнерные приложения, предназначенные для серверных ОС, то эту версию вы будете использовать для компиляции этих приложений.

Nano можно развернуть с помощью версий Standard или Datacenter, но у вас должна быть прикреплена Software Assurance к лицензированию хост-сервера. Узнать об этом подробнее можно на сайте Microsoft.

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку "Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP". Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне "Выполнить" Если нужно открыть локальный редактор групповых политик, то в окне "Выполнить" введите .

Вам необходимо перейти в ветку:

Открываем настройку "Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)". Включаем политику, у вас активируется опция "Уровень защиты", на выбор будет три варианта:

• Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
• Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
• Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.

Выбираем на время пункт "Оставить уязвимость (Vulnerable)". Сохраняем настройки.

После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра

На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory

Import-Module ActiveDirectory $PSs = (Get-ADComputer -Filter *).DNSHostName Foreach ($computer in $PCs) <Invoke-Command -ComputerName $computer -ScriptBlock <REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2 > >

Обзор лицензирования

Клиент может выбрать ту версию, которая больше всего ему подходит на основании предъявляемых требований. Это необходимо назвать одним из самых важных преимуществ. Предусматривается сокращение количества редакций, в сравнении с предшественниками. Теперь их всего 4 –две для малого бизнеса и две главных. К последнему типу можно отнести Standard и Datacenter. Отличия между ними являются незначительными и заключаются в правах применения визуализации. Редакции открывают полный доступ ко всем возможностям операционной системы Windows Server 2012.

Если говорить о Essentials и Foundation, то они пошл по пути упрощения. Из них убран дополнительный функционал, который не пригодится в процессе ведения малого бизнеса. Это позволяет добиться привлекательной стоимости и ускорения процессов окупаемости. Следует рассмотреть особенности доступных лицензий.

Foundation

Разрабатывается специально у учетом запросов индивидуальных разработчиков оборудования и предусматривает не более 15 пользователей. Набор возможностей является ограниченным, но отвечает поставленным задачам.

Essentials

Используется в сфере малого бизнеса. Лицензирование предусматривает установку на сервер с возможностью работы на одно ли двухпроцессорном устройстве. Получить доступ способно не более 25 человек. Набор возможностей несколько урезан, в соответствии с запросами организаций малого размера.

Standard

Применяется в случае низкой степени виртуализации или её полного отсутствия. Набор возможностей ограничен ничем не ограничен и является стандартным для операционной системы. Модель лицензирования не предусматривает количество виртуальных машин свыше двух.

Datacenter

Необходимо приобретать редакцию в случае работы со средами, обладающими высокой степенью визуализации. Модель лицензирования распространяется на один процессор, а также предусматривается система CAL. Функционал никак не ограничен и можно использовать возможности Ос без ограничений. Права на использование распространяются на сколь угодно большое число виртуальных машин.