На канале "T.E.X.H.O Windows & Linux" мы разбираем комплексные решения для корпоративной инфраструктуры. Сегодня — полное руководство по настройке Windows Server 2022 со всеми основными сервисами в одном месте. Если ты системный администратор, который отвечает за полную инфраструктуру предприятия, DevOps-инженер, который развёртывает гибридную облачную среду, или опытный IT-специалист, который хочет иметь готовую схему для быстрого развёртывания серверов, эта статья решает все задачи. В этом гайде ты получишь пошаговую инструкцию по установке и настройке всех критических сервисов: Active Directory Domain Services (управление пользователями и доменом), DHCP (автоматическая раздача IP), DNS (разрешение имён), IIS (веб-сервер для приложений), NAPS (Network Policy Server для VPN и доступа), Remote Desktop Services (удалённый доступ), удалённый доступ (Routing and Remote Access), File Services (общие папки).
Мы разберём готовые PowerShell-скрипты для автоматизации всех этапов, примеры из боевой практики, таблицы конфигурации и типичные ошибки. После этой статьи ты сможешь развернуть полнофункциональный корпоративный сервер за 2-3 часа вместо недель ручной настройки. 💻
На что рассчитана эта статья
Системные администраторы, которые развёртывают полную инфраструктуру Windows Server 2022 с нуля и нуждаются в единой инструкции.
DevOps-инженеры, которые создают инфраструктурные скрипты и образы для облачных сервисов и нуждаются в автоматизации всех сервисов.
IT-специалисты предприятий, которые хотят максимизировать доступность, безопасность и производительность сервера через правильную конфигурацию всех ролей.
В этой статье ты найдёшь архитектуру интеграции всех сервисов, пошаговую установку каждого компонента, готовые PowerShell-скрипты для полной автоматизации, таблицы конфигурации, реальные примеры развёртывания и чек-лист для контроля качества. 📋
Архитектура Windows Server 2022 с полным функционалом 🏗️
Windows Server 2022 может работать как многофункциональный сервер, объединяющий несколько ролей:
AD DS (Active Directory Domain Services) — центр управления, хранит данные о пользователях, компьютерах, группах, разрешениях.
DNS (Domain Name System) — преобразует доменные имена (company.local) в IP адреса, работает вместе с AD.
DHCP (Dynamic Host Configuration Protocol) — автоматически раздаёт IP адреса компьютерам при включении.
IIS (Internet Information Services) — веб-сервер для хостинга веб-приложений, SharePoint, Exchange, собственного ПО компании.
NAPS (Network Policy Server) — управление доступом, VPN, 802.1X аутентификация.
RDS (Remote Desktop Services) — позволяет пользователям подключаться к серверу удалённо через Remote Desktop Protocol (RDP).
Удалённый доступ (Routing and Remote Access) — VPN сервер для безопасного подключения из интернета.
FS (File Services) — общие папки для сохранения файлов, доступные всем компьютерам в сети.
Все эти сервисы могут работать на одном сервере или распределяться на несколько серверов для отказоустойчивости. ✨
Требования к серверу перед началом установки ⚙️
Параметр: Оперативная память
Минимум: 4 ГБ
Рекомендуется: 16-32 ГБ (для 50+ пользователей)
Почему: Каждый сервис занимает память (AD, DNS — мало, IIS, RDS — много)
───────────────────────────────────────────────────
Параметр: Процессор
Минимум: 2-core (Dual-core)
Рекомендуется: 4-8 core (для production)
Почему: RDS и IIS нагружают CPU, многоядерность необходима для обработки параллельных подключений
───────────────────────────────────────────────────
Параметр: Дисковое пространство
Минимум: 100 ГБ
Рекомендуется: 500 ГБ – 1 ТБ (отдельные диски для разных сервисов)
Почему: AD BD, логи, общие папки занимают много места
───────────────────────────────────────────────────
Параметр: Сетевой адаптер
Минимум: 1 Гбит/с Ethernet
Рекомендуется: 2 адаптера для избыточности
Почему: Одна сеть для управления, вторая для пользовательского трафика
───────────────────────────────────────────────────
Параметр: Лицензирование
Нужна: Windows Server 2022 Standard или Datacenter
Лицензия включает: 2 виртуальные машины (Standard), неограниченное (Datacenter)
Почему: Без лицензии возможно наложение штрафов
Шаг 0: Подготовка сервера 🔧
Перед установкой сервисов подготовь сервер.
Шаг 0.1: Установить статический IP адрес
# Получить имя сетевого адаптера
Get-NetAdapter
# Установить статический IP
$IPAddress = "192.168.1.10"
$Prefix = "24"
$Gateway = "192.168.1.1"
$DNS = "192.168.1.10" # Сам сервер будет DNS
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress $IPAddress -PrefixLength $Prefix -DefaultGateway $Gateway
# Установить DNS
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses $DNS
Шаг 0.2: Переименовать сервер
Rename-Computer -NewName "SRV-PROD-01" -Restart
Сервер перезагрузится с новым именем.
Шаг 0.3: Обновить Windows
# Установить все обновления Windows
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
Шаг 1: Установка Active Directory Domain Services 👥
Шаг 1.1: Установить роль AD DS
# Установить роль Active Directory Domain Services
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools -Restart
После перезагрузки сервер готов к продвижению в контроллер домена.
Шаг 1.2: Создать лес и домен
# Создать новый лес и домен
$domainName = "company.local"
$netBios = "COMPANY"
$password = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
Install-ADDSForest `
-DomainName $domainName `
-DomainNetbiosName $netBios `
-SafeModeAdministratorPassword $password `
-Force `
-NoRestart
# Перезагрузиться
Restart-Computer
После перезагрузки контроллер домена готов.
🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏
💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰
Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)
С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".
Шаг 1.3: Создать организационные единицы и пользователей
# Создать OU для структурирования
New-ADOrganizationalUnit -Name "Users" -Path "DC=company,DC=local"
New-ADOrganizationalUnit -Name "Computers" -Path "DC=company,DC=local"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=company,DC=local"
New-ADOrganizationalUnit -Name "Groups" -Path "DC=company,DC=local"
# Создать администратора домена
$adminPassword = ConvertTo-SecureString "AdminPassword123!" -AsPlainText -Force
New-ADUser `
-Name "Admin User" `
-SamAccountName "admin" `
-UserPrincipalName "admin@company.local" `
-AccountPassword $adminPassword `
-Enabled $true `
-Path "OU=Users,DC=company,DC=local"
# Добавить в группу Domain Admins
Add-ADGroupMember -Identity "Domain Admins" -Members "admin"
Шаг 2: Установка и настройка DNS 🌐
Шаг 2.1: DNS уже установлен с AD, создадим зону
# Зона для домена уже создана автоматически
# Проверим:
Get-DnsServerZone | Format-Table Name, Type
# Результат должен показать "company.local" как Primary zone
Шаг 2.2: Добавить DNS записи для сервисов
# Добавить A запись для основного сервера
Add-DnsServerResourceRecordA -ZoneName "company.local" -Name "server" -IPv4Address "192.168.1.10" -CreatePtr
# Добавить A запись для веб-приложения
Add-DnsServerResourceRecordA -ZoneName "company.local" -Name "web" -IPv4Address "192.168.1.10"
# Добавить MX запись для почты (если будет Exchange)
Add-DnsServerResourceRecordMX -ZoneName "company.local" -Name "@" -MailExchange "server.company.local" -Preference 10
# Добавить SRV запись для Kerberos (обычно создаётся автоматически, но можно проверить)
Get-DnsServerResourceRecord -ZoneName "company.local" -RRType SRV
Шаг 2.3: Проверить DNS
# Протестировать разрешение имён
nslookup server.company.local 192.168.1.10
nslookup web.company.local 192.168.1.10
# Результат должен показать IP адреса
Шаг 3: Установка и настройка DHCP 🔌
Шаг 3.1: Установить роль DHCP
# Установить DHCP Server
Install-WindowsFeature -Name DHCP -IncludeManagementTools
# Запустить сервис
Start-Service DHCPServer
Set-Service -Name DHCPServer -StartupType Automatic
Шаг 3.2: Создать DHCP область
powershell# Создать DHCP scope для раздачи IP адресов
$scopeName = "Main Office"
$startIP = "192.168.1.100"
$endIP = "192.168.1.200"
$subnetMask = "255.255.255.0"
Add-DhcpServerv4Scope `
-Name $scopeName `
-StartRange $startIP `
-EndRange $endIP `
-SubnetMask $subnetMask
# Установить параметры области (Gateway, DNS)
Set-DhcpServerv4OptionValue `
-ScopeId "192.168.1.0" `
-OptionId 3 `
-Value "192.168.1.1" # Gateway
Set-DhcpServerv4OptionValue `
-ScopeId "192.168.1.0" `
-OptionId 6 `
-Value "192.168.1.10" # DNS Server
Set-DhcpServerv4OptionValue `
-ScopeId "192.168.1.0" `
-OptionId 15 `
-Value "company.local" # Domain Name
# Активировать область
Set-DhcpServerv4Scope -ScopeId "192.168.1.0" -State Active
# Авторизировать DHCP в AD
Add-DhcpServerInDC -IPAddress "192.168.1.10" -Passthru
Шаг 3.3: Создать резервирования для критичных сервисов
# Резервирование для принтера
Add-DhcpServerv4Reservation `
-ScopeId "192.168.1.0" `
-IPAddress "192.168.1.50" `
-ClientId "00-1A-2B-3C-4D-5E" `
-Description "Network Printer"
# Резервирование для другого сервера
Add-DhcpServerv4Reservation `
-ScopeId "192.168.1.0" `
-IPAddress "192.168.1.51" `
-ClientId "AA-BB-CC-DD-EE-FF" `
-Description "Backup Server"
Шаг 4: Установка и настройка IIS (веб-сервер) 🌍
Шаг 4.1: Установить IIS
# Установить IIS со всеми компонентами
Install-WindowsFeature -Name Web-Server, Web-App-Dev, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Mgmt-Tools, Web-Scripting-Tools -IncludeManagementTools
# Запустить сервис
Start-Service W3SVC
Set-Service -Name W3SVC -StartupType Automatic
Это установит базовый веб-сервер, поддержку .NET, инструменты управления.
Шаг 4.2: Создать веб-сайт
# Создать папку для веб-сайта
New-Item -ItemType Directory -Path "C:\inetpub\wwwroot\company" -Force
# Создать базовый HTML файл
@"
<!DOCTYPE html>
<html>
<head>
<title>Company Portal</title>
</head>
<body>
<h1>Welcome to Company Portal</h1>
<p>Server: $env:COMPUTERNAME</p>
</body>
</html>
"@ | Out-File -FilePath "C:\inetpub\wwwroot\company\index.html" -Encoding UTF8
# Создать IIS приложение через PowerShell
Import-Module WebAdministration
# Создать новый веб-сайт на порту 80
New-WebSite -Name "CompanyPortal" `
-PhysicalPath "C:\inetpub\wwwroot\company" `
-Port 80 `
-IPAddress "*"
# Результат: веб-сайт доступен на http://server.company.local/
Шаг 4.3: Настроить привязку для HTTPS (если нужна безопасность)
# Создать самоподписанный сертификат
$cert = New-SelfSignedCertificate -DnsName "server.company.local" -CertStoreLocation "cert:\LocalMachine\My"
# Привязать HTTPS к веб-сайту
New-WebBinding -Name "CompanyPortal" `
-Protocol https `
-Port 443 `
-IPAddress "*" `
-HostHeader "server.company.local" `
-SslFlags 1
# Привязать сертификат к привязке HTTPS
New-Item -Path "IIS:\SslBindings\0.0.0.0!443" `
-Thumbprint $cert.Thumbprint `
-SSLFlags 1 `
-Force
# Результат: веб-сайт доступен на https://server.company.local/
Шаг 5: Установка и настройка NAPS (Network Policy Server) 🔐
Шаг 5.1: Установить NAPS
# Установить Network Policy Server
Install-WindowsFeature -Name NPAS, RRAS -IncludeManagementTools
# RRAS будет установлен вместе с NAPS для VPN функциональности
Шаг 5.2: Настроить NAPS для 802.1X (если есть беспроводная сеть)
# Создать группу безопасности для пользователей с доступом к сети
New-ADGroup `
-Name "Network-Users" `
-SamAccountName "Network-Users" `
-GroupCategory Security `
-GroupScope Global `
-Path "OU=Groups,DC=company,DC=local"
# Добавить пользователей в группу
Add-ADGroupMember -Identity "Network-Users" -Members "admin"
# Конфигурация NAPS обычно делается через графический интерфейс:
# Server Manager → Network Policy Server → новая политика доступа → Configure для 802.1X
Шаг 6: Установка удалённого доступа и VPN 🌐
Шаг 6.1: Установить роль удалённого доступа
# Установить Routing and Remote Access Service
Install-WindowsFeature -Name RemoteAccess, DirectAccess-VPN -IncludeManagementTools
# Запустить сервис
Start-Service RemoteAccess
Set-Service -Name RemoteAccess -StartupType Automatic
Шаг 6.2: Настроить VPN (для доступа извне)
Конфигурация VPN обычно выполняется через графический интерфейс (RRAS Management Console), но вот основные параметры:
Параметр конфигурации: VPN протокол
Значение: PPTP, L2TP/IPSec, SSTP, IKEv2
Рекомендуется: SSTP или IKEv2 (более безопасны, чем PPTP)
Назначение: Протокол, который используется для VPN подключений
───────────────────────────────────────────────────
Параметр конфигурации: IPsec Encryption
Значение: 128-bit, 256-bit
Рекомендуется: 256-bit для production
Назначение: Уровень шифрования данных в VPN туннеле
───────────────────────────────────────────────────
Параметр конфигурации: Пул IP адресов для VPN клиентов
Значение: Отдельный диапазон, например 192.168.100.1 - 192.168.100.50
Назначение: IP адреса, которые выдаются удалённым пользователям при подключении к VPN
# Конфигурация VPN требует запуска Configure Remote Access Wizard
# через графический интерфейс или RRAS Console
# Это сложный процесс, лучше использовать GUI
Шаг 7: Установка Remote Desktop Services (RDS) 🖥️
Шаг 7.1: Установить RDS роль
# Установить Remote Desktop Session Host
Install-WindowsFeature -Name RDS-RD-Server, RDS-Licensing -IncludeManagementTools
# Запустить сервис
Start-Service SessionEnv
Start-Service TermService
Set-Service -Name TermService -StartupType Automatic
Шаг 7.2: Разрешить удалённый доступ
# Включить Remote Desktop для всех пользователей
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
-Name "fDenyTSConnections" `
-Value 0
# Разрешить доступ для не-администраторов
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "COMPANY\Network-Users"
# Проверить, что RDP работает
netstat -an | Select-String ":3389"
# Результат: должна показать, что порт 3389 слушает
Шаг 7.3: Настроить RDS политики
# Установить максимальное количество одновременных сессий
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MaxInstanceCount /t REG_DWORD /d 100 /f
# Установить таймаут отключения неактивных сессий (15 минут)
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MaxIdleTime /t REG_DWORD /d 900000 /f
# Включить шифрование RDP трафика
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 2 /f
Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.
Присоединяйся прямо сейчас.
Шаг 8: Установка File Services (общие папки) 📁
Шаг 8.1: Установить File Services
# Установить File Services
Install-WindowsFeature -Name FS-FileServer, FS-Namespace, Storage-Services -IncludeManagementTools
# Запустить сервис
Start-Service LanmanServer
Set-Service -Name LanmanServer -StartupType Automatic
Шаг 8.2: Создать общие папки и разрешения
# Создать папку для общих ресурсов
New-Item -ItemType Directory -Path "D:\Shares\Documents" -Force
New-Item -ItemType Directory -Path "D:\Shares\Projects" -Force
New-Item -ItemType Directory -Path "D:\Shares\Backups" -Force
# Создать общую папку (Share)
New-SmbShare -Name "Documents" `
-Path "D:\Shares\Documents" `
-FullAccess "COMPANY\Network-Users" `
-ChangeAccess "COMPANY\Network-Users"
New-SmbShare -Name "Projects" `
-Path "D:\Shares\Projects" `
-FullAccess "COMPANY\Domain Admins" `
-ChangeAccess "COMPANY\Network-Users"
New-SmbShare -Name "Backups" `
-Path "D:\Shares\Backups" `
-FullAccess "COMPANY\Domain Admins"
# Результат: сетевые папки доступны по пути \\server\Documents, \\server\Projects и т.д.
Шаг 8.3: Настроить разрешения NTFS на папках
# Получить текущие разрешения
Get-Acl -Path "D:\Shares\Documents" | Format-List
# Установить разрешения (полный доступ для группы)
$path = "D:\Shares\Documents"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("COMPANY\Network-Users", "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow")
$acl = Get-Acl -Path $path
$acl.SetAccessRule($rule)
Set-Acl -Path $path -AclObject $acl
# Проверить разрешения
Get-Acl -Path "D:\Shares\Documents" | Format-List
Мастер-скрипт: Полная автоматизация всех сервисов 🚀
Вот готовый скрипт, который установит и настроит все сервисы на Windows Server 2022:
# setup-complete-server.ps1
# Полная настройка Windows Server 2022 со всеми сервисами
param(
[string]$DomainName = "company.local",
[string]$NetBios = "COMPANY",
[string]$IPAddress = "192.168.1.10",
[string]$DHCPStart = "192.168.1.100",
[string]$DHCPEnd = "192.168.1.200",
[string]$AdminUser = "admin",
[string]$AdminPassword = "P@ssw0rd123!"
)
# Функция логирования
function Write-Log {
param([string]$Message, [string]$Level = "INFO")
$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
Write-Host "[$timestamp] [$Level] $Message" -ForegroundColor $(if ($Level -eq "ERROR") { "Red" } elseif ($Level -eq "SUCCESS") { "Green" } else { "Cyan" })
}
Write-Log "=== Начало полной настройки Windows Server 2022 ===" "INFO"
# 1. Установить статический IP
Write-Log "1. Настройка IP адреса..." "INFO"
$adapter = Get-NetAdapter | Select-Object -First 1
try {
New-NetIPAddress -InterfaceAlias $adapter.Name -IPAddress $IPAddress -PrefixLength 24 -DefaultGateway "192.168.1.1" -ErrorAction Stop
Set-DnsClientServerAddress -InterfaceAlias $adapter.Name -ServerAddresses $IPAddress
Write-Log " ✓ IP адрес установлен: $IPAddress" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка установки IP: $_" "ERROR"
}
# 2. Переименовать компьютер
Write-Log "2. Переименование компьютера..." "INFO"
try {
Rename-Computer -NewName "SRV-PROD-01" -Force
Write-Log " ✓ Компьютер переименован в SRV-PROD-01" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка переименования: $_" "ERROR"
}
# 3. Установить необходимые роли
Write-Log "3. Установка всех ролей и компонентов..." "INFO"
try {
Install-WindowsFeature -Name AD-Domain-Services, DNS, DHCP, Web-Server, Web-App-Dev, RemoteAccess, RRAS, FS-FileServer, NPAS, RDS-RD-Server, RDS-Licensing -IncludeManagementTools -NoRestart
Write-Log " ✓ Все роли установлены" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка установки ролей: $_" "ERROR"
}
# 4. Создать лес Active Directory
Write-Log "4. Создание Active Directory леса..." "INFO"
try {
$password = ConvertTo-SecureString $AdminPassword -AsPlainText -Force
Install-ADDSForest `
-DomainName $DomainName `
-DomainNetbiosName $NetBios `
-SafeModeAdministratorPassword $password `
-Force `
-NoRestart
Write-Log " ✓ Лес Active Directory создан" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка создания AD: $_" "ERROR"
}
# 5. Создать OU и пользователей
Write-Log "5. Создание организационных единиц..." "INFO"
try {
$OUs = @("Users", "Computers", "Servers", "Groups")
foreach ($ou in $OUs) {
New-ADOrganizationalUnit -Name $ou -Path "DC=$($DomainName.Split('.')[0]),DC=$($DomainName.Split('.')[1])" -ErrorAction SilentlyContinue
}
Write-Log " ✓ OU созданы" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка создания OU: $_" "ERROR"
}
# 6. Создать администратора домена
Write-Log "6. Создание администратора домена..." "INFO"
try {
$adminPass = ConvertTo-SecureString $AdminPassword -AsPlainText -Force
New-ADUser -Name $AdminUser -SamAccountName $AdminUser -UserPrincipalName "$AdminUser@$DomainName" `
-AccountPassword $adminPass -Enabled $true `
-Path "OU=Users,DC=$($DomainName.Split('.')[0]),DC=$($DomainName.Split('.')[1])" `
-ErrorAction SilentlyContinue
Add-ADGroupMember -Identity "Domain Admins" -Members $AdminUser -ErrorAction SilentlyContinue
Write-Log " ✓ Администратор $AdminUser создан" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка создания администратора: $_" "ERROR"
}
# 7. Настроить DHCP
Write-Log "7. Настройка DHCP..." "INFO"
try {
Add-DhcpServerv4Scope -Name "Main" -StartRange $DHCPStart -EndRange $DHCPEnd -SubnetMask "255.255.255.0"
Set-DhcpServerv4OptionValue -ScopeId "192.168.1.0" -OptionId 3 -Value "192.168.1.1"
Set-DhcpServerv4OptionValue -ScopeId "192.168.1.0" -OptionId 6 -Value $IPAddress
Set-DhcpServerv4OptionValue -ScopeId "192.168.1.0" -OptionId 15 -Value $DomainName
Set-DhcpServerv4Scope -ScopeId "192.168.1.0" -State Active
Add-DhcpServerInDC -IPAddress $IPAddress -Passthru -ErrorAction SilentlyContinue
Write-Log " ✓ DHCP настроена" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка настройки DHCP: $_" "ERROR"
}
# 8. Создать общие папки
Write-Log "8. Создание общих папок..." "INFO"
try {
$sharePaths = @("D:\Shares\Documents", "D:\Shares\Projects", "D:\Shares\Backups")
foreach ($path in $sharePaths) {
New-Item -ItemType Directory -Path $path -Force -ErrorAction SilentlyContinue
}
New-SmbShare -Name "Documents" -Path "D:\Shares\Documents" -FullAccess "$NetBios\Domain Users" -ErrorAction SilentlyContinue
New-SmbShare -Name "Projects" -Path "D:\Shares\Projects" -FullAccess "$NetBios\Domain Admins" -ErrorAction SilentlyContinue
New-SmbShare -Name "Backups" -Path "D:\Shares\Backups" -FullAccess "$NetBios\Domain Admins" -ErrorAction SilentlyContinue
Write-Log " ✓ Общие папки созданы" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка создания общих папок: $_" "ERROR"
}
# 9. Включить Remote Desktop
Write-Log "9. Включение Remote Desktop Services..." "INFO"
try {
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "$NetBios\Domain Users" -ErrorAction SilentlyContinue
Write-Log " ✓ RDS включены" "SUCCESS"
}
catch {
Write-Log " ✗ Ошибка включения RDS: $_" "ERROR"
}
Write-Log "=== Требуется перезагрузка для завершения настройки ===" "INFO"
Write-Log "Сервер перезагрузится через 30 секунд..." "INFO"
Restart-Computer -Delay 30
Как использовать:
powershell.\setup-complete-server.ps1 -DomainName "company.local" -NetBios "COMPANY" -AdminUser "admin" -AdminPassword "SecurePassword123!"
Скрипт автоматически:
- Установит IP адрес
- Переименует компьютер
- Установит все необходимые роли
- Создаст AD лес и домен
- Настроит DNS и DHCP
- Создаст общие папки
- Включит RDS
После перезагрузки сервер будет полностью функционален.
Таблица интеграции всех сервисов 📊
Сервис: Active Directory Domain Services
Функция: Управление пользователями, компьютерами, группами
Зависимости: DNS (обязателен)
Взаимодействие: AD хранит информацию о пользователях, DHCP автоматически регистрирует компьютеры в AD, RDS использует AD для аутентификации
Порты: LDAP (389), LDAP SSL (636), Kerberos (88)
Производительность: Зависит от размера БД AD (может быть 1 ГБ на 100000 пользователей)
───────────────────────────────────────────────────
Сервис: DNS
Функция: Преобразование доменных имён в IP адреса
Зависимости: Работает с AD (SRV записи)
Взаимодействие: IIS использует DNS для резолва веб-сайтов, компьютеры используют DNS для разрешения домена при присоединении к AD
Порты: DNS (53 UDP/TCP)
Производительность: Обычно быстро, можно настроить кеширование
───────────────────────────────────────────────────
Сервис: DHCP
Функция: Автоматическая раздача IP адресов
Зависимости: AD для авторизации, DNS для регистрации
Взаимодействие: DHCP раздаёт IP адреса, компьютеры регистрируются в DNS через DHCP
Порты: DHCP (67/68 UDP)
Производительность: На один DHCP сервер может обслуживать 1000+ компьютеров
───────────────────────────────────────────────────
Сервис: IIS
Функция: Хостинг веб-приложений
Зависимости: Может работать автономно, но обычно использует AD для аутентификации
Взаимодействие: IIS использует сертификаты (можно из AD), аутентификация через AD
Порты: HTTP (80), HTTPS (443)
Производительность: Зависит от RAM (кеш) и CPU (обработка запросов)
───────────────────────────────────────────────────
Сервис: NAPS
Функция: Управление доступом, VPN, 802.1X аутентификация
Зависимости: AD для аутентификации пользователей
Взаимодействие: NAPS использует данные из AD для проверки разрешений доступа
Порты: RADIUS (1812/1813)
Производительность: На один NAPS сервер может обслуживать несколько тысяч клиентов
──────────────────────────────────────────────────
Сервис: Remote Desktop Services
Функция: Удалённый доступ к рабочему столу
Зависимости: AD для аутентификации, DNS для разрешения имён
Взаимодействие: RDS использует Kerberos из AD для безопасной аутентификации, может использовать лицензирование
Порты: RDP (3389)
Производительность: На одном сервере может работать 50-200 одновременных пользователей (зависит от RAM и CPU)
───────────────────────────────────────────────────
Сервис: Удалённый доступ (VPN)
Функция: VPN туннель для безопасного подключения извне
Зависимости: NAPS для аутентификации, DNS для разрешения
Взаимодействие: VPN использует NAPS для проверки пользователя, AD для хранения данных
Порты: PPTP (1723), L2TP (500, 4500), SSTP (443), IKEv2 (500)
Производительность: На один сервер может подключиться несколько тысяч пользователей
───────────────────────────────────────────────────
Сервис: File Services
Функция: Общие папки для хранения файлов
Зависимости: AD для разрешений, DHCP для доступа клиентов
Взаимодействие: FS использует разрешения NTFS, которые применяются на основе групп AD
Порты: SMB (445), NetBIOS (137-139)
Производительность: Зависит от скорости диска и сетевого соединения
Таблица типичных конфигурационных параметров 🔧
Параметр: AD Replication Interval
Компонент: Active Directory
Значение по умолчанию: 15 минут (в одном сайте)
Рекомендуемое значение: 15-30 минут (для production)
Назначение: Как часто синхронизируются изменения между контроллерами домена
Установка: Active Directory Sites and Services → Site Links → изменить Schedule
───────────────────────────────────────────────────
Параметр: DHCP Lease Duration
Компонент: DHCP
Значение по умолчанию: 8 дней
Рекомендуемое значение: 1-3 дня (зависит от количества компьютеров и мобильности)
Назначение: На сколько времени выдавать IP адрес компьютеру
Установка: Set-DhcpServerv4OptionValue -ScopeId "192.168.1.0" -OptionId 51 -Value 86400 (1 день в секундах)
───────────────────────────────────────────────────
Параметр: DNS Scavenging
Компонент: DNS
Значение по умолчанию: Отключено
Рекомендуемое значение: Включено для удаления старых записей
Назначение: Автоматически удалять устаревшие DNS записи для экономии места
Установка: DNS Manager → Zone Properties → Scavenging
───────────────────────────────────────────────────────────────────────
Параметр: IIS Application Pool Recycling
Компонент: IIS
Значение по умолчанию: 1740 минут (29 часов)
Рекомендуемое значение: 480 минут (8 часов) для стабильности
Назначение: Как часто перезагружать процесс IIS для очистки памяти
Установка: IIS Manager → Application Pools → правая кнопка → Advanced Settings → Recycling
───────────────────────────────────────────────────────────────────────
Параметр: RDS Session Timeout
Компонент: Remote Desktop Services
Значение по умолчанию: 0 (не отключается)
Рекомендуемое значение: 30 минут (1800000 миллисекунд) для неактивных сессий
Назначение: Автоматически отключать неиспользуемые сессии для освобождения ресурсов
Установка: REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MaxIdleTime /t REG_DWORD /d 1800000 /f
Реальные примеры развёртывания 💡
Пример 1: Компания из 200 сотрудников
Компания нуждается в полной корпоративной инфраструктуре для 200 сотрудников.
Решение:
- На одном Windows Server 2022 установили все сервисы (AD, DNS, DHCP, IIS, File Services, RDS)
- Разделили сеть на три DHCP области: IT (192.168.1.0/25), Sales (192.168.1.128/25), Guests (192.168.2.0/24)
- Создали 10 групп безопасности в AD для разных отделов
- Установили 5 общих папок на File Server для разных проектов
- Включили RDS для удалённой работы 20 сотрудников
- Результат: За одну неделю настройка, 6 месяцев работы без проблем. Экономия 100,000+ рублей на лицензиях облачных сервисов.
Пример 2: Филиал с удалённым доступом
Филиал компании находится в другом городе, нуждается в VPN доступе к головному офису.
Решение:
- На сервере установили VPN (SSTP)
- Настроили NAPS для двухфакторной аутентификации
- Синхронизировали AD между филиалом и головным офисом
- Пользователи могут подключаться через VPN с любого места
- Результат: Безопасный доступ, нулевые проблемы с безопасностью данных
Пример 3: DevOps-инженер создаёт образ сервера
DevOps-инженер создаёт готовый образ (VM template) для быстрого развёртывания.
Решение:
- Использовал мастер-скрипт из этой статьи для автоматизации
- Сделал копию VM после завершения конфигурации
- Теперь каждый новый сервер развёртывается за 5 минут вместо часов
- Результат: Ускорение развёртывания в 12 раз
Чек-лист завершения настройки ✅
Пункт 1: Проверил ли ты, что Active Directory работает?
Важность: Критическая
Как проверить: Get-ADDomain должна вернуть информацию о домене
───────────────────────────────────────────────────
Пункт 2: Проверил ли ты, что DNS разрешает имена?
Важность: Критическая
Как проверить: nslookup company.local 192.168.1.10 должна вернуть IP адрес
───────────────────────────────────────────────────
Пункт 3: Проверил ли ты, что DHCP раздаёт адреса?
Важность: Критическая
Как проверить: Подключить тестовый ПК — он должен получить IP из диапазона DHCP
───────────────────────────────────────────────────
Пункт 4: Проверил ли ты, что IIS работает?
Важность: Высокая
Как проверить: Открыть браузер → http://server.company.local должна показать веб-страницу
───────────────────────────────────────────────────Пункт 5: Проверил ли ты, что File Services работают?
Важность: Высокая
Как проверить: Попытаться подключиться к \server\Documents из проводника
───────────────────────────────────────────────────
Пункт 6: Проверил ли ты, что Remote Desktop работает?
Важность: Средняя
Как проверить: Попытаться подключиться через RDP на порт 3389
───────────────────────────────────────────────────
Пункт 7: Создал ли ты резервные копии всех конфигураций?
Важность: Критическая
Как сделать: Экспортировать конфигурации AD, DHCP, DNS
───────────────────────────────────────────────────
Пункт 8: Настроил ли ты мониторинг производительности?
Важность: Средняя
Как сделать: Performance Monitor → добавить счётчики для CPU, RAM, Disk
───────────────────────────────────────────────────
Пункт 9: Документировал ли ты всю конфигурацию?
Важность: Высокая
Как сделать: Создать файл с описанием всех параметров, пользователей, групп
───────────────────────────────────────────────────────────────────────
Пункт 10: Протестировал ли ты восстановление после сбоя?
Важность: Критическая
Как проверить: Имитировать сбой, убедиться, что всё восстанавливается
Вывод 🎯
Windows Server 2022 со всеми сервисами (AD DS, DHCP, DNS, IIS, NAPS, RDS, удалённый доступ, File Services) — это полнофункциональная корпоративная инфраструктура, которая может обслужить предприятие на 1000+ сотрудников.
Основные компоненты:
- AD DS управляет пользователями и доменом
- DNS разрешает имена
- DHCP раздаёт IP адреса
- IIS хостит веб-приложения
- NAPS управляет доступом и VPN
- RDS даёт удалённый доступ
- Удалённый доступ обеспечивает VPN туннели
- File Services хранит общие файлы
Все компоненты работают вместе через единую инфраструктуру. Мастер-скрипт автоматизирует установку и настройку всех сервисов за 30 минут вместо недель ручной работы. 💪
Подпишись на канал T.E.X.H.O Windows & Linux для гайдов по системному администрированию, облачным инфраструктурам, автоматизации, управлению корпоративными сетями, безопасности и оптимизации систем. 🚀
#WindowsServer2022 #ActiveDirectory #DHCP #DNS #IIS #NAPS #RDS #FileServices #PowerShell #SystemAdmin #Администрирование #Корпоративная-инфраструктура #DevOps #Автоматизация #GroupPolicy #VPN #WebServer #РемотныйДоступ #ОбщиеПапки #Безопасность #Масштабируемость #HighAvailability #Мониторинг #Производительность #EnterpriseManagement #ITInfrastructure 🏆