Вы установили Windows Server. После загрузки видите синий экран с мышкой и несколько иконок. С чего начать? Как сделать из этой болванки рабочий инструмент. Контроллер домена, файловый сервер или просто сервер для офисных задач. Многие начинающие администраторы теряются. Не знают, какие роли устанавливать, как настроить сеть и как потом ввести сервер в домен или самому стать доменом.
Без правильной начальной конфигурации сервер останется просто дорогим компьютером. Неправильные настройки имени, сети или обновлений могут привести к тому, что сервер будет недоступен в сети. Он не сможет получать обновления или вызовет конфликты с другими системами.
Процесс начальной настройки Windows Server стандартизирован. Он состоит из нескольких обязательных шагов. Изменение имени компьютера. Настройка сети (статический IP). Установка обновлений. Включение удалённого рабочего стола. Если сервер должен стать частью домена Active Directory, нужно либо ввести его в существующий домен, либо развернуть контроллер домена с нуля.
Мы пройдём все этапы для двух сценариев. Подготовка рядового сервера (например, для файлового хранилища). Ввод сервера в домен. Также рассмотрим, как самому создать домен, если вы строите инфраструктуру с нуля.
Шаг 1. Настройка сети (статический IP)
Сразу после установки сервер обычно получает IP адрес по DHCP. Для сервера это не годится. Адрес должен быть фиксированным, чтобы клиенты всегда могли его найти.
Откройте Диспетчер серверов (Server Manager). Он запускается автоматически при входе. В правом верхнем углу нажмите «Управление», затем «Локальный сервер». В разделе «Свойства» найдите строку Ethernet (или название вашего сетевого адаптера). Нажмите на ссылку с текущим IP адресом (например, IPv4 адрес, назначенный DHCP).
Откроется окно «Сетевые подключения». Нажмите правой кнопкой на адаптер, выберите «Свойства». Выберите «IP версии 4 (TCP/IPv4)», нажмите «Свойства». Установите переключатели.
Использовать следующий IP адрес.
IP адрес например 192.168.1.10 (в зависимости от вашей сети).
Маска подсети 255.255.255.0.
Основной шлюз адрес вашего роутера (например, 192.168.1.1).
Использовать следующие адреса DNS серверов.
Предпочитаемый DNS сервер 192.168.1.1 (или адрес вашего DNS, можно пока оставить 8.8.8.8).
Альтернативный DNS сервер 8.8.4.4.
Нажмите ОК, затем «Закрыть». Теперь сервер имеет постоянный адрес. Запишите его. Он понадобится для подключений.
Шаг 2. Изменение имени компьютера
Серверу нужно дать осмысленное имя, чтобы отличать его от других машин в сети.
В Диспетчере серверов нажмите на имя компьютера (рядом с «Компьютер: WORKGROUP»). Нажмите «Изменить свойства» (или правой кнопкой по «Этот компьютер», «Свойства», «Изменить параметры»). Нажмите «Изменить». В поле «Имя компьютера» введите новое имя. Например SRV-FILE-01. Только латиница, без пробелов, допустим дефис. Нажмите ОК, затем перезагрузитесь, если будет нужно.
Имя должно быть уникальным в сети. После перезагрузки проверьте, что сетевые настройки сохранились.
Шаг 3. Установка обновлений Windows
Свежеустановленный сервер почти наверняка содержит множество уязвимостей. Первым делом установите все критические обновления.
Откройте «Параметры» (значок шестерёнки в меню Пуск). «Обновление и безопасность», «Центр обновления Windows». Нажмите «Проверка наличия обновлений». Система найдёт доступные обновления и предложит установить. Установите все важные и критические обновления. Перезагружайтесь, пока они не закончатся.
Для Server Core (без графического интерфейса) используется команда sconfig или wuauclt. Но в нашей инструкции рассматривается версия с GUI.
Шаг 4. Включение удалённого рабочего стола
Администрировать сервер, сидя перед ним физически, прошлый век. Включаем RDP (Remote Desktop).
Откройте Диспетчер серверов, «Локальный сервер». Напротив пункта «Удалённый рабочий стол» нажмите «Отключено». Выберите «Разрешить удалённые подключения к этому компьютеру». Рекомендуется также включить «Только разрешать подключения с рабочих столов, использующих проверку подлинности на уровне сети (NLA)». Нажмите «Выбрать пользователей», если нужно добавить конкретных администраторов (по умолчанию доступ у администратора). Убедитесь, что в брандмауэре разрешён порт 3389 (обычно включается автоматически).
Теперь вы можете управлять сервером удалённо.
Шаг 5. Ввод сервера в существующий домен
Если у вас уже есть контроллер домена (Active Directory), рядовой сервер нужно ввести в домен, чтобы использовать централизованное управление.
В Диспетчере серверов нажмите на имя компьютера (текущее), «Изменить свойства». Нажмите «Изменить». Выберите «Член домена» и введите имя вашего домена, например company.local. Нажмите ОК. Система запросит учётные данные пользователя, имеющего право вводить компьютеры в домен (обычно администратор домена). Если всё правильно, появится приветствие домена. Перезагрузитесь. После перезагрузки войдите под доменной учётной записью (например COMPANY\administrator).
Перед вводом в домен убедитесь, что в настройках DNS сервера прописан адрес вашего DNS сервера домена (контроллера домена). Без правильного DNS вы не сможете найти домен.
Шаг 6. Если домена ещё нет, создаём новый домен
Если вы строите инфраструктуру с нуля, сервер сам станет контроллером домена. Для этого потребуется установить роль AD DS (Active Directory Domain Services).
Откройте Диспетчер серверов, нажмите «Управление», «Добавить роли и компоненты». Нажмите «Далее» до раздела «Роли сервера». Отметьте «Доменные службы Active Directory». Добавьте компоненты, нажмите «Далее» и установите.
После установки нажмите на флажок в верхней части Диспетчера серверов и выберите «Повысить роль этого сервера до контроллера домена». Выберите «Добавить новый лес», введите корневое имя домена (например company.local). Задайте режимы работы леса и домена (обычно оставляют последнюю версию Windows Server). Введите пароль DSRM. Пройдите мастер, проверьте параметры и нажмите «Установить». Сервер перезагрузится автоматически. После перезагрузки вы войдёте как администратор домена.
Теперь у вас есть собственный домен, и этот сервер его первый контроллер.
Шаг 7. Проверка после настройки
После ввода в домен или создания нового обязательно проверьте следующее.
Может ли сервер пинговать другие компьютеры домена по имени (проверка DNS). Работает ли вход под доменными учётками. Синхронизировано ли время (для домена это критично). Если время расходится более чем на 5 минут, аутентификация не пройдёт.
Для синхронизации времени можно настроить сервер как источник времени. В командной строке Windows выполните:
text
w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /reliable:yes /update
Возможные проблемы и их решение
ПроблемаПричинаРешениеНе удаётся войти в доменDNS настроен неправильно, сервер не видит контроллер доменаПроверьте, что в настройках сетевого адаптера DNS указывает на контроллер домена, выполните nslookup company.localОшибка «Сетевое имя недоступно» при попытке ввода в доменНеправильное имя домена или проблемы с сетьюПроверьте, что сервер видит контроллер домена по IPПосле ввода в домен пропал доступ в интернетDNS на сервере указывает только на контроллер домена, а он не умеет резолвить внешние именаНастройте на DNS сервере контроллера пересылку (forwarders) на внешние DNS (8.8.8.8)RDP не подключаетсяБрандмауэр блокирует порт 3389 или RDP отключёнПроверьте настройки удалённого рабочего стола и правила брандмауэра
После прохождения всех шагов вы получите готовый к работе сервер. С фиксированным IP, именем, обновлениями, удалённым доступом. И либо введённый в домен, либо сам ставший контроллером домена. Теперь можно устанавливать роли. Файловый сервер, печати, терминалов или 1С. В зависимости от задач.
Оригинал статьи: https://andko.ru/windows-server-nachalnaya-nastroika/