Основные команды для работы без графического интерфейса с

Основные команды для работы без графического интерфейса с
Windows Server 2008 Core
Рассел Смит
Выпуск Server Core представляет собой облегченный вариант операционной
системы Windows Server 2008, управляемый из командной строки вместо
графического интерфейса. В чем преимущества такого варианта? Пространство,
занимаемое Server Core (около 3 Мбайт), значительно меньше, чем у полного
экземпляра Windows Server. Конечно, 3 Мбайт нужны лишь для размещения
операционной системы и серверных ролей, в них не входят дополнительные
данные, такие как базы данных Active Directory (AD), которые могут потребоваться
для определенной серверной роли. Server Core устанавливает только необходимые
компоненты для поддерживаемых серверных ролей. В результате уменьшаются
возможности для атаки против операционной системы, повышается безопасность,
упрощаются обслуживание и управление (при сокращенном арсенале
инструментов). Новые технологии Server 2008, в частности BitLocker и контроллер
домена только для чтения (RODC), можно использовать в сочетании с Server Core
для дальнейшего повышения уровня безопасности.
Компенсируют ли сокращенные требования к ресурсам и повышенная
безопасность сервера такие недостатки, как сложность установки
и администрирования? Изучение процесса установки и некоторых основных
команд настройки поможет запустить Server Core и подключиться к сети, чтобы
самостоятельно найти ответ на этот вопрос.
Установка и настройка
Установка Server Core, в сущности, такая же, как и полной версии Server 2008;
достаточно выбрать вариант Server Core вместо Server в программе установки
(экран 1). Процедура установки Server Core очень простая и, как следовало
ожидать, проходит гораздо быстрее, чем у полного выпуска сервера.
После завершения установки пользователь получает приглашение нажать обычную
комбинацию клавиш Ctrl+Alt+Del, чтобы открыть диалоговое окно. Может
показаться немного странным, что затем появляется
приглашение зарегистрироваться как «другой
пользователь» (Other User). По умолчанию в Server Core
активен только один пользователь — администратор.
Поначалу для учетной записи администратора пароль не
определен; его необходимо установить при первой
регистрации в системе. Для этого нужно:
1. Щелкнуть Other User.
2. В диалоговом окне (экран 2) ввести имя
пользователя в верхнем поле, а нижнее (пароль)
оставить пустым. Далее щелкнуть на стрелке
справа от полей.
3. Ввести пароль.
Чтобы завершить сеанс, достаточно ввести в командной строке команду logoff.
Присвоение IP-адреса и имени узла для Server Core
Сетевому адаптеру можно назначить статический IP-адрес и DNS-сервер
с помощью команды netsh, так же как в полной версии Server 2008. Для назначения
IP-адреса используется команда
netsh interface ipv4 add address
«Local Area Connection»
192.168.1.100255.255.255.0
192.168.1.11
где 192.168.1.100 — IP-адрес, 255.255.255.0 — маска подсети, а 192.168.1.11 —
адрес шлюза. Конечно, команду следует ввести полностью без переноса строк.
Чтобы назначить DNS-сервер, введите
netsh interface ipv4 set dnsserver
«Local Area Connection»
static 192.168.1.101
где 192.168.1.101 — IP-адрес DNS-сервера.
Переименование и активизация сервера
Если нужно переименовать сервер, необходимо в первую очередь определить имя,
автоматически назначенное в процессе установки. Введите в командной строке
hostname, чтобы получить имя сервера, а затем выдайте две следующие команды,
чтобы изменить имя и перезагрузить сервер:
netdom renamecomputer
%computername%
/newname:servercore1
shutdown /r
После того как система Server Core будет подключена к Internet, можно
активизировать сервер, запустив следующую команду:
cscript c:windowssystem32
slmgr.vbs -ato
Активизация удаленного рабочего стола
Вероятно, два самых важных дистанционных инструмента для первоначального
администрирования Server Core — Remote Desktop и оснастка Windows Firewall
with Advanced Security консоли Microsoft Management Console (MMC). Сначала
будет показано, как активизировать и использовать Remote Desktop, а затем мы
рассмотрим удаленный доступ к Server Core с помощью консоли MMC и оснастки
Windows Firewall with Advanced Security.
Можно установить соединение Telnet с Server Core, но Remote Desktop является
предпочтительным методом, так как обеспечивает шифрование, проверку
подлинности сетевого уровня и другие удобные функции, например вырезания
и вставки. Но не рассчитывайте, что возможности Remote Desktop будут такими
же, как у полнофункциональной утилиты Windows Desktop, из которой можно
администрировать сервер. Как и в случае консоли, пользователю предоставляется
просто командная строка.
Из-за отсутствия инструмента командной строки или оснастки MMC, из которой
можно активизировать Remote Desktop в Server Core, необходимо запустить
сценарий scregedit.wsf, поставляемый вместе с Server Core. Scregedit содержит
различные функции, и только они в состоянии выполнить некоторые задачи,
например установить размер файла подкачки, включить службы терминала
и активизировать продукт. Для запуска scregedit на платформе Server Core
используйте команду
cscript c:windowssystem32
scregedit.wsf /AR 0
Чтобы обратиться к Server Core с использованием Remote Desktop из операционной
системы Windows, отличной от Vista, замените ключ /AR 0 на /CS 0. Полный
список возможностей scregedit можно увидеть с помощью команды
cscript c:windowssystem32
scregedit.wsf /cli
Проверка подлинности в Server Core из консоли MMC
В процессе начальной настройки или если Server Core будет использоваться как
автономный сервер, необходимо пройти проверку подлинности из удаленного
компьютера. В некоторых оснастках MMC можно указать имя пользователя
и пароль при подключении к удаленному компьютеру.
Самый простой способ получить дистанционный доступ из консоли MMC —
создать в Server Core локальную учетную запись пользователя с теми же именем
пользователя и паролем, что и у удаленной учетной записи, используемой для
запуска MMC. В результате проверка подлинности будет проходить прозрачно.
Новый пользователь, чтобы получить неограниченный доступ, должен быть
администратором в Server Core. Можно создать учетную запись пользователя
и добавить имя пользователя в группу администраторов с помощью следующей
команды:
net user /add <username>
<password>
net localgroup administrators
/add <username>
Если система Server Core присоединена к домену, то нужно удалить эту учетную
запись и использовать для проверки подлинности доменную учетную запись.
Независимо от того, является Server Core членом домена или автономным
сервером, следует подумать о настройке Windows Firewall with Advanced Security
на ограничение числа компьютеров, имеющих право дистанционного подключения
к системе Server Core.
Настройка брандмауэра Windows
Чтобы обеспечить доступ к данному компьютеру Server Core из оснастки Windows
Firewall with Advanced Security на любом компьютере, используемом для
администрирования, нужно зарегистрироваться в Server Core с учетной записью
администратора и ввести команду
netsh advfirewall set publicprofile
settings remotemanagement
enable
Для доступа к другим инструментам дистанционного администрирования, таким
как оснастка Event Viewer консоли MMC, запустите следующую команду на Server
Core, чтобы разрешить доступ через брандмауэр Windows:
netsh firewall set service
remoteadmin enable
После того как внесены основные изменения в брандмауэр Windows на системе
Server Core, можно использовать оснастку Windows Firewall with Advanced Security
с удаленного компьютера для дальнейшей настройки брандмауэра Server Core.
Кроме того, можно изменить правила брандмауэра, чтобы при необходимости
открыть доступ к Server Core только из определенных административных рабочих
станций. Для этого измените диапазон заранее определенных правил входящих
подключений для Windows Firewall Remote Management, Remote Desktop и Remote
Administration, составив список IP-адресов удаленных систем, с которых разрешен
доступ к Server Core. На экране 3 показано, как установить область действия
правила Windows Firewall Remote Management.
Правила брандмауэров связаны с одним из трех сетевых профилей: Domain, Private
или Public. По умолчанию Server Core использует сетевой профиль Public. Чтобы
определить текущий активный профиль, щелкните на узле Windows Firewall with
Advanced Security непосредственно под Console Root в окне MMC. В центральной
панели приведен обзор настроек брандмауэра, в том числе сведения об активном
профиле. Если изменить область правила, связанного с профилем, который
в данное время не активен, то изменения не вступят в силу.
Дополнительные сведения о настройке Windows Firewall with Advanced Security
приведены в статье «Встроенный брандмауэр Vista: признаки зрелости»,
опубликованной в Windows IT Pro/RE № 7 за 2007 г. Процесс настройки в Windows
Server 2008 и Vista аналогичен.
Доступ к файловой системе
Самый простой способ получить доступ к файловой системе Server Core —
использовать проводник Windows на административной рабочей станции
и сопоставить диски корневым административным общим ресурсам, которые по
умолчанию активизированы на Server Core (например, c$ и d$). Подключиться
к этим ресурсам можно только с помощью учетной записи, у которой есть
административные права на Server Core, и необходимо включить remoteadmin
с помощью команды netsh, как показано выше. Роль File Server устанавливается по
умолчанию, чтобы обеспечить доступ к этим административным ресурсам, но
можно установить и такие компоненты, как служба репликации файлов FRS.
Чтобы сопоставить сетевой диск с административным ресурсом на Server Core из
удаленного компьютера, используйте команду следующего вида:
net use z: 192.168.1.100c$
Присоединение Server Core к домену AD
Можно использовать команду netdom для присоединения Server Core
к существующему домену AD:
netdom add
/domain:
/userd:
/passwordd:
Установка серверных ролей и дополнительных компонентов
Server Core поддерживает серверные роли Active Directory Domain Services, Active
Directory Lightweight Directory Services (AD LDS), DHCP Server, DNS Server, File
Services, Print Server, Streaming Media Services, Web Server (IIS) и др. Полный
список серверных ролей и других поддерживаемых компонентов опубликован по
адресу www.microsoft.com/windowsserver2008/servercore.mspx .
За исключением роли Active Directory Domain Services, серверные роли
и компоненты устанавливаются с использованием команды ocsetup. Чтобы
составить список установленных серверных ролей и компонентов, запустите
команду oclist. Синтаксис ocsetup — одинаковый для ролей и компонентов.
Инструмент командной строки ocsetup чувствителен к регистру символов;
правильно выбрать символы для серверной роли или компонента можно,
просмотрев результаты работы команды oclist (экран 4). Следующая команда
устанавливает компонент Windows Backup:
start /w ocsetup
WindowsServerBackup
Команда start с ключом /w показывает пользователю, когда ocsetup завершила
установку новой роли или компонента, запрещая дальнейший вывод в командной
строке до завершения установки. Кроме того, пользователь не может запускать
другую команду, пока выполняется ocsetup.
Чтобы повысить уровень Server Core до контроллера домена (DC), необходимо
подготовить файл unattended.txt на полной версии Server 2008, а затем запустить
dcpromo, как показано ниже, на системе Server Core:
Dcpromo /unattend:
Другие способы администрирования Server Core
В дополнение к многочисленным методам дистанционного администрирования
Server Core можно использовать Windows Remote Shell (WinRS) в Vista. Клиент
WinRS передает команды слушателю WinRS на Server Core, который в свою
очередь передает их в командную строку и перенаправляет вывод клиенту WinRS.
Для настройки WinRS на Server Core выполните команду
winrm quickconfig
Эта команда выдает приглашения на выполнение пары шагов настройки WinRS.
Ниже приведен пример команды, дистанционно примененной к Server Core с
использованием WinRS. Обратите внимание, что это командная строка для
компьютера, который является DC или членом домена:
winrs -r:http://<servername>
ipconfig
Существенный недостаток WinRS заключается в том, что невозможен
интерактивный запуск команд.
Через вызовы WMI можно управлять Server Core с помощью таких
административных инструментов, как командная строка Windows Management
Instrumentation (WMIC) и PowerShell. К сожалению, Server Core не был напрямую
совместим с PowerShell во время подготовки данной статьи (версия Server Core
RC0), так как для PowerShell необходима инфраструктура .NET Framework.
Надеемся, что совместимость в следующих версиях будет обеспечена.
Активизация автоматических обновлений
Активизировать автоматические обновления в Server Core можно, изменив реестр
с помощью scregedit, а затем перезапустив службу Windows Update:
cscript c:windowssystem32
scregedit.wsf /au 4
net stop wuauserv
net start wuauserv
В версии Server Core RC0 команда scregedit с ключом /au 4 устанавливает время
проверки обновлений — 03.00. В Server 2008, /au 4 также автоматически
перезагружает сервер, если это требуется для обновления. Режим автоматического
обновления можно отключить, применив ключ /au 1, а затем перезапустив службу
Windows Update. Чтобы проверить значение, установленное для /au, используйте
последовательно ключи /au и /v.
Для немедленной проверки обновлений необходимо задействовать команду
wuauclt:
wuauclt /detectnow
Запуск антивирусных и других приложений
Server Core поддерживает программу Windows Installer, поэтому можно применить
команду msiexec для установки антивирусных и других сторонних приложений.
Кому нужен сервер без надежной антивирусной защиты и резервного
копирования? Но прежде чем развернуть такое решение, обратитесь к поставщику,
чтобы выяснить, совместим ли данный продукт с Server Core.
Из консоли можно запустить, по крайней мере, два приложения Windows: блокнот
и regedit. Это полезные инструменты, но немного странно, что можно запустить
regedit, но не dcpromo с простым графическим интерфейсом.
Потенциал пока не исчерпан
Одно из важнейших потенциальных применений Server Core (в качестве Webсервера) вряд ли получит быстрое распространение из-за несовместимости текущей
версии с .NET Framework. Другие возможности применения могут быть
реализованы в ситуациях, не требующих частого изменения конфигурации сервера,
таких как RODC. Учитывая тенденцию виртуализации, Server Core и компонент
гипервизора Server 2008 (слой программной виртуализации между аппаратными
средствами и операционной системой) совместно могут оказаться наиболее
востребованными возможностями нового поколения Windows Server.
Отсутствие графического интерфейса в Server Core не является недостатком. После
завершения основной настройки большинство других параметров можно
настраивать автоматически с использованием групповой политики, если сервер
входит в состав домена, или с помощью оснасток MMC на одном из удаленных
компьютеров. Заметно отсутствие PowerShell, новейшего решения Microsoft для
управления системой Windows из командной строки. Его планируется включить
в будущие версии продукта.
Несмотря на некоторые недостатки Server Core, возможность запускать Windows
в компактном варианте может привести к существенному выигрышу в надежности,
виртуализации и производительности.