Выпуск Server Core представляет собой облегченный вариант операционной системы Windows Server 2008, управляемый из командной строки вместо графического интерфейса. В чем преимущества такого варианта? Пространство, занимаемое Server Core (около 3 Мбайт), значительно меньше, чем у полного экземпляра Windows Server. Конечно, 3 Мбайт нужны лишь для размещения операционной системы и серверных ролей, в них не входят дополнительные данные, такие как базы данных Active Directory (AD), которые могут потребоваться для определенной серверной роли. Server Core устанавливает только необходимые компоненты для поддерживаемых серверных ролей. В результате уменьшаются возможности для атаки против операционной системы, повышается безопасность, упрощаются обслуживание и управление (при сокращенном арсенале инструментов). Новые технологии Server 2008, в частности BitLocker и контроллер домена только для чтения (RODC), можно использовать в сочетании с Server Core для дальнейшего повышения уровня безопасности.

Компенсируют ли сокращенные требования к ресурсам и повышенная безопасность сервера такие недостатки, как сложность установки и администрирования? Изучение процесса установки и некоторых основных команд настройки поможет запустить Server Core и подключиться к сети, чтобы самостоятельно найти ответ на этот вопрос.

Установка и настройка

Установка Server Core, в сущности, такая же, как и полной версии Server 2008; достаточно выбрать вариант Server Core вместо Server в программе установки (экран 1). Процедура установки Server Core очень простая и, как следовало ожидать, проходит гораздо быстрее, чем у полного выпуска сервера.

Экран 1. Установка Server Core

После завершения установки пользователь получает приглашение нажать обычную комбинацию клавиш Ctrl+Alt+Del, чтобы открыть диалоговое окно. Может показаться немного странным, что затем появляется приглашение зарегистрироваться как «другой пользователь» (Other User). По умолчанию в Server Core активен только один пользователь — администратор. Поначалу для учетной записи администратора пароль не определен; его необходимо установить при первой регистрации в системе. Для этого нужно:

  1. Щелкнуть Other User.
  2. В диалоговом окне (экран 2) ввести имя пользователя в верхнем поле, а нижнее (пароль) оставить пустым. Далее щелкнуть на стрелке справа от полей.
  3. Ввести пароль.

Чтобы завершить сеанс, достаточно ввести в командной строке команду logoff.

Присвоение IP-адреса и имени узла для Server Core

Сетевому адаптеру можно назначить статический IP-адрес и DNS-сервер с помощью команды netsh, так же как в полной версии Server 2008. Для назначения IP-адреса используется команда

netsh interface ipv4 add address
   «Local Area Connection»
   192.168.1.100255.255.255.0
   192.168.1.11

где 192.168.1.100 — IP-адрес, 255.255.255.0 — маска подсети, а 192.168.1.11 — адрес шлюза. Конечно, команду следует ввести полностью без переноса строк.

Чтобы назначить DNS-сервер, введите

netsh interface ipv4 set dnsserver
   «Local Area Connection»
   static 192.168.1.101

где 192.168.1.101 — IP-адрес DNS-сервера.

Переименование и активизация сервера

Если нужно переименовать сервер, необходимо в первую очередь определить имя, автоматически назначенное в процессе установки. Введите в командной строке hostname, чтобы получить имя сервера, а затем выдайте две следующие команды, чтобы изменить имя и перезагрузить сервер:

netdom renamecomputer
   %computername%
   /newname:servercore1
shutdown /r

После того как система Server Core будет подключена к Internet, можно активизировать сервер, запустив следующую команду:

cscript c:windowssystem32
   slmgr.vbs -ato

Активизация удаленного рабочего стола

Вероятно, два самых важных дистанционных инструмента для первоначального администрирования Server Core — Remote Desktop и оснастка Windows Firewall with Advanced Security консоли Microsoft Management Console (MMC). Сначала будет показано, как активизировать и использовать Remote Desktop, а затем мы рассмотрим удаленный доступ к Server Core с помощью консоли MMC и оснастки Windows Firewall with Advanced Security.

Можно установить соединение Telnet с Server Core, но Remote Desktop является предпочтительным методом, так как обеспечивает шифрование, проверку подлинности сетевого уровня и другие удобные функции, например вырезания и вставки. Но не рассчитывайте, что возможности Remote Desktop будут такими же, как у полнофункциональной утилиты Windows Desktop, из которой можно администрировать сервер. Как и в случае консоли, пользователю предоставляется просто командная строка.

Из-за отсутствия инструмента командной строки или оснастки MMC, из которой можно активизировать Remote Desktop в Server Core, необходимо запустить сценарий scregedit.wsf, поставляемый вместе с Server Core. Scregedit содержит различные функции, и только они в состоянии выполнить некоторые задачи, например установить размер файла подкачки, включить службы терминала и активизировать продукт. Для запуска scregedit на платформе Server Core используйте команду

cscript c:windowssystem32
   scregedit.wsf /AR 0

Чтобы обратиться к Server Core с использованием Remote Desktop из операционной системы Windows, отличной от Vista, замените ключ /AR 0 на /CS 0. Полный список возможностей scregedit можно увидеть с помощью команды

cscript c:windowssystem32
   scregedit.wsf /cli

Проверка подлинности в Server Core из консоли MMC

В процессе начальной настройки или если Server Core будет использоваться как автономный сервер, необходимо пройти проверку подлинности из удаленного компьютера. В некоторых оснастках MMC можно указать имя пользователя и пароль при подключении к удаленному компьютеру.

Самый простой способ получить дистанционный доступ из консоли MMC — создать в Server Core локальную учетную запись пользователя с теми же именем пользователя и паролем, что и у удаленной учетной записи, используемой для запуска MMC. В результате проверка подлинности будет проходить прозрачно. Новый пользователь, чтобы получить неограниченный доступ, должен быть администратором в Server Core. Можно создать учетную запись пользователя и добавить имя пользователя в группу администраторов с помощью следующей команды:

net user /add
  
net localgroup administrators
   /add

Если система Server Core присоединена к домену, то нужно удалить эту учетную запись и использовать для проверки подлинности доменную учетную запись. Независимо от того, является Server Core членом домена или автономным сервером, следует подумать о настройке Windows Firewall with Advanced Security на ограничение числа компьютеров, имеющих право дистанционного подключения к системе Server Core.

Настройка брандмауэра Windows

Чтобы обеспечить доступ к данному компьютеру Server Core из оснастки Windows Firewall with Advanced Security на любом компьютере, используемом для администрирования, нужно зарегистрироваться в Server Core с учетной записью администратора и ввести команду

netsh advfirewall set publicprofile
   settings remotemanagement
   enable

Для доступа к другим инструментам дистанционного администрирования, таким как оснастка Event Viewer консоли MMC, запустите следующую команду на Server Core, чтобы разрешить доступ через брандмауэр Windows:

netsh firewall set service
   remoteadmin enable

После того как внесены основные изменения в брандмауэр Windows на системе Server Core, можно использовать оснастку Windows Firewall with Advanced Security с удаленного компьютера для дальнейшей настройки брандмауэра Server Core. Кроме того, можно изменить правила брандмауэра, чтобы при необходимости открыть доступ к Server Core только из определенных административных рабочих станций. Для этого измените диапазон заранее определенных правил входящих подключений для Windows Firewall Remote Management, Remote Desktop и Remote Administration, составив список IP-адресов удаленных систем, с которых разрешен доступ к Server Core. На экране 3 показано, как установить область действия правила Windows Firewall Remote Management.

Экран 3. Изменение области действия правила входящего трафика брандмауэра Windows 

Правила брандмауэров связаны с одним из трех сетевых профилей: Domain, Private или Public. По умолчанию Server Core использует сетевой профиль Public. Чтобы определить текущий активный профиль, щелкните на узле Windows Firewall with Advanced Security непосредственно под Console Root в окне MMC. В центральной панели приведен обзор настроек брандмауэра, в том числе сведения об активном профиле. Если изменить область правила, связанного с профилем, который в данное время не активен, то изменения не вступят в силу.

Дополнительные сведения о настройке Windows Firewall with Advanced Security приведены в статье «Встроенный брандмауэр Vista: признаки зрелости», опубликованной в Windows IT Pro/RE № 7 за 2007 г. Процесс настройки в Windows Server 2008 и Vista аналогичен.

Доступ к файловой системе

Самый простой способ получить доступ к файловой системе Server Core — использовать проводник Windows на административной рабочей станции и сопоставить диски корневым административным общим ресурсам, которые по умолчанию активизированы на Server Core (например, c$ и d$). Подключиться к этим ресурсам можно только с помощью учетной записи, у которой есть административные права на Server Core, и необходимо включить remoteadmin с помощью команды netsh, как показано выше. Роль File Server устанавливается по умолчанию, чтобы обеспечить доступ к этим административным ресурсам, но можно установить и такие компоненты, как служба репликации файлов FRS.

Чтобы сопоставить сетевой диск с административным ресурсом на Server Core из удаленного компьютера, используйте команду следующего вида:

net use z: 192.168.1.100c$

Присоединение Server Core к домену AD

Можно использовать команду netdom для присоединения Server Core к существующему домену AD:

netdom add
   /domain:
   /userd:
   /passwordd:

Установка серверных ролей и дополнительных компонентов

Server Core поддерживает серверные роли Active Directory Domain Services, Active Directory Lightweight Directory Services (AD LDS), DHCP Server, DNS Server, File Services, Print Server, Streaming Media Services, Web Server (IIS) и др. Полный список серверных ролей и других поддерживаемых компонентов опубликован по адресу www.microsoft.com/windowsserver2008/servercore.mspx .

За исключением роли Active Directory Domain Services, серверные роли и компоненты устанавливаются с использованием команды ocsetup. Чтобы составить список установленных серверных ролей и компонентов, запустите команду oclist. Синтаксис ocsetup — одинаковый для ролей и компонентов. Инструмент командной строки ocsetup чувствителен к регистру символов; правильно выбрать символы для серверной роли или компонента можно, просмотрев результаты работы команды oclist (экран 4). Следующая команда устанавливает компонент Windows Backup:

start /w ocsetup
   WindowsServerBackup

Экран 4. Результаты работы команды oclist 

Команда start с ключом /w показывает пользователю, когда ocsetup завершила установку новой роли или компонента, запрещая дальнейший вывод в командной строке до завершения установки. Кроме того, пользователь не может запускать другую команду, пока выполняется ocsetup.

Чтобы повысить уровень Server Core до контроллера домена (DC), необходимо подготовить файл unattended.txt на полной версии Server 2008, а затем запустить dcpromo, как показано ниже, на системе Server Core:

Dcpromo /unattend:

Другие способы администрирования Server Core

В дополнение к многочисленным методам дистанционного администрирования Server Core можно использовать Windows Remote Shell (WinRS) в Vista. Клиент WinRS передает команды слушателю WinRS на Server Core, который в свою очередь передает их в командную строку и перенаправляет вывод клиенту WinRS. Для настройки WinRS на Server Core выполните команду

winrm quickconfig

Эта команда выдает приглашения на выполнение пары шагов настройки WinRS.

Ниже приведен пример команды, дистанционно примененной к Server Core с использованием WinRS. Обратите внимание, что это командная строка для компьютера, который является DC или членом домена:

winrs -r:http://
   ipconfig

Существенный недостаток WinRS заключается в том, что невозможен интерактивный запуск команд.

Через вызовы WMI можно управлять Server Core с помощью таких административных инструментов, как командная строка Windows Management Instrumentation (WMIC) и PowerShell. К сожалению, Server Core не был напрямую совместим с PowerShell во время подготовки данной статьи (версия Server Core RC0), так как для PowerShell необходима инфраструктура .NET Framework. Надеемся, что совместимость в следующих версиях будет обеспечена.

Активизация автоматических обновлений

Активизировать автоматические обновления в Server Core можно, изменив реестр с помощью scregedit, а затем перезапустив службу Windows Update:

cscript c:windowssystem32
   scregedit.wsf /au 4
net stop wuauserv
net start wuauserv

В версии Server Core RC0 команда scregedit с ключом /au 4 устанавливает время проверки обновлений — 03.00. В Server 2008, /au 4 также автоматически перезагружает сервер, если это требуется для обновления. Режим автоматического обновления можно отключить, применив ключ /au 1, а затем перезапустив службу Windows Update. Чтобы проверить значение, установленное для /au, используйте последовательно ключи /au и /v.

Для немедленной проверки обновлений необходимо задействовать команду wuauclt:

wuauclt /detectnow

Запуск антивирусных и других приложений

Server Core поддерживает программу Windows Installer, поэтому можно применить команду msiexec для установки антивирусных и других сторонних приложений. Кому нужен сервер без надежной антивирусной защиты и резервного копирования? Но прежде чем развернуть такое решение, обратитесь к поставщику, чтобы выяснить, совместим ли данный продукт с Server Core.

Из консоли можно запустить, по крайней мере, два приложения Windows: блокнот и regedit. Это полезные инструменты, но немного странно, что можно запустить regedit, но не dcpromo с простым графическим интерфейсом.

Потенциал пока не исчерпан

Одно из важнейших потенциальных применений Server Core (в качестве Web-сервера) вряд ли получит быстрое распространение из-за несовместимости текущей версии с .NET Framework. Другие возможности применения могут быть реализованы в ситуациях, не требующих частого изменения конфигурации сервера, таких как RODC. Учитывая тенденцию виртуализации, Server Core и компонент гипервизора Server 2008 (слой программной виртуализации между аппаратными средствами и операционной системой) совместно могут оказаться наиболее востребованными возможностями нового поколения Windows Server.

Отсутствие графического интерфейса в Server Core не является недостатком. После завершения основной настройки большинство других параметров можно настраивать автоматически с использованием групповой политики, если сервер входит в состав домена, или с помощью оснасток MMC на одном из удаленных компьютеров. Заметно отсутствие PowerShell, новейшего решения Microsoft для управления системой Windows из командной строки. Его планируется включить в будущие версии продукта.

Несмотря на некоторые недостатки Server Core, возможность запускать Windows в компактном варианте может привести к существенному выигрышу в надежности, виртуализации и производительности.


Рассел Смит (rms@russell-smith.net ) — независимый ИТ-консультант, специализируется на управлении системами