共用方式為

伺服器核心部署 Windows Server 2008 R2: 最佳作法

  • 發行項

相對於完整的 Windows Server 部署,使用 Server Core 有簡便性和縮小攻擊面等眾多好處。

Brien M。 Posey

Windows Server 2008 R2 和 Windows Server 2008 提供您相當大的彈性時部署問題。 您可以部署為完整的安裝或 Server Core 設定中。

伺服器核心部署是輕量型的 Windows 伺服器部署,以最少的使用量。 伺服器核心部署缺少許多元件會取用授與在完整的 Windows 伺服器安裝中,因此有許多周圍伺服器核心的迷思。 我會 debunk 這些迷思部分,同時也提供使用伺服器核心部署的一些最佳作法。 所有下列的範例根據 Windows Server 2008 R2。

伺服器核心設定

其中一個大的迷思周圍伺服器核心是很難設定,因為您必須從命令提示字元執行整個組態。 幸好,有幾個工具,可讓您設定伺服器核心更加容易。

Windows Server 2008 R2 隨附的內建的公用程式,您可以藉由輸入 [SCONFIG] 指令,在命令提示字元叫用。 這個功能表為導向的公用程式可讓您執行基本的設定工作,例如指定 IP 位址、 變更電腦名稱或加入網域。

另一種可以大幅地簡化初始設定的工具是伺服器核心 Configurator 2.0 (請參閱圖 1)。 終結這個工具是更進一步簡化初始設定,而不是 SCONFIG。 它包含了 SCONFIG,與相同的功能,但也可讓您新增或移除伺服器角色,並管理控制台中的各種設定。 它甚至可讓您輸入的產品金鑰,並啟動伺服器。 下載從核心 Configurator coreconfig.codeplex.com/releases/view/36678

The Server Core Configurator provides a GUI interface for configuring Server Core

圖 1 的伺服器核心 Configurator 提供圖形使用者介面來設定伺服器的核心。

有限的使用

伺服器核心提供有限的服務,因為它不適合的所有相同的工作,您可以使用完整的 Windows Server 2008 R2 部署。 相反地,伺服器核心只能容納有限的數量的角色,沒有人會預設安裝。 您可以安裝這些角色包括:

  • Active Directory 憑證服務
  • Active Directory 網域服務
  • Active Directory 輕量型目錄服務
  • BranchCache 裝載快取
  • DHCP 伺服器
  • DNS 伺服器
  • 檔案服務
  • 媒體服務
  • 列印服務
  • Web 服務 (IIS)

是不可或缺的補充程式管理

某些 IT 專業人員都認為因為伺服器核心有這類較小的耗用量,他們可以將它視為應用裝置,而不是實際的伺服器。 這不是,則為 true,補充程式管理是不可或缺的管理工作時,不論系統是否正在執行伺服器核心或完整的 Windows 伺服器部署。

不過,因為伺服器核心不會有這類較小的耗用量,許多 Windows Server 修補程式不適用於伺服器核心環境。 因此,執行伺服器核心,可協助降低補充程式管理的負擔,但它永遠不會消失完全。

最佳作法分析程式

您最好的選擇,以確保您的伺服器核心部署遵循 Microsoft 建議的最佳作法是使用最佳作法分析程式。 這可能會有點困難,但沒有 GUI 項目。 您有兩個主要選項執行的最佳作法掃描。 是要執行掃描,直接從伺服器核心桌面。 另一個選項是從沒有 GUI 的另一部電腦上執行掃描。

要牢記在心的一件事是因為伺服器核心是由這類最基本的服務所組成,其實沒有任何類的一組設定核心作業系統的最佳作法。 在這種情況,最佳作法分析程式是伺服器特定角色。 如果您的伺服器正在執行只有核心 OS 而不需任何其他角色,您將無法執行基準線掃描。

掃描程序根據 BPA 模型使用。 這些模型是特定角色。 比方說,是 Hyper-V 模型和 Active Directory 模型。

命令列架構掃描

如果您想要從命令列執行的最佳作法掃描,您必須安裝 Windows PowerShell。 簡單的方法是執行 SCONFIG 命令,然後按一下 [設定遠端管理,",後面跟著"啟用 Windows PowerShell 」 (請參閱圖 2)。

You can use the SCONFIG utility to enable Windows PowerShell

圖 2 您可以使用 SCONFIG 公用程式 Windows PowerShell。

一旦您已安裝 Windows PowerShell,您必須安裝 Windows PowerShell,以及最佳作法分析程式指令程式的伺服器管理員] 指令程式。 使用部署映像服務與管理 (DISM) 工具,您可以執行這項操作。

一般而言,您可以使用 DISM 工具,來管理部署映像,但使用 /Online 切換,您可以直接使用 DISM 與目前的作業系統採取動作。 您可以輸入下列命令在命令提示安裝所需的 Windows PowerShell 指令程式 (請參閱圖 3):

DISM /Online /Enable-Feature /FeatureName:ServerManager-PSH-Cmdlets DISM /Online /Enable-Feature /FeatureName:BestPractices-PSH-Cmdlets

You can use the DISM command to install the necessary Windows PowerShell cmdlets

圖 3 您可以使用 DISM 命令以安裝必要的 Windows PowerShell 指令程式。

現在,您可以在有必要的元件,您可以執行的最佳作法掃描。 因為您必須透過 Windows PowerShell 執行掃描,請輸入 [PowerShell.exe] 指令。 當您這麼做時,[命令提示字元] 視窗會將轉換到 Windows PowerShell 的視窗。

您必須執行下一步就是匯入您先前已啟用指令程式。 兩個簡單的 Windows PowerShell 命令以執行這項操作:

Import-Module ServerManager Import-Module BestPractices

既然所有片段都存在,您應該驗證所需最佳作法分析程式模型已就緒。 輸入下列命令來執行這項操作:

Get-BPAModel

結果應該很像您在 [請參閱圖 4。 如果不沒有傳回任何結果,然後最佳作法分析程式將不會執行任何動作如果您嘗試執行掃描。

You can use the Get-BPAModel command to see which models are installed

圖 4 您可以使用 Get BPAModel 命令來查看已安裝的模型。

若要執行的最佳作法掃描最簡單的方法是使用這個命令:

Get-BPAModel | Invoke-BPAModel

這個命令中顯示的圖 5,針對所有安裝在伺服器上的模型執行的最佳作法掃描。

The best practices scan won’t display any results if the models aren’t in place

[圖 5 最佳作法掃描不會顯示任何結果,如果模型中的位置。

因為結果並不會自動顯示出來,輸入下列命令,以檢視它們:

Get-BPAModel | Get-BPAResult | Out-File "C:\BPA.txt"

這個命令會建立一個文字檔案的掃描結果。 您可以將檔案複製到另一個系統,或您可以使用下列命令來查看結果:

Type C:\BPA.TXT

您可以查看掃描結果中的外觀圖 6

This is what the scan results look like

圖 6 這是掃描結果看起來類似。

執行 GUI 最佳作法掃描

您也可以使用 GUI 執行伺服器核心部署的最佳作法掃描。 若要這樣做,您必須從執行 Windows Server 2008 R2 的伺服器上執行掃描,或您可以使用電腦與遠端伺服器管理工具中執行 Windows 7。 如果您決定使用 Windows 7 中,則您可以下載遠端伺服器管理工具,從 microsoft.com/download/en/details.aspx?displaylang=en 與識別碼 = 7887

類似的命令列架構的最佳作法掃描] 使用 GUI 掃描需要您具有核心伺服器上安裝的 Windows PowerShell。 您也必須啟用遠端 MMC 管理和伺服器管理員遠端管理。 您可以藉由輸入 SCONFIG 命令,並遵循下列步驟準備伺服器:

輸入的 4 (設定遠端管理)
輸入 2 (啟用 Windows PowerShell)
重新啟動伺服器
登入,並輸入 SCONFIG
輸入的 4 (設定遠端管理)
輸入 [1] (允許 MMC 執行遠端管理)
輸入的 3 (允許伺服器管理員遠端管理)
輸入 5 (返回主功能表)
輸入 13 (結束命令列)

若要執行掃描,開啟 [伺服器管理員,以滑鼠右鍵按一下您的伺服器在主控台樹狀目錄中的清單]。 然後從快顯功能表中選取要使用 「 連線到另一台電腦 」。 出現提示時,輸入您想要掃描的電腦名稱。

一旦連接到遠端伺服器核心機器,展開 [角色] 容器,然後選取您要執行的最佳作法掃描的角色。 當您捲動結果時,您應該會看到標示為最佳作法分析程式區段。 您可以按一下 [掃描這個角色連結掃描的角色。 如所示內的最佳作法分析程式] 區段中,會顯示掃描結果圖 7

You can scan a core server by using another server’s GUI

圖 7 可以掃描核心的伺服器使用另一部伺服器的 GUI。

Windows PowerShell

此處所述的程序的許多依賴伺服器核心電腦上所安裝的 Windows PowerShell。 除非您打算執行的應用程式需要 Windows PowerShell,您應該可能移動完成後使用初始設定和測試的最佳作法。

這聽起來或許很奇怪因為有很多的宣稱若您想要從命令列管理伺服器核心,您必須進行 Windows PowerShell 透過網際網路上的文章。 不過,伺服器核心被設計來從命令提示字元,不是從 Windows PowerShell 來管理。 事實上,第一個版本的伺服器核心甚至不會允許安裝 Windows PowerShell。 技術上來說,沒有與必須安裝在您的伺服器上的 Windows PowerShell 的錯誤。 不過,大部分的人使用伺服器核心因為其小和小攻擊面的因為有安裝 Windows PowerShell 增加伺服器的攻擊面。

您可以開啟命令提示字元視窗,並輸入下列命令來移除 Windows PowerShell (請參閱圖 8):

Start /W ocsetup MicrosoftWindowsPowerShell /Uninstall

You can use the Start /W OCSETUP Microsoft Windows PowerShell /Uninstall command to remove Windows PowerShell

圖 8 您可以使用 [啟動 /W OCSETUP Microsoft Windows PowerShell /Uninstall 指令,以移除 Windows PowerShell。

一些您可能納悶,為什麼我用開始 /W OCSETUP 命令而非 ServerManagerCMD。 為什麼我沒有使用 ServerManagerCMD 的兩個原因有:

  • 首先,ServerManagerCMD 是命令列介面,伺服器管理員。 伺服器管理員不存在於伺服器核心,所以使用 ServerManagerCMD 甚至不可行。
  • 不使用 ServerManagerCMD 的另一個理由是因為雖然指令會出現在 Windows Server 2008 R2 的完整安裝,命令已被取代。 Microsoft 想要開始使用 Windows PowerShell 指令程式來新增及移除功能,而不是依賴 ServerManagerCMD。 當然,您無法使用 Windows PowerShell 命令來移除 Windows PowerShell。

如您所見,用來管理伺服器核心技術有所不同用來管理一般的 Windows Server 2008 部署。 即使如此,伺服器核心是特別適用於在高安全性環境,或當您需要節省伺服器資源。

Brien Posey

**Brien Posey**類似 MVP,是數千個發行項與數十個要他信用卡活頁簿的自由技術作家。 您可以瀏覽 Posey 的網站,在 brienposey.com

相關內容