Служба развертывания windows server 2019 настройка

Добрый день! Многоуважаемые читатели и гости блога Pyatilistnik.org, казалось бы не так давно я вам рассказывал, о настройке Windows Server 2016, и прошло немного времени, как то же самое я вам хочу рассказать, про следующее поколение серверной операционной системы, а именно мы поговорим про базовую настройку Windows Server 2019 Standard. Мы поговорим, что нужно сделать на сервере, перед тем как его можно передавать заказчикам, разработчикам для внедрения новых корпоративных сервисов, думаю многим будет интересна данная информация.

Настройка windows server 2019 с нуля

В прошлый раз я вам подробнейшим образом показал процесс инсталляции серверной операционной системы Windows Server 2019 Standard. Как вы могли заметить, оно мало чем отличалось от предыдущих версий. После установки вы как ответственный системный инженер, просто не можете в таком виде отдать сервер в текущем состоянии вашим заказчикам, так как это покажет вас с не очень профессиональной стороны, незаконченность очень плохое состояние.

Что вы должны сделать перед сдачей сервера заказчикам:

1. Во первых вы должны выделить статическийIP-адрес для него, я знаю, что в интернете ходит много споров, нужен ли он серверу или нет, так как все можно реализовать на DCHP-сервере, с помощью все той же резервации, и что легко потом управлять ими, например через IPAM, может быть это и так, но я привык по старинке, надежным топорным методом, со статикой на сервере
2. Во вторых вы должны корректно присвоить ему имя, которое соответствует вашей политике именования серверов, это как в случае с называнием домена Active Directory. Данное имя будет фигурировать в зонах DNS-сервера.
3. Произвести установку последних обновлений Windows Server 2019. Не для кого не секрет, что ОС от редмондского гиганта, в плане защищенности и всевозможных глюков, которые называют фичами очень богата, так, что я вам настоятельно рекомендую периодически устанавливать свежие апдейты.
4. Отключить не нужные службы
5. Присоединить к домену Active Directorry
6. Установить необходимые роли или компоненты.

Настройка сети в Windows Server 2019

Перед тем как настроить сеть в 2019 сервере, вам необходимо у вашего сетевого инженера спросить, какой ip-адрес вы можете взять, его шлюз, DNS-сервера, при необходимости настроить правильный VLAN ID. В нормальных организациях трафик из разных сегментов принято разграничивать, серверный сегмент, пользовательский сегмент, сегмент управления. Когда у вас есть все реквизиты, то начинаем саму настройку.

Нажимаем сочетание клавиш WIN и R, чтобы у вас открылось окно выполнить, в котором вам нужно написать ncpa.cpl (Вызов сетевых настроек)

У вас появится окно «сетевые подключения» со списком доступных вам сетевых адаптеров. Щелкните по нужному правым кликом и выберите из контекстного меню пункт «Состояние»

На вкладке «Общие» вы увидите несколько кнопок:

• Сведения — покажет текущие сетевые настройки, аналог команды ipconfig
• Свойства — тут производятся сами настройки
• Отключить
• Диагностика

Для начала нажмите кнопку «Сведения», у вас откроется окно с текущим адресом, шлюзом и DNS-серверами, в моем случая я вижу сетевой сегмент, который был назначен DHCP-сервером. закрываем ее.

Теперь переходим к самой настройке сети, нажмите кнопку «Свойства», выберите протокол IPv4 и выберите свойства. В открывшемся окне переведите переключатель в пункт «Использовать следующий IP-адрес» и задаете:

Как только все готово, то сохраняем настройки пытаемся пропинговать DNS сервера или еще какой-нибудь сервер в сети, чтобы проверить соединение и правильность настроенной сети в Windows Server 2019.

Настройка имени и домена в Windows Server 2019

Следующим этапом базовой настройки Windows Server 2019 у нас будет правильное его именование и ввод в домен, напоминаю, что у вас должна быть какая-то система в вашей организации. Когда вы подобрали имя, то открывайте диспетчер серверов. Найти его можно в пунктах меню «Пуск».

В открывшейся оснастке «Диспетчер серверов», выберите пункт «Локальный сервер» и кликните по ссылке с полем «Имя компьютера»

У вас откроется окно «Имя компьютера» в котором вам необходимо нажать кнопку «Изменить»

Указываем новое имя сервера и при необходимости вводим его в домен.

Обращаю внимание, что для применения настроек, вам потребуется перезагрузить сервер.

Установка обновлений В WIndows Server 2019

Третьим этапом базовой настройки сервера 2019, является установка самых последних обновлений безопасности. Нажмите горячую комбинацию Win+I, в результате чего у вас откроется окно «Параметры Windows». Выберите там пункт «Обновление и безопасность»

У вас будет открыто окно центра обновления Windows, в котором вам нужно нажать кнопку «Проверки наличия обновлений»

Начнется проверка наличия обновлений, если они обнаружатся, то система их установит и потребует перезагрузки сервера.

Так же вам советую нажать кнопку «Дополнительные параметры» и в открывшемся окне активировать два пункта:

• При обновлении Windows предоставлять обновления для других продуктов Майкрософт
• Показать уведомление, когда компьютеру требуется перезагрузка для завершения обновления

Отключение лишних служб

Завершающим этапом базовой настройки Windows Server 2019, я могу выделить две вещи, во первых это отключение не используемых служб, для примера, откройте окно «Выполнить» и введите в нем services.msc.

У вас откроется оснастке «Службы» в которой вам нужно пробежаться глазами и выявить те, которые в состоянии «Выполняется», прочитать их описание и отключить. В моем примере, я точно знаю, что на этом сервере печати не будет, поэтому я выключаю службу «Диспетчер печати», через свойства.

В типе запуска я выставляю «Отключена» и затем нажимаю кнопку «Остановить», так же я поступаю и с DHCP, так как у меня статический IP-адрес.

И еще я вам советую слегка оптимизировать ваши локальные диски, отключив в свойствах разделов

Службу индексации, для этого снимите галку «разрешить индексировать содержимое файлов на этом диске в дополнение к свойствам файла», нажмите применить, вас спросят к чему, оставьте «К диску C:\ и ко всем вложенным папкам и файлам»

Подтвердите разрешение продолжить.

Далее нажимаем «Пропустить все»

И ждем применение атрибутов, после этого на уровне дисков, операционная система будет чуть меньше обращаться к дискам и создавать лишние IOPS.

Служба развертывания windows server 2019 настройка

WSUS (Windows Server Update Services) — служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2019 не сильно отличается от развертывания WSUS в операционной системе Windows server 2012, 2016.

Требования к установке WSUS

Процессор: 1,4 ГГц x64;

Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;

Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);

Сетевой адаптер: 100 Мбит/с или более.

Ввод сервера WSUS в домен

1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши — «Свойства«.

2. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем. Далее выбираем «IP версии 4 (TCP/IPv4)» — «Свойства«.

3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.

4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, в новом окне в поле «Имя компьютера» вписываем имя сервера, далее «ОК«. Далее необходимо перезагрузить компьютер.

5. После перезагрузки компьютера нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, выбираем «Является членом домена«, вписываем имя домена. Далее «ОК«.

6. Вводим имя и пароль учетной записи с правами на присоединение к домену.

7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен. «. Далее необходимо перезагрузить компьютер.

Установка роли сервера WSUS

1. Нажимаем «Пуск«, далее «Диспетчер серверов«.

2. Далее нажимаем «Добавить роли и компоненты«.

3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.

4. Выбираем «Установка ролей или компонентов«, затем «Далее«.

5. Выбираем сервер из пула серверов, нажимаем «Далее«.

6. Ставим чекбокс напротив «Службы Windows Server Update Services«.

7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.

8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.

9. Читаем на что обратить внимание, затем «Далее«.

.

10. Оставляем настройки по умолчанию, нажимаем «Далее«.

11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:\wsus), нажимаем «Далее«.

13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.

14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«.

15. Подтверждаем установку выбранных компонентов — «Установить«.

16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.

17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.

1. Открываем «Диспетчер серверов» — «Средства» — «Службы Windows Server Update Services«.

2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.

3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.

4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.

5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.

6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:

• Имеющиеся типы обновлений;
• Продукты, которые можно обновить;
• Доступные языки.

После получения необходимой информации, нажимаем «Далее«.

7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.

8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.

9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:

• Upgrades;
• Критические обновления;
• Накопительные пакеты обновления;
• Обновления определений;
• Обновления системы безопасности.

Нажимаем «Далее«.

10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.

.

11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.

12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.

Установка дополнительных компонентов, необходимых для работы отчетов WSUS

13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:

• Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
• Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).

Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.

14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.

15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.

16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на «Все компьютеры» — «Добавить группу компьютеров«.

17. В новом окне задаём имя для новой группы, нажимаем «Добавить«.

18. В данном случае добавляем группы компьютеров:

Создание и настройка групповых политик для WSUS

1. Открываем «Диспетчер серверов» — «Средства» — «Управление групповой политикой«.

2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на «Объекты групповой политики» — «Создать«.

3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:

4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику — «Изменить«. Для WSUS-servers:

Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:

Настройка автоматического обновления:

Включено

Настройка автоматического обновления — 3 — авт. загрузка и уведом. об устан

Установка по расписанию — время: 01:00

Указать размещение службы обновлений Майкрософт в интрасети

Включено

Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

Всегда автоматически перезагружаться в запланированное время

Отключено

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Включено

Разрешить клиенту присоединение к целевой группе

Включено

Имя целевой группы для данного компьютера: Servers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

Центр обновления Windows

автоматически

5. Для групповой политики WSUS-computers:

Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:

Настройка автоматического обновления:

Включено

Настройка автоматического обновления — 4 — авт. загрузка и устан. по расписанию

Установка по расписанию — день: 3 — каждый вторник

Установка по расписанию — время: 12:00

Указать размещение службы обновлений Майкрософт в интрасети

Включено

Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

Всегда автоматически перезагружаться в запланированное время

Отключено

Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях

Включено

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Включено

Разрешить клиенту присоединение к целевой группе

Включено

Имя целевой группы для данного компьютера: Сomputers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

Центр обновления Windows

автоматически

6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши — «Связать существующий объект групповой политики«. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.

1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.

Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь: