走进Windows Server 服务器核心Serve Core.docx

1、走进Windows Server 服务器核心Serve Core从 Windows Server 2008 开始，管理员可以选择安装具有特定功能但不包含任何不必要功能的 Windows Server 的最小安装服务器核心(Server Core)，它为一些特定服务的正常运行提供了一个最小的环境，从而减少了其他服务和管理工具可能造成的攻击和风险。服务器核心并不支持所有的服务器角色，它只提供了运行以下一个或多个服务器角色的环境：Windows Server 虚拟化、动态主机配置协议 (DHCP) 服务器、域名系统 (DNS) 服务、 文件服务器、Active Directory 目录服务 (AD

2、DS)、Active Directory 轻型目录服务 (AD LDS)、 Windows 媒体服务、打印管理等同时服务器核心还支持以下特征：群集服务器，网络负载平衡，Unix子系统，Windows Server Backup，MPIO，Removable Storage Management，Windows BitLocker驱动器加密，SNMP，Single Instance Storage以及Telnet客户端等特征。服务器核心为企业提供了以下主要好处：1、减少了软件维护：因为服务器核心仅安装使可管理的服务器运行支持的服务器角色所需的功能，所以服务器需要较少的软件维护。由于使用的是较小的

3、服务器核心安装，更新和修补程序的数量也相应减少，这样既节省了服务器使用的 WAN 带宽又缩短了 IT 人员的管理时间。2、减小了攻击面：因为减少了在服务器上安装和运行的文件，所以暴露给网络的攻击目标也有所减少；因此，攻击面也相应减小。管理员可以只安装给定服务器所需的特定服务，将暴露风险降低到绝对的最低值。3、减少了要求重新启动的次数，减小了所需的磁盘空间：使用最小的服务器核心安装时，需要更新或修补的已安装组件有所减少，需要重新启动的次数也相应减少。服务器核心安装只安装提供所需功能需要的最少文件，所以减小了在服务器上使用的磁盘空间。通过选择在服务器上使用服务器核心安装选项，管理员可以降低服务器的

4、管理和软件更新要求，同时降低安全风险。一、安装在安装服务器核心之前，我们必须注意到：服务器核心不支持从以前版本的服务器操作系统和完整2008的升级安装，也没办法从安装成功的服务器核心升级到Windows Server 2008。同时，在虚拟机场景下安装服务器核心时，需将虚拟机的内存调整到一个适当大小的值，否则可能会因为内存太小，而不能安装服务器核心。由于服务器核心的安装比较简单，在此不作具体介绍。二、管理和维护服务器核心需要通过命令行的方式来进行初始配置，服务器核心中不包括传统的用户界面，一经配置完成，用户可以通过四种方法来管理服务器核心服务器，即使用本地或远程的Windows 命令行管理工具

5、；通过终端服务管理；通过微软管理控制台（MMC）进行管理；或通过Windows Remote Shell进行管理。需要注意的是：要管理Server Core，需要为Server Core 服务器提供一个管理员权限的帐户，同时应该说命令能完全绝对大多数的管理任务，但考虑到管理员对命令的熟悉程度及管理任务的难度，为了减轻管理时间和难度，有些管理任务（DHCP、DNS等）使用远程计算机的微软管理控制台来管理。以下是管理服务器核心的具体操作命令：1、设置本地Administrator用户的密码Net user administrator *注意命令中要包括（*）然后按下Enter键，之后再键入管理员密

6、码，这样密码将不会直接暴露在屏幕上，而是用*替代。2、显示计算机的相关信息hostnamesetsysteminfoipconfig /all3、显示网卡信息Netsh interface ipv4 show interfaces通过这条命令，可以显示当前计算机的网卡的连接状态、IDX号和名称等信息保存当前的配置Netsh interface dump myconfig.dat（将当前的网络配置保存到myconfig.dat文件中）恢复网络配置Netsh exec myconfig.dat (从备份文件中恢复网络配置)4、设置网卡的ipv4静态地址netsh interface ipv4 se

7、t address name= source=static address= mask= gateway=NAME=可以是从上一步命令得到的网卡的IDX号，也可以是网卡名称。StaticIP为网卡的静态IPV4地址，SubnetMask为子网码，DefaultGateway为网关地址。例：Netsh interface ipv4 set address name=10 static 192.168.0.2 255.255.255.0 192.168.0.1或Netsh interface ipv4 set address name=本地连接 static 192.168.0.2 255.255

8、.255.0 192.168.0.15、设置网卡的静态DNS服务器地址netsh interface ipv4 add dnsserver name= address= index=1当有多个DNS服务器地址，必须重复使用此条命令，同时 index后的值必须跟着增加。动态指定DNS服务器地址netsh interface ipv4 set dnsserver name= dhcp6、设置网卡自动获得IP地址Netsh interface ipv4 set address name=idx source=DHCP7、重命名网络适配器netsh interface set interface na

9、me=oldname newname=newname8、禁用网络适配器:netsh interface set interface name=name admin=DISABLED9、将计算机加入到域netdom join ComputerName /domain:DomainName /userd:UserName /passwordd:*注意，这里的ComputerName 是服务器机器名，DomainName 是加入域的域名，UserName是有权限加入域的域用户名。回车键入域用户的密码，操作成功后重启计算机即可加入到域。10、从域中删除计算机netdom remove Computer

10、Name /domain:DomainName /userd:UserName /passwordd:*11、加入到域的计算机的重命名Netdom renamecomputer %computername% /NewName: /userd: /password:*12、没有加入域的计算机的重命名Netdom renamecomputer currentcomputername/NewName:或Wmic computersystem where name=”%computername%” rename name=”new_name”13、重启或关闭计算机Shutdown r t 0 (启动计

11、算机)Shutdwon s t 0(关闭计算机 t设置关闭计算机的超时间，范围从0-600秒，默认为30秒)14、启用或禁用休眠功能Powercfg h on:启用，off:禁用15、系统时钟配置计算机的时钟与域中PDC仿真器同步w32tm /config /update /syncfromflags:DOMHIER立即同步计算机时钟w32tm.exe /resync /nowait16、配置Server Core计算机使用Windows Remote Shell管理在Server Core上运行WinRM quickconfig，使计算机能够远程的Windows Remote Shell连接

12、；在远程计算机上运行：winrs -r: cmd，为安装Server Core的计算机名，cmd为执行的具体命令。例如：winrs -r:MyServerCore dir c:;17、服务器的激活自动激活服务器slmgr.vbs ato远程激活cscript slmgr.vbs -ato 显示详细的许可证信息cscript slmgr.vbs dlv18、调整日期和时钟 control timedate.cpl.区域和语言选项设置 control intl.cpl.19、允许PING入netsh firewall set icmpsetting 8禁止PING入netsh firewall s

13、et icmpsetting 8 disable也可以通过远程计算机的防火墙控制台进行控制20、用户管理将用户添加到本地管理员组net localgroup Administrators /add 将用户从本地管理员组中删除net localgroup Administrators /delete 21、查询安装的驱动程序sc query type= driver22、安装新硬件的驱动程序进入硬件驱动程序所在文件夹，运行pnputil -i -a ，driverinf是硬件驱动程序的INF文件名。23、删除已安装的驱动程序sc delete 24、服务操作显示正在运行的服务sc query或n

14、et start启动服务sc start 或net start 停止服务sc stop 或 net stop 25、页面文件操作设置页面文件wmic pagefileset where name=” set InitialSize=,MaximumSize=例如：wmic pagefileset where name=”c:pagefile.sys” set InitialSize=500,MaximumSize=1000设置C盘的页文件初始值为500MB，最大值为1000MB取消系统页面文件管理Wmic computersystem where name=” set AutomaticMan

15、agedPagefile=False26、改变工作组Wmic computersystem where name=” call joindomainorworkgroup name=” ”27、手动修补程序手动修补程序：从网站下载更新包，然后运行Wusa .msu /quiet卸载安装的修补程序首先用Expand /f:* .msu 将已安装的修补程序展到到一个文件夹，然后编辑文件夹中.xml，将全部Install用 Remove字符替换；最后运行Pkgmgr /n:.xml。查询已安装的修补程序列表: wmic qfe list28、自动更新操作Cscript C:WindowsSystem

16、32 Scregedit.wsf /AU /vvalue/v 查看当前的自动更新设置 Value： 4 - 启用自动更新 1 - 禁用自动更新29、更改 DNS SRV 记录的优先级Cscript C:WindowsSystem32 Scregedit.wsf /DP /vvalue /v 查看 DNS SRV 优先级设置 Value： (值从 0 到 65535，推荐值为 200)30、更改 DNS SRV 记录的权重Cscript C:WindowsSystem32 Scregedit.wsf /DW /vvalue /v 查看 DNS SRV 权重设置 value (值从 0 到 655

17、35，推荐值为 50)31、事件日志管理列出日志类型wevtutil el查询指定日志类型的事件wevtutil qe /f:text 输出事件日志类型wevtutil epl 清除日志wevtutil cl 32、管理服务器角色和特征显示服务器角色和特征及安装情况Oclist安装活动目录角色对于活动目录角色，必须使用Dcpromo /unattend:Unattendfile。这里，Unattendfile是dcpromo 无人职守应答文件的名称，注意Dcpromo 也可以在降级域控制器到成员服务器时使用。安装其它角色和特征start /w ocsetup ；是需安装的、通过Oclist获取

18、服务器角色和特征名，注意名称讲究大小写；/W:启动应用程序并等待结束。卸载已安装的其它角色和特征start /w ocsetup /uninstall例如：start /w ocsetup DNS-Server-Core-Role 安装DNS服务器角色，然后利用dnscmd命令或远程使用DNS 管理控制台进行管理。start /w ocsetup DNS-Server-Core-Role /uninstall卸载DNS服务器角色start /w ocsetup DHCPServerCore 安装DHCP服务器角色，然后利用Netsh命令或远程使用DHCP 管理控制台进行管理。如果是在活动目录下

19、安装DHCP服务器，还必须在活动目录中授权。start /w ocsetup DHCPServerCore /uninstall 卸载DHCP服务器角色33、客户体验改善计划（CEIP）的管理显示 Windows Server 客户体验改善计划参与状态ServerCEIPOptin /query启用 Windows Server 客户体验改善计划ServerCEIPOptin /enable禁用 Windows Server 客户体验改善计划ServerCEIPOptin /disable34、错误报告的管理显示 Windows 错误报告选择性加入状态ServerWerOptin /query

20、使用 Windows 错误报告自动发送摘要报告ServerWerOptin /summary使用 Windows 错误报告自动发送详细报告ServerWerOptin /detailed禁用 Windows 错误报告ServerWerOptin /disable 。35、使用终端服务客户管理服务器核心首先在服务器核心允许终端服务管理模式接受远程连接cscript C:WindowsSystem32 Scregedit.wsf /ar 0如果运行的是以前版本的终端服务客户端，必须运行cscript C:WindowsSystem32Scregedit.wsf /cs 0允许以前版本的连接其次配置

21、允许远程RDP连接通过防火墙netsh advfirewall firewall set rule group=Remote Desktop new enable=yes最后在远程计算机上运行mstsc或打开远程桌面连接，然后输入服务器的计算机名或IP地址，进行连接。随后，使用管理员帐户登录，当命令行窗口出现后，使用命令行完成管理，最后键入logoff 结束会话。36、防火墙的管理使用Netsh firewall命令来管理防火墙显示防火墙的状态Netsh firewall show state;如果显示Operational mode操作模式为Enable则表明启用了防火墙；为Disable则

22、表明禁用防火墙；启用禁用启用防火墙Netsh firewall set opmode ENABLE|DISABLE ： ENABLE启用防火墙、 DISABLE - 禁用防火墙。设置防火墙端口配置Netsh firewall set portopening protocol = TCP|UDP|ALL port = 1-65535 name = name mode = ENABLE|DISABLE 参数: protocol - 端口协议。 TCP - 传输控制协议(TCP)。 UDP - 用户数据报协议(UDP)。 ALL - All 协议。 port - 端口号。 name - 端口名(可选

23、)。 mode - 端口模式(可选)。 ENABLE - 允许通过防火墙(默认值)。 DISABLE - 不允许通过防火墙(默认值)。例如：打开打印机和文件共享 Netsh firewall set portopening TCP 139 NetBios_139 Netsh firewall set portopening TCP 445 NetBios_445Netsh firewall set portopening UDP 137 NetBios_137Netsh firewall set portopening UDP 138 NetBios_138（139端口：NetBIOS 会话服

24、务；445端口TCP 上的 SMB；137端口：NetBIOS 名称服务138端口：NetBIOS 数据报服务；）允许远程桌面Netsh firewall set portopening TCP 3389 RemoteDesktop37、其它命令磁盘分区管理：Diskpart /?例：以下利用DISKPART命令对第二个块硬盘进行磁盘分区管理：DiskpartList disk （列出所有磁盘）Select disk 1 （选择新添加的磁盘，1为新加磁盘的硬盘号）Create partition primary（将整个硬盘划分为主分区，如果要指定大小，后加参数size=XXXX,单位MB）As

25、sign letter=E （分配盘符E）Format fs=ntfs label=”diske” quick （将分区快速格式化为NTFS格式，卷标为diske）List volume(列出所有卷，会发现E盘)软件RAID管理：Diskraid /?卷加载点管理：Mountvol /?磁盘碎片管理：Defrag /?压缩文件：Compact /?例：Compact c:123123.txt /c 压缩c:123的文件123.txt Compact c:123123.txt /u 将c:123的文件123.txt解压缩已打开的文件管理：Openfiles /?将FAT卷转换成NTFS：Conv

26、ert /fs:ntfs允许远程过程调用Netsh firewall set portopening TCP 135 RemoteAdmin显示当前防火墙配置Netsh firewall show config三、说明1、服务器核心不支持Winver.exe命令，要获取版本信息，需使用Systeminfo.exe命令。2、服务器核心单独不支持单独运行Control.exe命令，Control.exe必须和Timedate.cpl 或 Intl.cpl一起运行，同时其它的控制面版设置control命令不支持。3、使用磁盘管理控制台远程管理时，必须在服务器核心上运行 Net Start VDS命令启动虚拟磁盘服务。4、有些命令（重命名计算机名等）操作运行后，必须重启计算机才能有效。5、有些命令的参数在XP和2008中有所差别，例如在XP下使用netsh interface ip set dns设置DNS服务器地址。具体参数参考命令帮忙。