Системное администрирование и мониторинг Linux/Windows серверов и видео CDN
Статьи по настройке и администрированию Windows/Linux систем
Установка, настройка и тюнинг Windows server 2012
Заметка о моем первом знакомстве с Windows server 2012. Здесь я хотел бы описать быструю установку, бесплатную активацию и базовую настройку под себя Windows server 2012. Я уже привык к Windows 7, но на днях захотелось попробовать Hyper-V, вот и решил установить что-то свеженькое, что нейтивно поддерживает этот вид аппаратной виртуализации.
Для начала можно скачать любой MSDN образ Windows server 2012. Также можно скачать пробную 180 дневную версию, но я использовал оригинальный образ. Также нужно запастись активатором. После поисков в сети мне подошел больше всего Microsoft Toolkit версии 2.4.9 (последняя версия на данный момент).
Установка
Я не буду описывать каждый шаг установки – все что нужно делать, это жать далее пока не дойдём до ввода ключа активации продукта. Далее нужно ввести один из ключиков, в зависимости от выбранной ОС.
Windows Server 2012 R2 and Windows 8.1
| Operating system edition | KMS Client Setup Key |
| Windows 8.1 Professional | GCRJD-8NW9H-F2CDX-CCM8D-9D6T9 |
| Windows 8.1 Professional N | HMCNV-VVBFX-7HMBH-CTY9B-B4FXY |
| Windows 8.1 Enterprise | MHF9N-XY6XB-WVXMC-BTDCT-MKKG7 |
| Windows 8.1 Enterprise N | TT4HM-HN7YT-62K67-RGRQJ-JFFXW |
| Windows Server 2012 R2 Server Standard | D2N9P-3P6X9-2R39C-7RTCD-MDVJX |
| Windows Server 2012 R2 Datacenter | W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9 |
| Windows Server 2012 R2 Essentials | KNC87-3J2TX-XB4WP-VCPJV-M4FWM |
Windows Server 2012 and Windows 8
| Operating system edition | KMS Client Setup Key |
| Windows 8 Professional | NG4HW-VH26C-733KW-K6F98-J8CK4 |
| Windows 8 Professional N | XCVCF-2NXM9-723PB-MHCB7-2RYQQ |
| Windows 8 Enterprise | 32JNW-9KQ84-P47T8-D8GGY-CWCK7 |
| Windows 8 Enterprise N | JMNMF-RHW7P-DMY6X-RF3DR-X2BQT |
| Windows Server 2012 | BN3D2-R7TKB-3YPBD-8DRP2-27GG4 |
| Windows Server 2012 N | 8N2M2-HWPGY-7PGT9-HGDD8-GVGGY |
| Windows Server 2012 Single Language | 2WN2H-YGCQR-KFX6K-CD6TF-84YXQ |
| Windows Server 2012 Country Specific | 4K36P-JN4VD-GDC6V-KDT89-DYFKP |
| Windows Server 2012 Server Standard | XC9B7-NBPP2-83J2H-RHMBY-92BT4 |
| Windows Server 2012 MultiPoint Standard | HM7DN-YVMH3-46JC3-XYTG7-CYQJJ |
| Windows Server 2012 MultiPoint Premium | XNH6W-2V9GX-RGJ4K-Y8X6F-QGJ2G |
| Windows Server 2012 Datacenter | 48HP8-DN98B-MYWDG-T2DCC-8W83P |
Долго не мучаясь добиваем установку и приступаем к тюнингу и активации.
Раскладка при вхоже в систему
Логинимся под Администратором. Если было установлено русский Windows, то в окне приветствия при вводе пароля раскладка клавиатуры по умолчанию будет русская и будет неудобно переключаться на англ. Для того, чтобы при входе в систему каждый раз не менять раскладу – правим реестр по ветке HKEY_USERS.
Переходив в HKEY_USERS \ .DEFAULT \ Keyboard Layout \ Preload
И здесь ставим на первом месте англ (00000409).
- 00000409 – английская раскладка
- 00000419 – русская раскладка
- 00000422 – украинская раскладка
Активация
Теперь переходим к активации. Запускаем Microsoft Toolkit 2.4.9 активатор и сразу увидим или поддерживается активация для данной ОС или нет в поле Supported на вкладке Main.
Если написано Yes – переходим во вкладку Activation, выбираем AutoKMS, нажимаем Install и после успешной установки нажимаем Activate.
- EZ-Activator – это простая настройка для активации KMS. EZ-Activator собирает информацию о вашем состоянии лицензирования обеспечивая наилучший метод активации.
- AutoKMS – запланированная задача, которая будет автоматически продлевать на 180 дней KMS активацию.
Иногда требуется изменить ключ продукта в Windows 8 и Windows Server 2012, однако «кнопки» для изменения ключа в этих ОС нет, в отличие от предыдущих версий. Для изменения ключа запустите командную строку от имени администратора и используйте следующую команду:
где XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — ключ продукта.
Также можно использовать активатор перейдя на вкладку Product Keys и, выбрав свою ОС, установить ключ.
Антивирус
Теперь можно запустить обновления Windows, но перед этим не помешало бы установить антивирус. Вот есть неплохая таблица с совместимостями антивирусов (включая бесплатных) с Windows server 2012. Я же выбрал Microsoft security essential. Чтобы его установить на 2012 сервере нужно:
- Скачать установочный пакет нужной разрядности под Windows 7
- В свойствах установочного пакета поставить галочку на совместимости с Windows 7
- Запустить установочный пакет с ключом /disableoslimit из командной строки или другим способом
mseinstall.exe /disableoslimit
По завершению установки – обновляем антивирус и Windows.
Start Screen
После перезагрузки мы попадаем в Start Screen apps вместо Рабочего стола. Это можно исправить используя правку реестра (автоматическую или ручную) или добавлением Startup скрипта в планировщик задач. Я же использовал автоматическую правку скачав и запустив скрипт
boot_to_desktop
Мой компьютер и кнопка Пуск
Теперь нужно добавить на рабочий стол иконку Мой компьютер. Для этого нужно зайти в Роли и Компоненты и добавить компонент – Пользовательские интерфейсы и инфраструктуры \ Возможности рабочего стола (User Interfaces and Infrastructure \ Desktop Experience). После добавления компонентов – правой кнопкой мыши по Рабочему столу и выбираем Персонализацию. Далее в Изменение значков рабочего стола ставим галочку на Компьютер.
И последним штрихом устанавливаем кнопку Пуск. Мне понравилась больше всего эта
Если еще буду что-то нужное ставить – напишу следующею заметку. Если любите изучать технологии виртуализации, то советую почитать еще эти статейки.
KVM,
OpenVZ
Настройка стартового экрана RDS в Windows Server 2012
Как вы, вероятно, помните, в Windows 8 полностью отсутствует меню Пуск (Start Menu), функционал которого заменен новым плиточным интерфейсом под названием стартовый экран (Modern UI Start Screen). Этот факт касается и серверной платформы — Windows Server 2012. Это означает, что при входе терминального пользователя на сервер Windows 2012 с ролью сервера терминалов (RD Session Host) с установленной функцией «Desktop experience”, пользователю отображается не привычный рабочий стол сервера, а начальный экран Start Screen .
Соответственно, у администраторов терминальных служб появляются вопросы по настройке и управлению этим самым стартовым меню. В Windows Server 2008 R2 управление содержим меню Start осуществлялось (способ, рекомендуемый в best practice) путем перенаправления меню Start с помощью групповой политики в некую общую папку с ярлыками приложений, в которой отображение того или иного ярлыка определялось путем назначением на него NTFS прав и активного режима Access Based Enumeration. Что будет, если применить данную политику (User Configuration -> Windows Settings -> Folder Redirection -> Start Menu) к серверу с Windows 2012 RDS?
В Windows 2012 Remote Desktop при первом входе пользователя на «рабочий стол» терминального сервера он видит полностью пустой Start Screen:
Дело в том, что Start Screen просто не воспринимает политики перенаправления папки стартового меню (Start Menu), которое использовалось в Windows Server 2008 R2. Ведь по новой концепции Microsoft это не одно и то же. Вместо этого данная политика перенаправляет меню All Apps в указанный в политике каталог.
Чтобы получить доступ к списку установленных программ, щелкните правой клавишей по начальному экрану (или нажмите комбинацию клавиш CTRL-TAB.
В меню All Apps отобразится список ярлыков приложений, к которым у пользователя есть доступ (если на общем каталоге с ярлыками активна ABE и назначены NTFS права).
Из данного меню пользователь может вынести нужные ему ярлыки на начальный экран, щелкнув правой клавишей по ярлыку и выбрав пункт Pin to Start.
Таким образом, терминальный пользователь может настроить собственный начальный экран Metro UI (ака рабочий стол). Естественно, если данную операцию придется выполнять каждому пользователю сервера терминалов – это вызовет определённые проблемы и неудобства. Попробуем разобраться, можно ли экспортировать настройки стартового экрана у пользователя и групповой политикой назначить их всем остальным пользователям терминального сервера.
В Windows Server 2012 настройки стартового экрана хранятся в файле appsfolder.itemdata-ms, находящимся в каталоге %userprofile% \Default\appdata\local\microsoft\windows\appsfolder.itemdata-ms. Данный файл необходимо скопировать из профиля текущего пользователя и скопировать его в каталог C:\Users\Default\appdata\local\microsoft\windows\appsfolder.itemdata-ms. В этом случае все пользователи при первом входе на терминал получили бы новый профиль с настроенными ярлыками StartScreen.
Согласитесь, получается не очень гибкая конфигурация. К счастью в релизе Windows Server 2012 R2 (и Windows 8.1) появится новая возможность экспорта конфигурации Start Screen.
Текущие настройки стартового экрана Start Screen пользователя можно выгрузить в XML файл с помощью команды Powershell export-startlayout
В дальнейшем данный файл можно скопировать в общий каталог и распространить с помощью групповой политики Start Screen Layout, находящейся в разделе User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. В данной политике нужно задать путь к сохраненному xml файлу, задающему настройки Start screen.
Подробнее о возможностях и особенностях экспорта/импорта макета стартового экрана в статье: Управление конфигурацией плиточного стартового экрана в Windows 8.1
Настраиваем Windows Server так, чтобы у вас все было, при этом вам за это ничего не было
Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.
Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.
Часть первая. «Запрещательная»
Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.
Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.
Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.
Расположение групповой политики:
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer
И измените значение следующих опций:
• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.
Что еще можно спрятать от пользователя, используя эту групповую политику:
• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer’s default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)
После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.
Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.
Меняем значение на enabled.
Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.
Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.
Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)
Расположение групповой политики:
User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands
При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.
Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:
Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon
Меняем значение на enabled.
Запрещаем запуск PowerShell
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications
Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe
Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.
Прячем элементы панели управления
Расположение групповой политики:
User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.
При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.
Запрещаем запуск редактора реестра
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools
Меняем значение на enabled.
Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.
Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:
Расположение групповой политики:
User Configuration\Preferences\ Windows Settings\Registry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item
Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Теперь пользователю запрещено запускать любые приложения кроме системных.
Как запретить ему пользоваться CMD и Power Shell описано выше.
Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе
Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»
При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.
На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.
Часть вторая. «Время и прочая романтика»
Установка временных лимитов для удаленных сессий
Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.
Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.
Какие бывают статусы терминальных сессий:
Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.
Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.
Добиться этого мы можем опять-таки, используя групповые политики.
Расположение групповой политики:
User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits
В этой ветке есть несколько опций. Давайте разберем их все:
Set time limit for active but idle Remote Desktop Services sessions
Максимальное время работы для Active сессий.
Set time limit for active Remote Desktop Services sessions
Максимальное время работы для IDLE сессий.
Set time limit for disconnected sessions
Максимальное время работы для disconnected сессий.
End session when time limits are reached
Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.
Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.
Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.
Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.
Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.
Итог этого раздела:
1. Вы великолепны
2. Жизни пользователей спасены от переработки
Часть третья. «Интерактивная»
Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.
Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:
На компьютере пользователя измените следующую групповую политику:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled
Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.
Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.
На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.
На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.
З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.