Начиная с Windows Server 2008 стал доступен режим Server Core, преимуществами которого являются снижение времени простоя сервиса (например, по причине установки Windows Updates и последующей перезагрузки) а также снижение площади потенциальных атак (львиная доля которых приходится на Explorer и т.п.).

Идея задравая — зачем на сервере Internet Explorer, Windows Media Player и т.п. понять было сложно.

Кроме того, все это счастье потребляет дисковое пространство — размер ОС, обслуживающей сервис мог на порядок превосходить размер сервиса (например AD DS, AD CS, RRAS, etc). Это приводило не только к перерасходам на закупке накопителей, но и увеличивало время простоя при миграциях виртуальных машин, восстановлении из резервных копий и т.п.

С растущей популярностью IaaS провайдеров которые взывают плату за объем и производительность дисковой системы, уменьшение утилизируемого места становится все более актуальным.

В Windows Server 2008 в режиме Server Core было доступно совсем немного ролей: AD DS, AD LDS, DNS, DHCP, File Server, Print Server, IIS, Hyper-V.

Основной проблемой являлось отсутствие .NET, а значит установка Exchange, SharePoint, Dynamics и пр. на «core» сервера была невозможной.

И вот, в Windows Server 2012 Core mode был значительно улучшен и теперь является рекомендованным режимом эксплуатации.

В этой статье я расскажу о Server Core в Windows Server 10, но материал применим и к WindowsServer 2012R2.

При установке нового сервера Server Core Installation будет вариантом по-умолчанию:

После установки, запустим sconfig и зададим базовые настройки:

После этого, посмотрим какие роли и фичи установлены:

Get-WindowsFeature | Where-Object {$_.Installed -eq $True}

Если на сервере не планируется установка 32-х битного ПО, разумно удалить фичу WoW64 Support:

Remove-WindowsFeature WoW64-Support

Удаление этой фичи положительно сказывается на безопасности (зловредное ПО как правило 32х битное) и производительности сервера.

Но если на сервере будет установлен GUI (даже минимальный, который Graphical Management Tools and Infrastructure), WoW64-Support будет нужна.

Теперь, давайте убедимся что сервер занимает около 7Гб дискового пространства:

Get-WmiObject Win32_logicaldisk | ft DeviceId, Size, FreeSpace

.. а объем потребляемой оперативной памяти около 0.5Гб:

Get-Counter 'MemoryCommitted Bytes'

Установка современного сервера подразумевает удаленное администрирование и отсутствие физического доступа (или необходимости такого доступа) с дисплеем, клавиатурой и мышкой.

Администрирование может выполняться как со специального сервера на котором включены необходимые компоненты RSAT, так и с ПК под управлением Windows, на которую RSAT установлены. Но об этом ниже.

Но в ряде случаев необходимо обеспечить возможность непосредственного администрирования не только с помощью PowerShell, но и с помощью Server Manager (Graphical Management Tools and Infrastructure) или даже «полновесного» GUI (Graphical Management Tools and Infrastructure + Server Graphical Shell).

Пример зачем может быть нужен GUI — на bare-metal сервере Device Manager может быть использован для специфичных настроек оборудования, а доступен он только после установки Graphical Management Tools and Infrastructure.

Чтобы включить GUI нужны будут исходники, которые находятся на установочном дистрибутиве, для этого придется подмонтировать дистрибутив к серверу. В большинстве случаев присоединить образ к серверу отсутствует, поэтому можно скопировать папку sources в виде файловой шары на соответствующем сервере.

Установим «минималистичный» GUI:

Install-WindowsFeature Server-Gui-Mgmt-Infra -Source wim:%path%install.wim:4

.. или «полновесный» GUI с Internet Explorer и прочим:

Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell -Source wim:%path%install.wim:4

Обратите внимание, суффикс :4 обозначает что в исходниках находятся файлы для всех 4х редакций:

• :1 — Standard Edition Server Core
• :2 — Standard Edition
• :3 — Datacenter Edition Server Core
• :4 — Datacenter Edition

«Минималистичный» GUI выглядит следующим образом:

После установки «минималистичного» GUI размер диска вырастет на ~3Гб, а портребление оперативной памяти практически не изменится:

В случае установки «полновесного» GUI размер диска вырастет на те же ~3Гб, а портребление оперативной памяти практически не изменится.

Обратите внимание, после удаления GUI:

Remove-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell

.. размер диска не уменьшится:

Зато теперь можно устанавливать и удалять GUI без указания исходников:

Разумеется, исходники для GUI можно удалить:

Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell -Remove

.. это уменьшит размер диска:

Если есть желание еще больше уменьшить дисковое пространство, можно удалить все исходники для ролей и фич которые не установлены:

Get-WindowsFeature | Where-Object installstate -eq «available» | Uninstall-WindowsFeature -Remove

Это освободит еще немного дискового пространства:

Разумеется, делать это нужно после установки ролей и фич под которые сервер вводится в эксплуатацию.

Если Вы используете виртуальные машины, не забудьте выполнить Compact .vhdx-файла.

Если после удаления исходников все-таки потребуется установить роль или фичу нужно будет указывать путь к шаре с исходниками или монтировать диск с дистрибутивом:

Для упрощения, можно использовать групповую политику:

Для того чтобы при применении таких политик не пришлось перестраивать структуру OU в соответствии с версиями ОС, можно применить WMI-фильтр:

Теперь о том, как управлять серверами развернутыми в core. Сервер, с которого будет выполнятся администрирование будем называть source, а сервер который будем администрировать — target.

Target и source могут входить как в домен, так и в рабочую группу. Source может быть рабочим ПК администратора и работать под управлением Windows 7/8/8.1/10 с установленным пакетом RSAT соответствующей версии.

Рабочий ПК администратора не должен быть единственным местом откуда инфраструктурой можно управлять, его можно дополнить высокодоступным сервером размещенным в Microsoft Azure или Amazon.

Кроме RSAT, управлять серверами можно с помощью PowerShellWebAccess, но это скорее дополнительная возможность на случай недоступность RSAT. О настройке PSWA Вы можете почитать в моей статье «Настройка PowerShell Web Access«.

Перейдем непостредственно к настройке удаленного управления.

Чтобы посмотреть текущее значение удаленного управления на целевом сервере можно выполнить:

Configure-SMRemoting.exe -get

Для удаленногоу правления на целевом сервере должен быть настроен winRM, его текущую конфигурацию можно запросить так:

winrm get winrm/config

Обратите внимание, Device Manager недоступен для удаленного управления в любых сценариях:

А все дело в том, что Microsoft «выпилила» удаленный доступ к PnP из соображений безопасности — http://support.microsoft.com/kb/2781106/en-us

Вместо этого, предлагается использовать PowerShell — http://blogs.technet.com/b/wincat/archive/2012/09/06/device-management-powershell-cmdlets-sample-an-introduction.aspx

Если Вам все-таки нужнен полноценный Device manager, вам придется установить хотя бы minimal GUI (о том, как это сделать написано выше).

Создадим и распространим на source и на target групповую политику, которой включим правила Firewall Remote Event Log Management, Remote Service Management, Windows Firewall Remote Management, Remote Volume Management:

В кажом правиле можно указать с каких сетей разрешен этот трафик, на каких профилях и т.д. Этот вопрос важен и требует индивидуального планирования чтобы с одной стороны минимизировать возможности атак, а с другой стороны имет возможность администрирования из нескольких мест в случае аварии.

Теперь рассмотрим сценарий когда source находится в домене, а target в рабочей группе. В начале нужно убедится что source и target корректно разрешают fqdn и netbios имена друг друга, если нет — нужно поправить это в DNS. Как и в большинстве случаев, предпочтительно использование айвт имен.

После этого, на source  нужно добавить имя target в TrustedHosts:

Set-Item WSMan:localhostClientTrustedHosts -Value %target fqdn% -Concatenate -Force

После этого, можно будет использовать PowerShell remote sessions.

Вы можете посмотреть содержимое TrustedHosts:

Get-Item -Path WSMan:localhostClientTrustedHosts | fl Name, Value

.. и очистить его содержимое при необходимости:

Clear-Item -Path WSMan:localhostClientTrustedHosts

Теперь доступ к target есть по PowerShell, bus воспользуемся им чтобы включить на target таке правила firewall:

netsh advfirewall firewall set rule group=»Windows Remote Management» new enable=yes

netsh advfirewall firewall set rule group=»Remote Event Log Management» new enable=yes

netsh advfirewall firewall set rule group=»Remote Service Management» new enable=yes

netsh advfirewall firewall set rule group=»Windows Firewall Remote Management» new enable=yes

netsh advfirewall firewall set rule group=»Remote Volume Management» new enable=yes

Чтобы снять ограничения которые накладывает UAC на target нужно выполнить:

New-ItemProperty -Name LocalAccountTokenFilterPolicy -path HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem -propertyType DWord -value 1

Теперь можно добавить target в ServerManager на source и, а затем нужно выбрать опцию «Manage As..» и ввести учетные данные администратора target

Последний сценарий — когда source находится в рабочей группе, а target в домене аналогичен предыдущему и не требует дополнительных комментариев.

Подведем итоги:

Очевидно, что «полновесный» GUI ухудшает метрики SLA сервисов которые развернуты на этом сервере, хоть и частично упрощает управление.

Кроме того, уменьшение утилизируемого дискового пространства важно при размещении серверов в публичных облаках, например Microsoft Azure или Amazon.

«Минималистичный» GUI является хорошим вариантом для bare-metal хостов, а «Core» является рекомендованным вариантом для большинства установок.

Сценарий: «Установить сервер с GUI — Развернуть на сервере сервис — Выключить GUI» является распространенным, но  я рекомендую изначально планировать установку так, чтобы в ее процессе не приходилось ничего включать-выключать.

Что касается управления парком серверов, разумно установить RSAT на ПК администраторов для выполнения ежедневных задач, для редких и ответственных задач, а также на случай аварии использовать высокодоступную виртуальную машину в Azure, и кроме того иметь запасной вариант в виде Power Shell Web Access.

Надеюсь озвученная информация будет полезной, а если нужна будет помощь — пишите мне на почту d.kagarlickij@outlook.com