Server Core简介
通常在我们的网络环境中一台服务器只是担当一种角色,如一台服务器只是用来作为文件服务器,或者Web服务器。虽然服务器的利用率不高,但是比较安全,一旦服务器失效影响的也就是一种应用。在Windows服务器中,虽然我们有时运行的只是一种应用,但是通常情况下一些用不到的服务也是默认启用的,这就给服务器造成了安全隐患。例如在Win2000或Win2003中,文件服务是默认打开的,即使我们只是在服务器上运行一个Web服务,也需要面对文件服务中的安全隐患。再者,Windows的多个GUI虽然给我们带来了很大便利,但是也增加了出现漏洞的可能性,也增加了攻击范围。
在微软最新的企业级平台Windows Server 2008中提供给我们这样一个安装选项Server Core,它是一个最小限度的系统安装选项,只包括安全、TCP/IP、文件系统、RPC等服务器核心子系统。在Server Core我们可以安装所需的服务器角色和特征,并且仅有非常少的GUI,像我们常见的IE、OE等应用在Server Core中是没有的,在Server Core中我们可以安装的服务器角色也只有DNS、DHCP、文件服务、活动目录、ADLDS(轻型目录服务)、打印、媒体、Web这几种,而其他角色是不能安装的,并且Server Core对于Web服务的支持也是受限的,不支持ASP.net。
通俗的来理解Server Core就是微软用命令行模式代替了图形界面,并且只有少数应用可以安装。Server Core安装完成后,我们首次登录后仅仅可以看到一个命令行窗口,看不到菜单、任务栏等GUI,服务器驱动的安装、TCP/IP设置、服务器角色的安装管理等操作均需要通过命令行来进行设置。
Server Core的常见部署主要应用做基础构架服务器,如DNS、DHCP、IIS等,或者作为分支机构的只读域控制器,除此之外,还可以作为Windows虚拟化宿主系统,可以运行微软虚拟化平台Hyper-V。
Server Core的好处
应用Server Core我们可以获得如下好处:
简化维护管理:在Server Core中我们安装的是所需的服务器角色和特征,其他的角色默认是不安装的,这样对于管理员来说可以专著于某一个应用,提高了工作效率,也降低了后期IT管理费用,总体降低了企业TCO成本。
减少攻击表面:Windows的图形界面虽然大大简化了操作,但是多个GUI也增加了出现漏洞的可能。Server Core中仅提供了系统更改时间等少数GUI,Windows中常见的GUI、Shell、IE、OE、Media等在Server Core中都被取消,这样就使服务器的攻击表面大大减少,提高了服务器的安全性。
高可用性:由于Server Core是一个最小的系统安装选项,安装的角色和特性降到了最低,省略了GUI,安装角色也不需要重启,这样就提高了系统的可用性,使系统工作更加稳定。
降低磁盘占用:Server Core去掉了Windows的外壳,也没有安装不必要的功能,所以使空间占用大大降低,Server Core安装成功后大概占用1GB的磁盘空间,随着应用的安装还需要大概2GB的空间,这比Windows Server 2008的磁盘占用要少得多。
较少的补丁安装:在Windows中我们需要经常安装各种补丁,对于不同组件需要安装不同的补丁。在Server Core中由于只具备少数组件,我们免去了安装大量补丁的麻烦。
Server Core的安装
Server Core的安装很简单,需要注意的是Server Core不能从原有的系统进行升级,只能进行全新安装。安装有两种方式,手动安装和无人值守安装。
手动安装:需要Windows Server 2008安装光盘,在操作系统类型选择界面选择“Server Core”,按照提示安装即可。
选择Server Core安装
安装完成后需要按“Ctrl+Alt+Delete”,更改管理员密码之后才能登录。如下图,因为在安装过程中没有输入过密码,所以在首次登录时需要更改管理员密码。输入管理员账号administrator,在第三个和第四个选框中设置并确认管理员密码。
无人值守安装:Server Core的安装支持无人值守模式,可以创建应答文件来进行安装,这一点和以往Windows的无人值守安装有些类似。选择通过应答文件安装可以有很多好处,我们可以在应答文件中设置计算机名、设置IP地址、可以启用进程管理的设置,可以设置在命令行模式下很难更改的屏幕分辨率、颜色质量等。应答文件的创建可以通过文本或者Windows系统镜像管理器来创建,创建方法可以参考光盘中\Docs目录下的deploy.chm文件以及ref.chm帮助文件。还有一种较简单的方法,就是在另外一台机器上安装Win Server 2008,在安装信息收集完全后,可以选择导出应答文件。
使用应答文件安装Server Core过程如下:
·使用文本编辑器戒者Windows系统镜像管理器创建Unattend.xml
·复制Unattend.xml到本地硬盘戒者网络共享位置
·启动计算机进入WindowsPE环境
·插入WindowsServer2008光盘到DVD光驱
·打开命令提示符,切换到安装光盘所在的盘符
·输入:setup/unattend:<path>\unattend.xml
Server Core的配置
安装完成后,我们需要对Server Core进行一些初始化配置。首先我们需要做的是输入操作系统序列号并激活系统,并对系统激活状态进行验证。需要连接到网络,在命令提示符窗口中输入“Slmgr.vbs -ipk <CD-KEY>”来输入序列号,然后输入“Slmgr.vbs -ato”来激活系统。激活之后可以用“Slmgr.vbs -dli”来验证系统激活状态。
激活系统后还需要进行一些初始化设置,如设置静态IP、重命名服务器、加入域和配置防火墙。
设置静态IP:如果服务器需要设置静态IP,可以用Netsh命令进行设置。首先需要用“Netsh interface ipv4 show interfaces”命令来查看服务器上网络适配器的状态,记下需要设置IP的网络适配器的名称,如“Local Area Connetion”。然后使用命令Netsh interface ipv4 set address name=“网络适配器名称” source=static address=静态IP地址 mask=子网掩码 gateway=默认网关 来设置静态IP地址。
设置DNS可以用如下命令:Netsh interface ipv4 add dnsservername=“网络适配器名称” address=DNS服务器IP地址 index=1。如果设置多个DNS,只需重复输入此条命令,然后将index值递增即可。
加入域:如果服务器需要加入域,可以利用如下命令:Netdom join 计算机名称 /domain:域名 /userd:有权限加入域的用户名 /passwordd:* ,回车后输入密码即可。
配置防火墙:还需要进行防火墙的配置,因为防火墙默认是开启的,所以我们需要定义一些规则,如打开远程访问所需的3389端口等,否则会默认禁止应用所需的端口和协议。在系统调试阶段,我们可以暂时关闭防火墙,以消除影响,可利用如下命令:“netsh firewall set opmode disable”。创建防火墙规则可以使用命令“netsh firewall set portopening protocol=TCP|UDP port=端口号 name=名称”。此外如果需要进行一些高级设置可以使用“netsh advfirewall”命令。
安装服务器角色:安装服务器角色我们需要利用Oclist命令,这个命令可以列出服务器所有安装的角色。安装各种角色可以利用如下命令,注意大小写是敏感的:
Start/w Ocsetup 角色包
DHCP服务器= DHCPServerCore
DNS 服务器= DNS-Server-Core-Role
文件复制服务= FRS-Infrastructure
分布式文件系统服务= DFSN-Server
分布式文件系统复制= DFSR-Infrastructure-ServerEdition
网络文件系统= ServerForNFS-Base
流媒体服务器= MediaServer
打印服务器= Printing-ServerCore-Role
LPD = Printing-LPDPrintService
常用命令汇总:对于之前没有接触过命令行操作的用户来说,一下子掌握Server Core的操作确实有些难度,Server Core中提供了一个常用的命令行汇总,可以为用户提供不少的便利:c:\windows\system32\cscript scregedit.wsf /cli
管理功能:可以通过四种方式来管理Server Core,本地或者远程使用命令提示符;远程使用终端服务器;使用Windows远程命令提示符(WinRS);远程使用微软管理控制台(MMC)。
小结:通过上文中对Server Core的一些描述我们可以看到,优点的确是明显的,比如减少攻击表面,增强了安全性,可以根据需求独立安装应用,降低了磁盘占用等。但是不得不承认的是Server Core的操作需要用户对命令行操作非常熟悉,对初级用户来说并不是一个很好的选择。