從 Windows Server 2008 開始，管理員可以選擇安裝具有特定功能但不包含任何不必要功能的 Windows Server 的最小安裝服務(wù)器核心(Server Core)，它為一些特定服務(wù)的正常運(yùn)行提供了一個(gè)最小的環(huán)境，從而減少了其他服務(wù)和管理工具可能造成的攻擊和風(fēng)險(xiǎn)。服務(wù)器核心并不支持所有的服務(wù)器角色，它只提供了運(yùn)行以下一個(gè)或多個(gè)服務(wù)器角色的環(huán)境：Windows Server 虛擬化、動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 服務(wù)器、域名系統(tǒng) (DNS) 服務(wù)、 文件服務(wù)器、Active Directory 目錄服務(wù) (AD DS)、Active Directory 輕型目錄服務(wù) (AD LDS)、 Windows 媒體服務(wù)、打印管理等

同時(shí)服務(wù)器核心還支持以下特征：群集服務(wù)器，網(wǎng)絡(luò)負(fù)載平衡，Unix子系統(tǒng)，Windows Server Backup，MPIO，Removable Storage Management，Windows BitLocker驅(qū)動(dòng)器加密，SNMP，Single Instance Storage以及Telnet客戶端等特征。

服務(wù)器核心為企業(yè)提供了以下主要好處：

1、減少了軟件維護(hù)：因?yàn)榉?wù)器核心僅安裝使可管理的服務(wù)器運(yùn)行支持的服務(wù)器角色所需的功能，所以服務(wù)器需要較少的軟件維護(hù)。由于使用的是較小的服務(wù)器核心安裝，更新和修補(bǔ)程序的數(shù)量也相應(yīng)減少，這樣既節(jié)省了服務(wù)器使用的 WAN 帶寬又縮短了 IT 人員的管理時(shí)間。

2、減小了攻擊面：因?yàn)闇p少了在服務(wù)器上安裝和運(yùn)行的文件，所以暴露給網(wǎng)絡(luò)的攻擊目標(biāo)也有所減少；因此，攻擊面也相應(yīng)減小。管理員可以只安裝給定服務(wù)器所需的特定服務(wù)，將暴露風(fēng)險(xiǎn)降低到絕對(duì)的最低值。

3、減少了要求重新啟動(dòng)的次數(shù)，減小了所需的磁盤空間：使用最小的服務(wù)器核心安裝時(shí)，需要更新或修補(bǔ)的已安裝組件有所減少，需要重新啟動(dòng)的次數(shù)也相應(yīng)減少。服務(wù)器核心安裝只安裝提供所需功能需要的最少文件，所以減小了在服務(wù)器上使用的磁盤空間。通過選擇在服務(wù)器上使用服務(wù)器核心安裝選項(xiàng)，管理員可以降低服務(wù)器的管理和軟件更新要求，同時(shí)降低安全風(fēng)險(xiǎn)。

 

一、安裝

在安裝服務(wù)器核心之前，我們必須注意到：服務(wù)器核心不支持從以前版本的服務(wù)器操作系統(tǒng)和完整2008的升級(jí)安裝，也沒辦法從安裝成功的服務(wù)器核心升級(jí)到Windows Server 2008。同時(shí)，在虛擬機(jī)場(chǎng)景下安裝服務(wù)器核心時(shí)，需將虛擬機(jī)的內(nèi)存調(diào)整到一個(gè)適當(dāng)大小的值，否則可能會(huì)因?yàn)閮?nèi)存太小，而不能安裝服務(wù)器核心。

由于服務(wù)器核心的安裝比較簡(jiǎn)單，在此不作具體介紹。

二、管理和維護(hù)

服務(wù)器核心需要通過命令行的方式來(lái)進(jìn)行初始配置，服務(wù)器核心中不包括傳統(tǒng)的用戶界面，一經(jīng)配置完成，用戶可以通過四種方法來(lái)管理服務(wù)器核心服務(wù)器，即使用本地或遠(yuǎn)程的Windows 命令行管理工具；通過終端服務(wù)管理；通過微軟管理控制臺(tái)（MMC）進(jìn)行管理；或通過Windows Remote Shell進(jìn)行管理。需要注意的是：要管理Server Core，需要為Server Core 服務(wù)器提供一個(gè)管理員權(quán)限的帳戶，同時(shí)應(yīng)該說(shuō)命令能完全絕對(duì)大多數(shù)的管理任務(wù)，但考慮到管理員對(duì)命令的熟悉程度及管理任務(wù)的難度，為了減輕管理時(shí)間和難度，有些管理任務(wù)（DHCP、DNS等）使用遠(yuǎn)程計(jì)算機(jī)的微軟管理控制臺(tái)來(lái)管理。

以下是管理服務(wù)器核心的具體操作命令：

 

1、設(shè)置本地Administrator用戶的密碼

Net user administrator *

注意命令中要包括（*）然后按下Enter鍵，之后再鍵入管理員密碼，這樣密碼將不會(huì)直接暴露在屏幕上，而是用*替代。

 

2、顯示計(jì)算機(jī)的相關(guān)信息

hostname

set

systeminfo

ipconfig /all

 

3、顯示網(wǎng)卡信息

Netsh interface ipv4 show interfaces

通過這條命令，可以顯示當(dāng)前計(jì)算機(jī)的網(wǎng)卡的連接狀態(tài)、IDX號(hào)和名稱等信息

 

保存當(dāng)前的配置

Netsh interface dump >myconfig.dat（將當(dāng)前的網(wǎng)絡(luò)配置保存到myconfig.dat文件中）

恢復(fù)網(wǎng)絡(luò)配置

Netsh exec myconfig.dat (從備份文件中恢復(fù)網(wǎng)絡(luò)配置)

 

4、設(shè)置網(wǎng)卡的ipv4靜態(tài)地址

netsh interface ipv4 set address name="<ID>" source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway>

NAME=<ID>可以是從上一步命令得到的網(wǎng)卡的IDX號(hào)，也可以是網(wǎng)卡名稱。StaticIP為網(wǎng)卡的靜態(tài)IPV4地址，SubnetMask為子網(wǎng)碼，DefaultGateway為網(wǎng)關(guān)地址。

例：Netsh interface ipv4 set address name="10" static 192.168.0.2 255.255.255.0 192.168.0.1或

Netsh interface ipv4 set address name="本地連接" static 192.168.0.2 255.255.255.0 192.168.0.1

 

 

5、設(shè)置網(wǎng)卡的靜態(tài)DNS服務(wù)器地址

netsh interface ipv4 add dnsserver name="<ID>" address=<DNSIP> index=1

當(dāng)有多個(gè)DNS服務(wù)器地址，必須重復(fù)使用此條命令，同時(shí) index后的值必須跟著增加。

 

動(dòng)態(tài)指定DNS服務(wù)器地址

netsh interface ipv4 set dnsserver name="<ID>" dhcp

 

 

6、設(shè)置網(wǎng)卡自動(dòng)獲得IP地址

Netsh interface ipv4 set address name="idx" source=DHCP

 

7、重命名網(wǎng)絡(luò)適配器

netsh interface set interface name="oldname" newname="newname"

 

8、禁用網(wǎng)絡(luò)適配器:

netsh interface set interface name="name" admin=DISABLED

 

9、將計(jì)算機(jī)加入到域

netdom join ComputerName /domain:DomainName /userd:UserName /passwordd:*  

注意，這里的ComputerName 是服務(wù)器機(jī)器名，DomainName 是加入域的域名，UserName是有權(quán)限加入域的域用戶名。回車鍵入域用戶的密碼，操作成功后重啟計(jì)算機(jī)即可加入到域。

 

10、從域中刪除計(jì)算機(jī)

netdom remove ComputerName /domain:DomainName /userd:UserName /passwordd:* 

 

11、加入到域的計(jì)算機(jī)的重命名

Netdom renamecomputer %computername% /NewName:<new computer name> /userd:<domain\username> /password:*

 

12、沒有加入域的計(jì)算機(jī)的重命名

Netdom renamecomputer currentcomputername>/NewName:<newcomputername>

或

Wmic computersystem where name=”%computername%” rename name=”new_name”

 

13、重啟或關(guān)閉計(jì)算機(jī)

Shutdown –r –t 0 (啟動(dòng)計(jì)算機(jī))

Shutdwon –s –t 0(關(guān)閉計(jì)算機(jī) –t設(shè)置關(guān)閉計(jì)算機(jī)的超時(shí)間，范圍從0-600秒，默認(rèn)為30秒)

 

14、啟用或禁用休眠功能

Powercfg –h <on|off> on:啟用，off:禁用

 

15、系統(tǒng)時(shí)鐘

配置計(jì)算機(jī)的時(shí)鐘與域中PDC仿真器同步

w32tm /config /update /syncfromflags:DOMHIER

立即同步計(jì)算機(jī)時(shí)鐘

w32tm.exe /resync /nowait

 

16、配置Server Core計(jì)算機(jī)使用Windows Remote Shell管理

在Server Core上運(yùn)行WinRM quickconfig，使計(jì)算機(jī)能夠遠(yuǎn)程的Windows Remote Shell連接；在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行：winrs -r:<ServerName> cmd，<ServerName>為安裝Server Core的計(jì)算機(jī)名，cmd為執(zhí)行的具體命令。例如：winrs -r:MyServerCore dir c:\;

 

17、服務(wù)器的激活

自動(dòng)激活服務(wù)器

slmgr.vbs –ato

遠(yuǎn)程激活

cscript slmgr.vbs -ato <servername> <username> <password>

顯示詳細(xì)的許可證信息

cscript slmgr.vbs –dlv

 

18、調(diào)整日期和時(shí)鐘 control timedate.cpl.

區(qū)域和語(yǔ)言選項(xiàng)設(shè)置?control intl.cpl.

 

19、允許PING入

netsh firewall set icmpsetting 8

禁止PING入

netsh firewall set icmpsetting 8 disable

也可以通過遠(yuǎn)程計(jì)算機(jī)的防火墻控制臺(tái)進(jìn)行控制

 

20、用戶管理

將用戶添加到本地管理員組

net localgroup Administrators /add <domain>\<username>

將用戶從本地管理員組中刪除

net localgroup Administrators /delete <domain\username>

 

21、查詢安裝的驅(qū)動(dòng)程序

sc query type= driver

 

22、安裝新硬件的驅(qū)動(dòng)程序

進(jìn)入硬件驅(qū)動(dòng)程序所在文件夾，運(yùn)行pnputil -i -a <driverinf>，driverinf是硬件驅(qū)動(dòng)程序的INF文件名。

 

23、刪除已安裝的驅(qū)動(dòng)程序

sc delete <service_name>

 

24、服務(wù)操作

顯示正在運(yùn)行的服務(wù)

sc query或net start

啟動(dòng)服務(wù)

sc start <service name> 或net start <service name>

停止服務(wù)

sc stop <service name> 或 net stop <service name>

 

25、頁(yè)面文件操作

設(shè)置頁(yè)面文件

wmic pagefileset where name=”<path/filename>” set InitialSize=<initialsize>,MaximumSize=<maxsize>

例如：wmic pagefileset where name=”c:\\pagefile.sys” set InitialSize=500,MaximumSize=1000

設(shè)置C盤的頁(yè)文件初始值為500MB，最大值為1000MB

 

取消系統(tǒng)頁(yè)面文件管理

Wmic computersystem where name=”<computername>” set AutomaticManagedPagefile=False

 

26、改變工作組

Wmic computersystem where name=”<computername>” call joindomainorworkgroup name=” <new workgroup name>”

 

27、手動(dòng)修補(bǔ)程序

手動(dòng)修補(bǔ)程序：從網(wǎng)站下載更新包，然后運(yùn)行

Wusa <update>.msu /quiet

 

卸載安裝的修補(bǔ)程序

首先用Expand /f:* <update>.msu <path>將已安裝的修補(bǔ)程序展到到一個(gè)文件夾，然后編輯文件夾中<update>.xml，將全部Install用 Remove字符替換；最后運(yùn)行Pkgmgr /n:<update>.xml。

 

查詢已安裝的修補(bǔ)程序列表:

     wmic qfe list

 

28、自動(dòng)更新操作

Cscript C:\Windows\System32\ Scregedit.wsf /AU [/v][value]

/v 查看當(dāng)前的自動(dòng)更新設(shè)置

    Value： 4 - 啟用自動(dòng)更新     1 - 禁用自動(dòng)更新

 

29、更改 DNS SRV 記錄的優(yōu)先級(jí)

Cscript C:\Windows\System32\ Scregedit.wsf  /DP [/v][value]

   /v    查看 DNS SRV 優(yōu)先級(jí)設(shè)置

    Value： (值從 0 到 65535，推薦值為 200)

 

30、更改 DNS SRV 記錄的權(quán)重

Cscript C:\Windows\System32\ Scregedit.wsf /DW [/v][value]

   /v    查看 DNS SRV 權(quán)重設(shè)置

    value   (值從 0 到 65535，推薦值為 50)

 

31、事件日志管理

列出日志類型

wevtutil el

查詢指定日志類型的事件

wevtutil qe /f:text <log name>

輸出事件日志類型

wevtutil epl <log name>

清除日志

wevtutil cl <log name>

 

32、管理服務(wù)器角色和特征

顯示服務(wù)器角色和特征及安裝情況

Oclist

 

安裝活動(dòng)目錄角色

對(duì)于活動(dòng)目錄角色，必須使用Dcpromo /unattend:Unattendfile。這里，Unattendfile是dcpromo 無(wú)人職守應(yīng)答文件的名稱，注意Dcpromo 也可以在降級(jí)域控制器到成員服務(wù)器時(shí)使用。

 

安裝其它角色和特征

start /w ocsetup <name>；<name>是需安裝的、通過Oclist獲取服務(wù)器角色和特征名，注意名稱講究大小寫；/W:啟動(dòng)應(yīng)用程序并等待結(jié)束。

 

卸載已安裝的其它角色和特征

start /w ocsetup <name> /uninstall

例如：

start /w ocsetup DNS-Server-Core-Role 安裝DNS服務(wù)器角色，然后利用dnscmd命令或遠(yuǎn)程使用DNS 管理控制臺(tái)進(jìn)行管理。

start /w ocsetup DNS-Server-Core-Role /uninstall卸載DNS服務(wù)器角色

start /w ocsetup DHCPServerCore 安裝DHCP服務(wù)器角色，然后利用Netsh命令或遠(yuǎn)程使用DHCP 管理控制臺(tái)進(jìn)行管理。如果是在活動(dòng)目錄下安裝DHCP服務(wù)器，還必須在活動(dòng)目錄中授權(quán)。

start /w ocsetup DHCPServerCore /uninstall 卸載DHCP服務(wù)器角色

 

33、客戶體驗(yàn)改善計(jì)劃（CEIP）的管理

顯示 Windows Server 客戶體驗(yàn)改善計(jì)劃參與狀態(tài)

ServerCEIPOptin /query

啟用 Windows Server 客戶體驗(yàn)改善計(jì)劃

ServerCEIPOptin /enable

禁用 Windows Server 客戶體驗(yàn)改善計(jì)劃

ServerCEIPOptin /disable

 

34、錯(cuò)誤報(bào)告的管理

顯示 Windows 錯(cuò)誤報(bào)告選擇性加入狀態(tài)

ServerWerOptin /query

使用 Windows 錯(cuò)誤報(bào)告自動(dòng)發(fā)送摘要報(bào)告

ServerWerOptin /summary

使用 Windows 錯(cuò)誤報(bào)告自動(dòng)發(fā)送詳細(xì)報(bào)告

ServerWerOptin /detailed

禁用 Windows 錯(cuò)誤報(bào)告

ServerWerOptin /disable   。

 

35、使用終端服務(wù)客戶管理服務(wù)器核心

首先在服務(wù)器核心允許終端服務(wù)管理模式接受遠(yuǎn)程連接

cscript C:\Windows\System32\ Scregedit.wsf /ar 0

如果運(yùn)行的是以前版本的終端服務(wù)客戶端，必須運(yùn)行cscript C:\Windows\System32\Scregedit.wsf /cs 0允許以前版本的連接

其次配置允許遠(yuǎn)程RDP連接通過防火墻

netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

最后在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行mstsc或打開遠(yuǎn)程桌面連接，然后輸入服務(wù)器的計(jì)算機(jī)名或IP地址，進(jìn)行連接。隨后，使用管理員帳戶登錄，當(dāng)命令行窗口出現(xiàn)后，使用命令行完成管理，最后鍵入logoff 結(jié)束會(huì)話。

 

 

36、防火墻的管理

使用Netsh firewall命令來(lái)管理防火墻

顯示防火墻的狀態(tài)

Netsh firewall show state;如果顯示Operational mode操作模式為Enable則表明啟用了防火墻；為Disable則表明禁用防火墻；

啟用禁用啟用防火墻

Netsh firewall set opmode ENABLE|DISABLE ： ENABLE啟用防火墻、                                DISABLE - 禁用防火墻。

 

設(shè)置防火墻端口配置

Netsh firewall set portopening

      [ protocol = ] TCP|UDP|ALL                                          

      [ port = ] 1-65535                                                 

      [ [ name = ] name                                                  

      [ mode = ] ENABLE|DISABLE                                        

  參數(shù):                                                             

  protocol - 端口協(xié)議。                                              

      TCP - 傳輸控制協(xié)議(TCP)。                         

      UDP - 用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。                                

      ALL - All 協(xié)議。                                                

  port - 端口號(hào)。                                                    

  name - 端口名(可選)。                                           

  mode - 端口模式(可選)。                                           

      ENABLE - 允許通過防火墻(默認(rèn)值)。                        

      DISABLE - 不允許通過防火墻(默認(rèn)值)。 

例如：打開打印機(jī)和文件共享

      Netsh firewall set portopening TCP 139 NetBios_139

      Netsh firewall set portopening TCP 445 NetBios_445

Netsh firewall set portopening UDP 137 NetBios_137

Netsh firewall set portopening UDP 138 NetBios_138

（139端口：NetBIOS 會(huì)話服務(wù)；445端口TCP 上的 SMB；137端口：NetBIOS 名稱服務(wù)

138端口：NetBIOS 數(shù)據(jù)報(bào)服務(wù)；）

允許遠(yuǎn)程桌面

Netsh firewall set portopening TCP 3389 RemoteDesktop

 

37、其它命令

磁盤分區(qū)管理：Diskpart /?

例：以下利用DISKPART命令對(duì)第二個(gè)塊硬盤進(jìn)行磁盤分區(qū)管理：

Diskpart

List disk （列出所有磁盤）

Select disk 1 （選擇新添加的磁盤，1為新加磁盤的硬盤號(hào)）

Create partition primary（將整個(gè)硬盤劃分為主分區(qū)，如果要指定大小，后加參數(shù)size=XXXX,單位MB）

Assign letter=E （分配盤符E）

Format fs=ntfs label=”diske” quick （將分區(qū)快速格式化為NTFS格式，卷標(biāo)為diske）

List volume(列出所有卷，會(huì)發(fā)現(xiàn)E盤)

 

軟件RAID管理：Diskraid /?

卷加載點(diǎn)管理：Mountvol /?

磁盤碎片管理：Defrag /?

壓縮文件：Compact /?

例：Compact c:\123\123.txt /c 壓縮c:\123\的文件123.txt

    Compact c:\123\123.txt /u 將c:\123\的文件123.txt解壓縮

已打開的文件管理：Openfiles /?

將FAT卷轉(zhuǎn)換成NTFS：Convert <volume letter> /fs:ntfs

 

允許遠(yuǎn)程過程調(diào)用

Netsh firewall set portopening TCP 135 RemoteAdmin

顯示當(dāng)前防火墻配置

Netsh firewall show config

                   

三、說(shuō)明

1、服務(wù)器核心不支持Winver.exe命令，要獲取版本信息，需使用Systeminfo.exe命令。

2、服務(wù)器核心單獨(dú)不支持單獨(dú)運(yùn)行Control.exe命令，Control.exe必須和Timedate.cpl 或 Intl.cpl一起運(yùn)行，同時(shí)其它的控制面版設(shè)置control命令不支持。

3、使用磁盤管理控制臺(tái)遠(yuǎn)程管理時(shí)，必須在服務(wù)器核心上運(yùn)行 Net Start VDS命令啟動(dòng)虛擬磁盤服務(wù)。

4、有些命令（重命名計(jì)算機(jī)名等）操作運(yùn)行后，必須重啟計(jì)算機(jī)才能有效。

5、有些命令的參數(shù)在XP和2008中有所差別，例如在XP下使用netsh interface ip set dns設(shè)置DNS服務(wù)器地址。具體參數(shù)參考命令幫忙。