Windows Server 2012 已于 2025年10月10日 结束主流支持,2025年10月9日 结束扩展支持,这意味着它不再接收安全更新、修补程序或技术支持。强烈建议在生产环境中升级到更新的版本(如 Server 2025 或 2025),以避免安全风险。 以下配置指南适用于测试、学习或仍在使用遗留系统的环境。
(图片来源网络,侵删)
配置 Windows Server 2012 的完整指南
我们将按照以下步骤进行:
- 初始安装与基础设置
- 核心角色与功能配置
- 安全加固
- 性能优化与维护
- 网络配置
初始安装与基础设置
这是所有配置的基础,务必认真对待。
系统安装
- 介质准备:准备 Windows Server 2012 的安装 ISO 文件。
- 启动安装:从 ISO 启动或通过 PXE 网络引导。
- 选择安装类型:通常选择“自定义:仅安装 Windows”。
- 磁盘分区:
- 最佳实践:至少创建两个分区。
- C: (系统盘):分配约 50-100 GB 的空间,对于现代服务器,建议使用 SSD。
- D: (数据盘):将剩余空间作为数据盘,用于存放应用程序、文件、数据库等。切勿将数据和系统放在同一分区。
- 注意:确保安装程序创建的是 GPT (GUID Partition Table) 分区,而不是传统的 MBR,尤其是在使用大容量硬盘(>2TB)或 UEFI 启动的服务器上。
- 最佳实践:至少创建两个分区。
- 完成安装:等待文件复制和安装完成,服务器会自动重启。
初始配置任务 (SCT)
首次登录后,系统会自动打开“初始配置任务”窗口,这是快速配置服务器的好地方。
- 设置时间和日期:
点击“设置时间和日期”,确保时区正确,并与 NTP 时间服务器同步,这对日志记录和安全至关重要。
(图片来源网络,侵删) - 提供计算机信息:
- 点击“提供计算机名称和域工作组”。
- 计算机名:为服务器设置一个有意义且唯一的名称,
SRV-APP-01。不要使用默认名称。 - 工作组:如果加入域,选择“域”,并输入域名和凭据,如果是独立服务器,保持默认工作组即可。
- 启用或禁用自动更新:
- 强烈建议:即使已停止支持,也应保持“启用自动更新”选项,虽然微软不再提供更新,但这可以确保系统功能正常。
- 将此服务器添加到工作组或域:
如果上一步没完成,可以在这里完成。
- 设置远程管理:
- 最佳实践:默认启用,这是通过 PowerShell 或其他服务器管理工具进行远程管理的关键,如果您的网络环境不安全,可以在后续安全加固中调整防火墙规则。
- 获取 Windows 更新:
点击“现在下载并安装更新”,即使没有新更新,运行一下也无妨。
核心角色与功能配置
通过“服务器管理器”来添加角色和功能,这是 Server 2012 的核心管理工具。
添加角色
-
打开“服务器管理器” -> 点击“管理” -> “添加角色和功能”。
(图片来源网络,侵删) -
按照向导操作,选择“基于角色或基于功能的安装”。
-
选择目标服务器(如果是本地服务器,默认即可)。
-
在“选择服务器角色”页面,根据服务器的用途勾选所需角色,常见角色包括:
- Active Directory 域服务:用于构建和管理 Windows 域环境,如果这是您的第一台域控制器,安装后需要“将此服务器提升域控制器”。
- DNS 服务器:域名系统服务,通常与 AD DS 一起安装在域控制器上,用于解析内部域名。
- DHCP 服务器:动态主机配置协议服务,为网络中的客户端自动分配 IP 地址。
- 文件和存储服务:提供文件共享、iSCSI 目标、存储服务等功能。
- Web 服务器 (IIS):用于托管网站、Web 应用程序和 FTP 站点。
- 打印和文档服务:用于管理网络打印机。
- 远程桌面服务:提供多用户远程桌面会话。
添加功能
- 在“选择功能”页面,可以添加不依赖于特定角色的功能。
- 常用功能:
- .NET Framework 3.5:许多旧版应用程序需要。
- PowerShell:Windows Server 的强大命令行管理工具,默认已安装,但可以添加额外模块。
- Telnet 客户端:用于网络连通性测试(注意:不安全,仅限测试)。
- 故障转移群集:用于高可用性环境。
安全加固
这是保护服务器的最重要环节。
配置 Windows 防火墙
- 打开“服务器管理器” -> “工具” -> “高级安全 Windows Defender 防火墙”。
- 入站规则:是配置的重点。
- 域配置文件:当计算机加入域时生效。
- 专用配置文件:在家庭或工作网络中生效。
- 公用配置文件:在公共网络(如咖啡厅 Wi-Fi)中生效,最严格。
- 最佳实践:
- 保持防火墙“启用”状态。
- 仅开放必要的端口,如果服务器是 Web 服务器,只允许 HTTP (80) 和 HTTPS (443) 端口。
- 禁用不必要的端口:如 Telnet (23)、RDP (3389) 如果不需要从公网访问。
- 为特定程序创建规则,而不是直接开放端口,更安全。
更改管理员账户和密码
- 重命名默认管理员账户:
- 右键点击“此电脑” -> “管理” -> “本地用户和组” -> “用户”。
- 双击
Administrator账户,取消勾选“账户已禁用”,并输入一个强密码。 - 最佳实践:不重命名,而是创建一个新的具有管理员权限的账户(
Admin),然后禁用或删除Administrator和Guest账户,这样可以防止黑客使用默认账户名进行暴力破解。
- 设置强密码策略:
- 按
Win + R,输入gpedit.msc打开“组策略编辑器”。 - 路径:
计算机配置->Windows 设置->安全设置->账户策略->密码策略。 - 设置“密码必须符合复杂性要求”为“已启用”。
- 设置“密码长度最小值”至少为8位。
- 设置“密码最长使用期限”为60-90天。
- 按
启用审核策略
- 在“组策略编辑器”中,路径:
计算机配置->Windows 设置->安全设置->本地策略->审核策略。 - 启用关键审核策略,
- 审核账户登录成功/失败:追踪谁登录了服务器。
- 审核对象访问成功/失败:追踪文件或注册表访问。
- 审核策略更改成功/失败:追踪谁修改了安全策略。
- 审核日志可以在“事件查看器”中查看。
安装并配置防病毒软件
- 即使是服务器,也需要防病毒软件来保护免受恶意软件感染,选择一款信誉良好、支持 Server 2012 的企业级防病毒软件(如 Windows Defender - 如果可用,或第三方商业产品)。
性能优化与维护
管理磁盘
- 初始化和转换磁盘:在“服务器管理器” -> “工具” -> “计算机管理” -> “磁盘管理”中,可以初始化新磁盘、分区、格式化(推荐 NTFS 文件系统)和更改驱动器号。
- 启用磁盘配额:在 NTFS 分区的属性中,可以启用配额,限制用户可使用的磁盘空间。
任务计划程序
- 打开“任务计划程序”(
taskschd.msc)。 - 可以创建计划任务,用于定期执行备份、清理日志、运行脚本
