Server Core簡(jiǎn)介   

    通常在我們的網(wǎng)絡(luò)環(huán)境中一臺(tái)服務(wù)器只是擔(dān)當(dāng)一種角色，如一臺(tái)服務(wù)器只是用來(lái)作為文件服務(wù)器，或者Web服務(wù)器。雖然服務(wù)器的利用率不高，但是比較安全，一旦服務(wù)器失效影響的也就是一種應(yīng)用。在Windows服務(wù)器中，雖然我們有時(shí)運(yùn)行的只是一種應(yīng)用，但是通常情況下一些用不到的服務(wù)也是默認(rèn)啟用的，這就給服務(wù)器造成了安全隱患。例如在Win2000或Win2003中，文件服務(wù)是默認(rèn)打開(kāi)的，即使我們只是在服務(wù)器上運(yùn)行一個(gè)Web服務(wù)，也需要面對(duì)文件服務(wù)中的安全隱患。再者，Windows的多個(gè)GUI雖然給我們帶來(lái)了很大便利，但是也增加了出現(xiàn)漏洞的可能性，也增加了攻擊范圍。

    在微軟最新的企業(yè)級(jí)平臺(tái)Windows Server 2008中提供給我們這樣一個(gè)安裝選項(xiàng)Server Core，它是一個(gè)最小限度的系統(tǒng)安裝選項(xiàng)，只包括安全、TCP/IP、文件系統(tǒng)、RPC等服務(wù)器核心子系統(tǒng)。在Server Core我們可以安裝所需的服務(wù)器角色和特征，并且僅有非常少的GUI，像我們常見(jiàn)的IE、OE等應(yīng)用在Server Core中是沒(méi)有的，在Server Core中我們可以安裝的服務(wù)器角色也只有DNS、DHCP、文件服務(wù)、活動(dòng)目錄、ADLDS（輕型目錄服務(wù)）、打印、媒體、Web這幾種，而其他角色是不能安裝的，并且Server Core對(duì)于Web服務(wù)的支持也是受限的，不支持ASP.net。

    通俗的來(lái)理解Server Core就是微軟用命令行模式代替了圖形界面，并且只有少數(shù)應(yīng)用可以安裝。Server Core安裝完成后，我們首次登錄后僅僅可以看到一個(gè)命令行窗口，看不到菜單、任務(wù)欄等GUI，服務(wù)器驅(qū)動(dòng)的安裝、TCP/IP設(shè)置、服務(wù)器角色的安裝管理等操作均需要通過(guò)命令行來(lái)進(jìn)行設(shè)置。

    Server Core的常見(jiàn)部署主要應(yīng)用做基礎(chǔ)構(gòu)架服務(wù)器，如DNS、DHCP、IIS等，或者作為分支機(jī)構(gòu)的只讀域控制器，除此之外，還可以作為Windows虛擬化宿主系統(tǒng)，可以運(yùn)行微軟虛擬化平臺(tái)Hyper-V。

   Server Core的好處

    應(yīng)用Server Core我們可以獲得如下好處：

    簡(jiǎn)化維護(hù)管理：在Server Core中我們安裝的是所需的服務(wù)器角色和特征，其他的角色默認(rèn)是不安裝的，這樣對(duì)于管理員來(lái)說(shuō)可以專(zhuān)著于某一個(gè)應(yīng)用，提高了工作效率，也降低了后期IT管理費(fèi)用，總體降低了企業(yè)TCO成本。

    減少攻擊表面：Windows的圖形界面雖然大大簡(jiǎn)化了操作，但是多個(gè)GUI也增加了出現(xiàn)漏洞的可能。Server Core中僅提供了系統(tǒng)更改時(shí)間等少數(shù)GUI，Windows中常見(jiàn)的GUI、Shell、IE、OE、Media等在Server Core中都被取消，這樣就使服務(wù)器的攻擊表面大大減少，提高了服務(wù)器的安全性。

    高可用性：由于Server Core是一個(gè)最小的系統(tǒng)安裝選項(xiàng)，安裝的角色和特性降到了最低，省略了GUI，安裝角色也不需要重啟，這樣就提高了系統(tǒng)的可用性，使系統(tǒng)工作更加穩(wěn)定。

    降低磁盤(pán)占用：Server Core去掉了Windows的外殼，也沒(méi)有安裝不必要的功能，所以使空間占用大大降低，Server Core安裝成功后大概占用1GB的磁盤(pán)空間，隨著應(yīng)用的安裝還需要大概2GB的空間，這比Windows Server 2008的磁盤(pán)占用要少得多。

    較少的補(bǔ)丁安裝：在Windows中我們需要經(jīng)常安裝各種補(bǔ)丁，對(duì)于不同組件需要安裝不同的補(bǔ)丁。在Server Core中由于只具備少數(shù)組件，我們免去了安裝大量補(bǔ)丁的麻煩。

   Server Core的安裝

    Server Core的安裝很簡(jiǎn)單，需要注意的是Server Core不能從原有的系統(tǒng)進(jìn)行升級(jí)，只能進(jìn)行全新安裝。安裝有兩種方式，手動(dòng)安裝和無(wú)人值守安裝。

    手動(dòng)安裝：需要Windows Server 2008安裝光盤(pán)，在操作系統(tǒng)類(lèi)型選擇界面選擇“Server Core”，按照提示安裝即可。

選擇Server Core安裝

    安裝完成后需要按“Ctrl+Alt+Delete”，更改管理員密碼之后才能登錄。如下圖，因?yàn)樵诎惭b過(guò)程中沒(méi)有輸入過(guò)密碼，所以在首次登錄時(shí)需要更改管理員密碼。輸入管理員賬號(hào)administrator，在第三個(gè)和第四個(gè)選框中設(shè)置并確認(rèn)管理員密碼。

    無(wú)人值守安裝：Server Core的安裝支持無(wú)人值守模式，可以創(chuàng)建應(yīng)答文件來(lái)進(jìn)行安裝，這一點(diǎn)和以往Windows的無(wú)人值守安裝有些類(lèi)似。選擇通過(guò)應(yīng)答文件安裝可以有很多好處，我們可以在應(yīng)答文件中設(shè)置計(jì)算機(jī)名、設(shè)置IP地址、可以啟用進(jìn)程管理的設(shè)置，可以設(shè)置在命令行模式下很難更改的屏幕分辨率、顏色質(zhì)量等。應(yīng)答文件的創(chuàng)建可以通過(guò)文本或者Windows系統(tǒng)鏡像管理器來(lái)創(chuàng)建，創(chuàng)建方法可以參考光盤(pán)中\(zhòng)Docs目錄下的deploy.chm文件以及ref.chm幫助文件。還有一種較簡(jiǎn)單的方法，就是在另外一臺(tái)機(jī)器上安裝Win Server 2008，在安裝信息收集完全后，可以選擇導(dǎo)出應(yīng)答文件。

    使用應(yīng)答文件安裝Server Core過(guò)程如下：

    ·使用文本編輯器戒者Windows系統(tǒng)鏡像管理器創(chuàng)建Unattend.xml
  ·復(fù)制Unattend.xml到本地硬盤(pán)戒者網(wǎng)絡(luò)共享位置
  ·啟動(dòng)計(jì)算機(jī)進(jìn)入WindowsPE環(huán)境
  ·插入WindowsServer2008光盤(pán)到DVD光驅(qū)
  ·打開(kāi)命令提示符，切換到安裝光盤(pán)所在的盤(pán)符
  ·輸入：setup/unattend:<path>\unattend.xml

    Server Core的配置

    安裝完成后，我們需要對(duì)Server Core進(jìn)行一些初始化配置。首先我們需要做的是輸入操作系統(tǒng)序列號(hào)并激活系統(tǒng)，并對(duì)系統(tǒng)激活狀態(tài)進(jìn)行驗(yàn)證。需要連接到網(wǎng)絡(luò)，在命令提示符窗口中輸入“Slmgr.vbs -ipk <CD-KEY>”來(lái)輸入序列號(hào)，然后輸入“Slmgr.vbs -ato”來(lái)激活系統(tǒng)。激活之后可以用“Slmgr.vbs -dli”來(lái)驗(yàn)證系統(tǒng)激活狀態(tài)。

    激活系統(tǒng)后還需要進(jìn)行一些初始化設(shè)置，如設(shè)置靜態(tài)IP、重命名服務(wù)器、加入域和配置防火墻。

    設(shè)置靜態(tài)IP：如果服務(wù)器需要設(shè)置靜態(tài)IP，可以用Netsh命令進(jìn)行設(shè)置。首先需要用“Netsh interface ipv4 show interfaces”命令來(lái)查看服務(wù)器上網(wǎng)絡(luò)適配器的狀態(tài)，記下需要設(shè)置IP的網(wǎng)絡(luò)適配器的名稱(chēng)，如“Local Area Connetion”。然后使用命令Netsh interface ipv4 set address name=“網(wǎng)絡(luò)適配器名稱(chēng)” source=static address=靜態(tài)IP地址 mask=子網(wǎng)掩碼 gateway=默認(rèn)網(wǎng)關(guān) 來(lái)設(shè)置靜態(tài)IP地址。

    設(shè)置DNS可以用如下命令：Netsh interface ipv4 add dnsservername=“網(wǎng)絡(luò)適配器名稱(chēng)” address=DNS服務(wù)器IP地址 index=1。如果設(shè)置多個(gè)DNS，只需重復(fù)輸入此條命令，然后將index值遞增即可。

    加入域：如果服務(wù)器需要加入域，可以利用如下命令：Netdom join 計(jì)算機(jī)名稱(chēng) /domain:域名 /userd:有權(quán)限加入域的用戶(hù)名 /passwordd:* ，回車(chē)后輸入密碼即可。

    配置防火墻：還需要進(jìn)行防火墻的配置，因?yàn)榉阑饓δ�認(rèn)是開(kāi)啟的，所以我們需要定義一些規(guī)則，如打開(kāi)遠(yuǎn)程訪問(wèn)所需的3389端口等，否則會(huì)默認(rèn)禁止應(yīng)用所需的端口和協(xié)議。在系統(tǒng)調(diào)試階段，我們可以暫時(shí)關(guān)閉防火墻，以消除影響，可利用如下命令：“netsh firewall set opmode disable”。創(chuàng)建防火墻規(guī)則可以使用命令“netsh firewall set portopening protocol=TCP|UDP port=端口號(hào) name=名稱(chēng)”。此外如果需要進(jìn)行一些高級(jí)設(shè)置可以使用“netsh advfirewall”命令。

    安裝服務(wù)器角色：安裝服務(wù)器角色我們需要利用Oclist命令，這個(gè)命令可以列出服務(wù)器所有安裝的角色。安裝各種角色可以利用如下命令，注意大小寫(xiě)是敏感的：
    Start/w Ocsetup 角色包
  DHCP服務(wù)器= DHCPServerCore
  DNS 服務(wù)器= DNS-Server-Core-Role
  文件復(fù)制服務(wù)= FRS-Infrastructure
  分布式文件系統(tǒng)服務(wù)= DFSN-Server
  分布式文件系統(tǒng)復(fù)制= DFSR-Infrastructure-ServerEdition
  網(wǎng)絡(luò)文件系統(tǒng)= ServerForNFS-Base
  流媒體服務(wù)器= MediaServer
  打印服務(wù)器= Printing-ServerCore-Role
  LPD = Printing-LPDPrintService

    常用命令匯總：對(duì)于之前沒(méi)有接觸過(guò)命令行操作的用戶(hù)來(lái)說(shuō)，一下子掌握Server Core的操作確實(shí)有些難度，Server Core中提供了一個(gè)常用的命令行匯總，可以為用戶(hù)提供不少的便利：c:\windows\system32\cscript scregedit.wsf /cli

    管理功能：可以通過(guò)四種方式來(lái)管理Server Core，本地或者遠(yuǎn)程使用命令提示符；遠(yuǎn)程使用終端服務(wù)器；使用Windows遠(yuǎn)程命令提示符(WinRS)；遠(yuǎn)程使用微軟管理控制臺(tái)(MMC)。

    小結(jié)：通過(guò)上文中對(duì)Server Core的一些描述我們可以看到，優(yōu)點(diǎn)的確是明顯的，比如減少攻擊表面，增強(qiáng)了安全性，可以根據(jù)需求獨(dú)立安裝應(yīng)用，降低了磁盤(pán)占用等。但是不得不承認(rèn)的是Server Core的操作需要用戶(hù)對(duì)命令行操作非常熟悉，對(duì)初級(jí)用戶(hù)來(lái)說(shuō)并不是一個(gè)很好的選擇。