安裝和管理Windows Server 2008 Enterprise Core

在本文的開始，我需要說明一下，Windows Server 20008 Core并不支援所有的伺服器角色，它所支援的角色有以下幾個：檔案伺服器角色，列印伺服器角色，域控制器角色，DNS伺服器角色，DHCP伺服器角色和WINS伺服器角色。在預設情況下，Windows Server 20008 Core已經安裝了檔案伺服器角色用于進行遠端管理。

同時Windows Server 20008 Core還支援以下特征：群集伺服器，網絡負載平衡，Unix子系統，Windows Server Backup，MPIO，Removable Storage Management，Windows BitLocker驅動器加密，SNMP，Single Instance Storage以及Telnet用戶端。

在第一篇中我們已經介紹了有關于Windows Server 2008 Enterprise的安裝和管理。今天我們将繼續講解如何管理Windows Server 2008 Enterprise Core，所使用虛拟機場景延續上一篇。在上一篇中，我們搭建了一台Windows Server 2008的域控制器和DNS伺服器，計算機名為Sea-DC1。今天我們将安裝Windows Server 2008 Enterprise Core，計算機名稱為Sea-svr2。關于第一篇文章，請參見以下連結：

登陸了Windows Server 2008 Enterprise Core的計算機後，我們會發現沒有UI，也就是圖形性界面，隻有一個<b>Windows command shell</b>。如下圖（1）所示。

<b>圖（1）</b>

首先使用<b>netsh</b>指令為計算機配置IP V4位址。如下圖（2）所示。

<b>圖（2）</b>

接着設定DNS。使用<b>ipconfig /all</b>檢視TCP/IP設定是否成功。如下圖（3）所示。

<b>圖（3）</b>

此時，我将此計算機的網絡配置為：

<b>IP </b><b>位址</b> – 192.168.1.3

<b>子網路遮罩</b>- 255.255.255.0

<b>預設網關</b> – 無

<b>DNS</b><b>伺服器</b> – 192.168.1.1

下面我将使用<b>netdom</b>指令将此計算機加入到Windows Server 2008域<b>contoso.com</b>，計算機還沒有重命名，等一下加入域後我再重新改計算機名稱。如下圖（4）所示。

<b>圖（4）</b>

注意，在上圖（4）中，我使用了<b>/passwordd:*</b>，這樣将會提示輸入域管理者的密碼，此時輸入的密碼是不顯示的，這樣就很安全。而如果直接使用<b>/passwordd:密碼</b>，将直接顯示密碼。

接着使用<b>shutdown</b>指令重新啟動計算機，當然您如果按<b>Ctrl+Alt+Del</b>鍵再選擇關機也是可以的。如下圖（5）所示。

<b>圖（5）</b>

重新啟動之後，我們将使用<b>netdom</b>指令将計算機重新命名<b>Sea-svr2</b>，<b>netdom</b>指令有一個<b>renamecomputer</b>的參數，可以同時更新本地的計算機名稱和活動目錄中的對應該計算機的計算機對象名稱，此指令運作之後會有一個提示<b>&lt;Y or N&gt;</b>，計算機改名對一些特殊的服務會有影響，例如證書服務。在這裡我直接選擇<b>Y</b>。如下圖（6）所示。

<b>圖（6）</b>

然後我們在域控制器<b>Sea-DC1</b>上打開<b>Server Manager,</b>展開<b>roles,</b>展開<b>Active Directory Domain Service,</b>展開<b>Active Directory Users and Computers，</b>點選<b>Computers</b>容器<b>，</b>發現已經存在了一個名稱為<b>Sea-svr2</b>的計算機賬号<b>。</b>如下圖（7）所示。

<b>圖（7）</b>

下面我将使用<b>netsh</b>指令配置<b>Windows Firewall</b>，我将打開下列端口：

<b>DNS伺服器UDP 53</b>：接受用戶端DNS查詢

<b>DNS</b><b>伺服器TCP 53</b>：用于區域傳輸

<b>TCP 135：</b>用于進行遠端管理

<b>UDP 137：</b>Netbios-ns

<b>UDP 138：</b> Netbios-dgm

<b>TCP 139 ：</b> Netbios-SSN

<b>TCP 445 ：</b>Microsoft-Ds

<b>TCP 3389：</b>遠端桌面

注：這裡開DNS的端口是因為稍後我将把<b>Sea-svr2</b>配置為DNS伺服器。

首先使用<b>netsh</b>指令檢視目前防火牆的配置。如下圖（8）所示。

<b>圖（8）</b>

從圖（8）可以看到<b>Windows Firewall</b>是啟用的，但是卻沒有指定打開什麼端口。下面我将把前面所提到的端口一一打開。如下圖（9）所示。

<b>圖（9）</b>

使用<b>netsh firewall show config</b>指令檢視目前防火牆配置，如下圖（10）所示。

<b>圖（10）</b>

從圖中可以看到，在<b>Service configuration for Domain Profile</b>下面，<b>檔案和列印共享以及遠端桌面服務</b>已經啟用，并且<b>TCP的135，53和UDP的53端口</b>都已經打開了。

接下來我們使用oclist.exe來檢視目前伺服器角色清單以及安裝狀态。如下圖（11）所示。

<b>圖（11）</b>

我們可以發現沒有安裝伺服器角色，整個清單實際非常長的，顯示的非常清楚。接下來我們使用ocsetup在Sea-svr2上安裝DNS伺服器角色，如下圖（12）所示。

<b>圖（12）</b>

接下來再次使用oclist.exe來檢視目前伺服器角色清單以及安裝狀态。如下圖（13）所示。

<b>圖（13）</b>

可以看到DNS伺服器角色已經安裝成功了，如果您需要後續管理此計算機上的DNS伺服器角色，可以使用dnscmd指令，或者從其他計算機使用DNS控制台來遠端管理。

注：使用ocsetup進行角色安裝的時候，對大小寫是敏感的。例如假設圖（12）中的指令您寫成了“<b>start /w ocsetup dns-server-core-role</b>”，将會執行失敗。另如果您要安裝域控制器角色，請使用<b>dcpromo</b>，不要使用<b>ocsetup</b>。

最後我們來測試之前的防火牆配置。首先我們從域控制器Sea-DC1上遠端打開Sea-svr2的計算機管理。如下圖（14）所示。

<b>圖（14）</b>

從圖（14）中可以看到我在Sea-DC1這台域控制器上使用計算機管理控制台遠端連接配接上了Sea-Svr2.contoso.com。我們不妨嘗試建立一個共享。可以成功建立。如下圖（15）所示。

<b>圖（15）</b>

但是因為Sea-svr2上配置防火牆的時候沒有開RPC服務，是以無法打開事件檢視器。如下圖（16）所示。

<b>圖（16）</b>

<b>圖（17）</b>

接下來我從Sea-DC1上使用遠端桌面連接配接嘗試連接配接Sea-svr2，發現連接配接失敗，如下圖（18）所示。

<b>圖（18）</b>

大家可能想到之前我在Sea-svr2上已經配置了windows firewall允許TCP 3389的入站連接配接了，但是為什麼無法連接配接呢，其實很簡單，因為在Sea-svr2預設遠端桌面功能沒有開啟。接下來我将使用<b>scregedit.wsf（</b>此腳本位于<b>\windows\system32</b>下<b>）</b>腳本在<b>Sea-svr2</b>上啟用遠端桌面。如下圖（19）所示。

<b>圖（19）</b>

然後從Sea-DC1上使用遠端桌面連接配接重新嘗試連接配接Sea-svr2，發現連接配接成功，如下圖（20）、（21）所示。

<b>圖（20）</b>

<b>圖（21）</b>

本文轉自 chinaperrylee 51CTO部落格，原文連結：http://blog.51cto.com/perry/145549，如需轉載請自行聯系原作者