Windows Server 2022 post-install checklist: 12 речей, які треба зробити одразу після встановлення
Перед початком
- Свіжо встановлений Windows Server 2022 (Standard або Datacenter)
- Локальний адмін-доступ
- Знання, чи буде сервер у домені, якщо так — DC доступний
- ~30 хвилин часу
1. Перейменувати сервер
Дефолтне ім'я типу WIN-XXXXXX треба замінити до того, як сервер зайде у домен — інакше доведеться робити це через rename-computer + перевхід.
Rename-Computer -NewName "SRV-DC01" -Restart
Прийнято: SRV- для серверів, DC- для домен-контролерів, FS- для файлових. Узгоджена номенклатура економить нерви, коли у вас стає 10+ серверів.
2. Налаштувати статичний IP
Сервер не має жити з DHCP. Ставимо статику через PowerShell — швидше, ніж через GUI:
$nic = Get-NetAdapter | Where-Object Status -eq 'Up' | Select-Object -First 1 New-NetIPAddress -InterfaceAlias $nic.Name -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1 Set-DnsClientServerAddress -InterfaceAlias $nic.Name -ServerAddresses 192.168.1.1,8.8.8.8
Для важливих серверів (DC, файловий, БД) увімкніть NIC Teaming/SET — два кабелі у різні комутатори. Один кабель = одна точка відмови.
3. Часовий пояс і NTP
Set-TimeZone -Id "FLE Standard Time" w32tm /config /manualpeerlist:"time.windows.com,0x9 ua.pool.ntp.org,0x9" /syncfromflags:manual /reliable:YES /update Restart-Service w32time w32tm /resync
«FLE Standard Time» — це Київ/Мінськ/Гельсінкі. Невірний час → GPO не застосовується, AD ламається, Kerberos падає.
4. Встановити останні Cumulative Update
Install-Module PSWindowsUpdate -Force Import-Module PSWindowsUpdate Get-WindowsUpdate Install-WindowsUpdate -AcceptAll -AutoReboot
Перший запуск часто тягне 2-4 ГБ і вимагає 2-3 перезавантаження. Після останнього — повторіть Get-WindowsUpdate, щоб переконатись що нічого не лишилось.
5. Вимкнути IE Enhanced Security Configuration (для адмінів)
Дефолт: при відкритті будь-якого сайту в IE/Edge ви отримуєте 5 діалогів «add to trusted». Для адмінів вимикаємо, для звичайних користувачів лишаємо.
$AdminKey = "HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}"
Set-ItemProperty -Path $AdminKey -Name "IsInstalled" -Value 0
Stop-Process -Name Explorer -Force
6. Налаштувати RDP з обмеженням firewall
Увімкнути RDP — стандарт. Ризик — лишити RDP відкритим у мережу.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0 Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Обмежте RDP firewall-правилом тільки на ваш VPN-мережі або office IP. Прямий RDP в інтернет = брутфорс протягом години після публікації.
# Дозволити RDP тільки з конкретної підмережі Set-NetFirewallRule -DisplayGroup "Remote Desktop" -RemoteAddress 192.168.0.0/16
7. Вимкнути SMBv1
SMBv1 — діра з 2017 року (WannaCry, NotPetya). На Server 2022 за замовчуванням вже вимкнений, але перевірте і перевимкніть «про всяк»:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
8. Налаштувати Defender і виключення
Defender на Server 2022 вже увімкнений. Перевірте статус і додайте exclusions для IO-важких папок (БД, бекапи), щоб не з'їдало CPU на real-time scan:
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled Add-MpPreference -ExclusionPath "C:\SQLData", "D:\Backup" Add-MpPreference -ExclusionProcess "sqlservr.exe", "1cv8.exe"
Не виключайте всю папку C:\. Виключайте конкретні папки баз/логів і конкретні процеси. Інакше ви фактично вимикаєте антивірус.
9. Page file
Дефолт «System managed» на сервері з 64+ ГБ RAM створює page file на десятки гігабайт, який ніколи не використовується. Краще зафіксувати:
$cs = Get-WmiObject -Class Win32_ComputerSystem -EnableAllPrivileges $cs.AutomaticManagedPagefile = $false $cs.Put() $pf = Get-WmiObject -Class Win32_PageFileSetting $pf.InitialSize = 8192 $pf.MaximumSize = 8192 $pf.Put()
8 ГБ — стартовий розмір для серверів з 32+ ГБ RAM. Якщо це SQL/БД-сервер з активним свопом — рахуйте за формулою «1.5×RAM, але не більше 16 ГБ».
10. Power plan = High Performance
Дефолт — Balanced, який економить електрику. На сервері це означає sloweр CPU на 10-20% під нічними cron-задачами. Ставимо High Performance:
powercfg /setactive 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c powercfg /getactivescheme
11. Стратегія backup
Найчастіший фейл — не зробити це у день встановлення. Мінімум:
Install-WindowsFeature Windows-Server-Backup # Створити перший backup на окремий disk/share одразу wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet
Або поставити повноцінне рішення (Veeam Community Edition безкоштовний для 10 робочих навантажень). Сервер без бекапу — це not прод-сервер, незалежно від того, що на ньому крутиться.
12. Audit Policy і моніторинг
Увімкнути аудит логонів і об'єктних дій:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable auditpol /set /category:"Account Logon" /success:enable /failure:enable auditpol /set /category:"Object Access" /success:disable /failure:enable
Це породить події 4624/4625/4634 у Security log, на які варто навісити моніторинг (див. статтю про критичні Event ID).
Чеклист
- Сервер перейменовано (
hostname) - Статичний IP, DNS налаштовано (
ipconfig /all) - Часовий пояс і NTP синхронізовано (
w32tm /query /status) - Останні CU встановлено (
Get-WindowsUpdate= порожньо) - RDP увімкнено, firewall обмежує доступ
- SMBv1 вимкнено
- Defender активний, виключення додано
- Page file зафіксовано
- Power plan = High Performance
- Перший backup створено і протестовано на restore
- Аудит увімкнено
- Документація сервера (IP, ім'я, ролі, контакти) доданa у вашу базу знань
30 хвилин зараз економлять години у майбутньому. Гарантовано.
