Перед початком

1. Перейменувати сервер

Дефолтне ім'я типу WIN-XXXXXX треба замінити до того, як сервер зайде у домен — інакше доведеться робити це через rename-computer + перевхід.

Rename-Computer -NewName "SRV-DC01" -Restart

Прийнято: SRV- для серверів, DC- для домен-контролерів, FS- для файлових. Узгоджена номенклатура економить нерви, коли у вас стає 10+ серверів.

2. Налаштувати статичний IP

Сервер не має жити з DHCP. Ставимо статику через PowerShell — швидше, ніж через GUI:

$nic = Get-NetAdapter | Where-Object Status -eq 'Up' | Select-Object -First 1
New-NetIPAddress -InterfaceAlias $nic.Name -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias $nic.Name -ServerAddresses 192.168.1.1,8.8.8.8

3. Часовий пояс і NTP

Set-TimeZone -Id "FLE Standard Time"
w32tm /config /manualpeerlist:"time.windows.com,0x9 ua.pool.ntp.org,0x9" /syncfromflags:manual /reliable:YES /update
Restart-Service w32time
w32tm /resync

«FLE Standard Time» — це Київ/Мінськ/Гельсінкі. Невірний час → GPO не застосовується, AD ламається, Kerberos падає.

4. Встановити останні Cumulative Update

Install-Module PSWindowsUpdate -Force
Import-Module PSWindowsUpdate
Get-WindowsUpdate
Install-WindowsUpdate -AcceptAll -AutoReboot

Перший запуск часто тягне 2-4 ГБ і вимагає 2-3 перезавантаження. Після останнього — повторіть Get-WindowsUpdate, щоб переконатись що нічого не лишилось.

5. Вимкнути IE Enhanced Security Configuration (для адмінів)

Дефолт: при відкритті будь-якого сайту в IE/Edge ви отримуєте 5 діалогів «add to trusted». Для адмінів вимикаємо, для звичайних користувачів лишаємо.

$AdminKey = "HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}"
Set-ItemProperty -Path $AdminKey -Name "IsInstalled" -Value 0
Stop-Process -Name Explorer -Force

6. Налаштувати RDP з обмеженням firewall

Увімкнути RDP — стандарт. Ризик — лишити RDP відкритим у мережу.

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Дозволити RDP тільки з конкретної підмережі
Set-NetFirewallRule -DisplayGroup "Remote Desktop" -RemoteAddress 192.168.0.0/16

7. Вимкнути SMBv1

SMBv1 — діра з 2017 року (WannaCry, NotPetya). На Server 2022 за замовчуванням вже вимкнений, але перевірте і перевимкніть «про всяк»:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

8. Налаштувати Defender і виключення

Defender на Server 2022 вже увімкнений. Перевірте статус і додайте exclusions для IO-важких папок (БД, бекапи), щоб не з'їдало CPU на real-time scan:

Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled
Add-MpPreference -ExclusionPath "C:\SQLData", "D:\Backup"
Add-MpPreference -ExclusionProcess "sqlservr.exe", "1cv8.exe"

9. Page file

Дефолт «System managed» на сервері з 64+ ГБ RAM створює page file на десятки гігабайт, який ніколи не використовується. Краще зафіксувати:

$cs = Get-WmiObject -Class Win32_ComputerSystem -EnableAllPrivileges
$cs.AutomaticManagedPagefile = $false
$cs.Put()

$pf = Get-WmiObject -Class Win32_PageFileSetting
$pf.InitialSize = 8192
$pf.MaximumSize = 8192
$pf.Put()

8 ГБ — стартовий розмір для серверів з 32+ ГБ RAM. Якщо це SQL/БД-сервер з активним свопом — рахуйте за формулою «1.5×RAM, але не більше 16 ГБ».

10. Power plan = High Performance

Дефолт — Balanced, який економить електрику. На сервері це означає sloweр CPU на 10-20% під нічними cron-задачами. Ставимо High Performance:

powercfg /setactive 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c
powercfg /getactivescheme

11. Стратегія backup

Найчастіший фейл — не зробити це у день встановлення. Мінімум:

Install-WindowsFeature Windows-Server-Backup
# Створити перший backup на окремий disk/share одразу
wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet

Або поставити повноцінне рішення (Veeam Community Edition безкоштовний для 10 робочих навантажень). Сервер без бекапу — це not прод-сервер, незалежно від того, що на ньому крутиться.

12. Audit Policy і моніторинг

Увімкнути аудит логонів і об'єктних дій:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Account Logon" /success:enable /failure:enable
auditpol /set /category:"Object Access" /success:disable /failure:enable

Це породить події 4624/4625/4634 у Security log, на які варто навісити моніторинг (див. статтю про критичні Event ID).

Чеклист

30 хвилин зараз економлять години у майбутньому. Гарантовано.