Aldebaran

人生最棒的感觉,就是你做到别人说你做不到的事。

0%

Windows Server 2016出机流程

Posted on Edited on In

三田寺円

线上的服务器最近打算从Windows Server 2012升级到Windows Server 2016。

这里记录一下流程,之后修改出机脚本的时候可以对照参考。

优化与安全

  • 显示桌面图标

    打开cmd执行

      cmd> rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0

    01

  • 更新补丁(可选)

    Windows Server 2016是自动更新了,所以这步其实是没有必要。不过我们可以先看看在哪里看自动更新

    02

    03

    04

  • 修改端口

    打开cmd执行

      cmd> regedit

    依次展开注册表

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

    其下的“PortNumber”键值所对应的就是端口号,将其修改即可。

  • 自定义日志路径(可选)

    打开事件查看器,你会发现原先的 Application, Security, System日志默认的位置都是在C盘且位置很不好查看

    05

    06

    原先的路径

      %SystemRoot%\System32\Winevt\Logs\Application.evtx
  %SystemRoot%\System32\Winevt\Logs\Security.evtx
  %SystemRoot%\System32\Winevt\Logs\System.evtx

    07

    修改后的位置(如果C盘空间不够,还可以改到其他盘去。)

      C:\EventLog\Application\Application.evtx
  C:\EventLog\Security\Security.evtx
  C:\EventLog\System\System.evtx

    08

  • 本地策略

    • 设置安全策略

      使用密码永不过期,正常应该
      此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。

      09

    • 修改审核策略

      10

    • 创建IP策略(可选)

      11

  • 时间同步(可选)

    打开powershell

      # # 方法一:
  # w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
  # Stop-Service w32time
  # Start-Service w32time
  # w32tm /query /status

  # # 方法二:
  # Start-Service w32time
  # w32tm /resync
  # w32tm /query /status

  # # 方法三:
  Start-Service w32time
  w32tm /config /update /manualpeerlist:pool.ntp.org
  w32tm /resync
  w32tm /query /status

安装软件

  • 安装.NET-Framework

    去官网下载就完事了,这里需求是.NET-Framework 47

    12

  • 安装IIS/IIS管理工具/Telnet-Client

    13

    14

    15

其他

  • 将隐私选择里面的值全部关闭掉。

    16

    17

  • 修改远程桌面会话级别

    找到左侧边栏计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-安全项
    修改“远程(RDP)连接要求使用指定的安全层”,改为启用,安全层选择RDP

    18

  • 显示文件后缀

    19

关闭不需要的服务

将下列的内容,保存成server.reg文件,然后双击导入到注册表中。

Windows Registry Editor Version 5.00

/*RemoteRegistry是远程注册表*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry] 
"Start"=dword:00000004


/*CertPropSvc为智能卡提供证书*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertPropSvc] 
"Start"=dword:00000004

/*维护网络上计算机的最新列表以及提供这个列表给请求的程序*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\browser] 
"Start"=dword:00000004


/*收集和存储意外的应用程序关闭事件并向 Microsoft 报告,它还允许对非标准环境中运行的服务和应用程序启用错误报告*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004

/*spooler是打印服务*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler] 
"Start"=dword:00000004

/*提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]
"Start"=dword:00000004

/*传真服务*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fax]
"Start"=dword:00000004

/*允许自动配置无线通讯的 IEEE 802.11 无线适配器*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC]
"Start"=dword:00000004

/*windows installer服务是Windows系统专门为采用MSI Windows Installer所封装程序的一个服务,如果我们把这项服务停止,那么只要采用该封装方式的软件将无法安装,这样可以限制不少软件的安装*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]
"Start"=dword:00000002

/*是Windows辅助工具管理器程序服务*/