超级会员免费看
Windows Server 管理与维护全攻略
在企业网络环境中,Windows Server 的管理与维护至关重要,涉及到系统更新、安全防护、数据备份等多个方面。下面将详细介绍相关的操作和配置方法。
1. WSUS 配置与管理
WSUS(Windows Server Update Services)可帮助管理员控制网络中哪些 Windows Update 客户端接收特定更新。以下是其相关操作:
-
初始同步
:在 Windows Server Update Services 配置向导的完成页面,选中“开始初始同步”复选框,然后点击“完成”。WSUS 会开始与上游服务器同步,并下载可用更新的信息。
-
配置 WSUS 组
:
-
创建组
:使用更新服务控制台创建和管理 WSUS 组。默认有“所有计算机”和“未分配的计算机”两个组,每个连接到 WSUS 服务器的 Windows Update 客户端计算机都会自动添加到这两个组中。要创建新组,右键单击“所有计算机”组,从上下文菜单中选择“添加计算机组”,在弹出的对话框中指定名称。
-
移动计算机到组
:有两种方法可以将计算机从未分配的计算机组移动到指定组。
-
服务器端定位
:在更新服务控制台中手动选择计算机,右键单击并选择“更改成员身份”,打开“设置计算机组成员身份”对话框进行操作。
-
客户端定位
:启用“启用客户端定位”组策略设置,可配置接收该设置的客户端自动将自己添加到策略设置中指定的组。
graph LR
A[开始] --> B[打开更新服务控制台]
B --> C[创建新组]
C --> D{移动计算机方式}
D -->|服务器端定位| E[手动选择计算机更改成员身份]
D -->|客户端定位| F[启用组策略设置]
E --> G[完成操作]
F --> G
2. 混合环境下的补丁管理
WSUS 的一个主要优势是让管理员在生产网络上部署更新之前进行评估和测试。更新评估过程可能包括以下内容:
-
评估更新文档
:查看更新发布附带的文档。
-
等待期
:观察其他用户是否遇到问题。
-
试点部署
:在网络的一小部分进行试点。
-
内部测试
:在实验室网络进行内部测试。
在混合环境中,不同版本和版本的 Windows 计算机的更新评估方案可能会有所不同。例如,服务器更新应比工作站更新更彻底地评估和测试,旧操作系统版本通常需要更多更新,可能需要调整优先级。
3. 批准更新
完成特定更新的评估后,管理员可以使用 WSUS 服务器上的更新服务控制台批准更新进行部署。右键单击更新,从上下文菜单中选择“批准”,在弹出的“批准更新”对话框中指定要接收该更新的组。
4. 配置 WSUS 客户端
在网络中的客户端计算机能够从 WSUS 服务器下载更新之前,需要配置其 Windows Update 客户端。通常使用组策略设置进行配置,步骤如下:
- 创建新的组策略对象 (GPO)。
- 配置所需的 Windows Update 设置。
- 将 GPO 链接到适当的域、站点或组织单位对象。
关键的组策略设置包括:
-
配置自动更新
:启用此设置可激活客户端,指定更新过程中的用户交互程度,并安排自动更新安装的时间和日期。
-
指定 Intranet Microsoft 更新服务位置
:在相应的文本框中输入要让客户端使用的 WSUS 服务器的 URL,默认格式为
http://server1:8530
。
此外,还有一些与自动更新相关的组策略设置,用于解决自动更新过程中可能出现的问题,如下表所示:
| 组策略设置 | 功能描述 |
|---|---|
| 延迟计划安装的重启 | 指定客户端在完成更新安装后等待重启系统的时间间隔(分钟),默认 15 分钟 |
| 计划安装时重新提示重启 | 指定用户推迟客户端请求的重启后,客户端再次提示用户的时间间隔(分钟) |
| 计划自动更新安装时,有用户登录时不自动重启 | 防止客户端在有用户登录时自动重启计算机,而是通知用户重启系统以完成更新安装 |
| 启用 Windows 更新电源管理以自动唤醒系统以安装计划更新 | 使计算机在有更新要安装时从休眠状态唤醒,若使用电池供电,客户端将在两分钟后中止更新安装并返回休眠状态 |
| 重新安排自动更新计划安装 | 指定客户端在系统启动后等待执行错过的计划更新安装的时间间隔(分钟),未配置时默认等待 1 分钟,禁用时将更新推迟到下一次计划安装 |
5. 实施 Windows Defender 反恶意软件解决方案
Windows Defender 是 Windows Server 2016 中包含的反恶意软件功能,默认安装并激活。以下是其相关操作:
-
卸载 Windows Defender
:如果要运行与 Windows Defender 不兼容的第三方反恶意软件产品,可以使用服务器管理器中的“删除角色和功能向导”或 PowerShell 命令
uninstall-windowsfeature -name windowsserverantimalware
进行卸载。
-
图形化配置 Windows Defender
:打开“设置”窗口,选择“Windows Defender”页面,可配置以下属性:
-
实时保护
:使 Windows Defender 持续扫描系统以查找恶意软件。
-
基于云的保护
:允许 Windows Defender 将其发现的信息发送到云端的 Microsoft 服务器进行研究。
-
自动样本提交
:允许 Windows Defender 自动将受感染文件的样本发送到云端的 Microsoft 服务器。
-
排除项
:允许用户指定应从 Windows Defender 扫描中排除的文件、文件夹、文件类型和进程。
-
增强通知
:使 Windows Defender 生成有关其活动的通知。
点击“打开 Windows Defender”可启动其图形界面,在此界面中可以查看 Defender 的状态、扫描系统、检查病毒和间谍软件定义的状态以及查看扫描历史记录。
-
使用 PowerShell 配置 Windows Defender
:Windows Defender 包含一个名为 Defender 的 Windows PowerShell 模块,其中的 cmdlet 可更详细地监控和控制 Defender 的活动。例如,
Get-MpComputerStatus
cmdlet 可显示 Windows Defender 的功能是否启用以及最近更新和扫描的日期。主要的配置 cmdlet 是
Set-MpPreference
,它支持多个参数,部分参数如下:
| 参数 | 功能描述 |
|---|---|
| CheckForSignaturesBeforeRunningScan | 指定 Defender 在开始扫描前是否检查新的定义版本 |
| DisableArchiveScanning | 指定 Defender 是否扫描存档文件(如 zip 和 cab)的内容 |
| DisableEmailScanning | 指定 Defender 是否扫描标准邮箱文件的内容 |
| DisableIOAVProtection | 指定 Defender 是否扫描下载的文件和附件 |
| DisableRealtimeMonitoring | 指定 Defender 是否使用实时保护 |
| ExclusionPath | 指定 Defender 应从其扫描中排除的路径 |
| LowThreatDefaultAction | 指定 Defender 检测到低级别威胁时应采取的补救措施 |
| ScanParameters | 指定 Defender 在计划扫描期间应执行的扫描类型 |
- 使用组策略配置 Windows Defender :对于重视安全的企业,建议在网络级别使用组策略配置 Windows Defender 设置。Windows Defender 设置位于组策略对象的“计算机配置\策略\管理模板\Windows 组件\Windows Defender”文件夹中,组策略提供了比 PowerShell 更精细的控制。
-
将 Windows Defender 与 WSUS 和 Windows Update 集成
:为确保 Windows Defender 能及时更新其间谍软件和病毒签名定义,可在更新服务控制台中完成以下操作:
- 启动更新服务,展开服务器图标,选择“选项”页面。
- 选择“产品和分类”。
- 在“产品”选项卡中,向下滚动并选中“Windows Defender”复选框,然后点击“应用”。
- 在“分类”选项卡中,选中“定义更新”复选框,然后点击“确定”。
- 点击“自动批准”。
- 在“更新规则”选项卡中,点击“新建规则”。
- 在“添加规则”对话框的步骤 1 中,选中“当更新属于特定分类时”复选框。
- 在步骤 2 中,点击“任何分类”链接。
- 在“选择更新分类”对话框中,清除除“定义更新”外的所有复选框,然后点击“确定”。
- 在步骤 2 中,点击“所有计算机”链接。
- 在“选择计算机组”对话框中,清除除要接收更新的组外的所有复选框,然后点击“确定”。
- 在步骤 3 中,为规则输入名称,然后点击“确定”。
- 点击“确定”关闭“自动批准”对话框。
6. 使用 Windows Server Backup 执行备份和还原操作
Windows Server 2016 包含一个备份软件程序,可将卷备份到内部或外部硬盘、可写 DVD 驱动器或网络共享。但它也有一些局限性,如下表所示:
| 局限性 | 描述 |
|---|---|
| 有限的驱动器支持 | 不支持无法通过文件系统访问的磁带或光盘驱动器,主要设计用于使用 USB 或 IEEE 1394 连接的外部硬盘 |
| 有限的调度 | 只能调度单个作业,且仅限于每天运行一次或多次,无法为未来日期调度作业或指定作业之间超过 24 小时的间隔 |
| 有限的作业类型 | 不能按作业执行完整、增量和差异备份,可将所有备份配置为完整或增量备份,或为每个目标卷选择完整或增量备份,不支持差异作业 |
| 不同的备份格式 | 备份文件以 VHDX(虚拟硬盘)格式写入,可使用 Hyper - V 或磁盘管理管理单元访问 |
在使用 Windows Server Backup 之前,需要使用服务器管理器中的“添加角色和功能向导”或 PowerShell 命令
Install-WindowsFeature
安装该功能,安装后会出现 Windows Server Backup 控制台。
-
创建单个备份作业
:可使用本地磁盘或网络共享进行备份,若目标空间不足,作业将失败。以本地磁盘为目标创建单个备份作业的步骤如下:
- 打开 Windows Server Backup 控制台,在“操作”窗格中点击“立即备份”以启动“立即备份向导”。
- 在“备份选项”页面,选择“其他选项”。若系统已配置计划备份作业,可选择“计划备份选项”立即运行该作业的单个实例。
- 在“选择备份配置”页面,选择“自定义”选项。
- 在“选择要备份的项目”页面,点击“添加项目”。可点击“高级设置”按钮创建排除项,防止指定的文件类型在作业期间被备份。
- 在“选择项目”对话框中,选择要备份的系统元素。
- 在“指定目标类型”页面,选择“本地驱动器”选项。
- 在“选择备份目标”页面,使用“备份目标”下拉列表选择要存储备份的卷。
- 在“确认”页面,点击“备份”开始作业。
- 在“备份进度”页面,可监控作业进度。
- 点击“关闭”,备份作业将在后台继续运行。
-
执行计划备份
:可安排备份作业每天在相同时间执行。创建计划备份作业的步骤如下:
- 打开 Windows Server Backup 控制台,在“操作”窗格中点击“备份计划”以启动“备份计划向导”。
- 在“选择备份配置”页面,选择“自定义”选项。
- 在“选择要备份的项目”页面,点击“添加项目”。
- 在“选择项目”对话框中,选择要备份的系统元素。
- 在“指定备份时间”页面,选择“每天一次”选项,并使用“选择一天中的时间”下拉列表指定备份时间。对于运行不稳定应用程序的计算机,可选择“每天多次”选项并选择多个备份时间。
- 在“指定目标类型”页面,选择“备份到专用备份硬盘”选项。
- 在“选择目标磁盘”页面,选择要用于备份的磁盘。“可用磁盘”框仅列出连接到计算机的外部磁盘,若要使用内部磁盘,需点击“显示所有可用磁盘”并从对话框中选择要添加到列表的磁盘。若选择多个磁盘,Windows Server Backup 将在每个磁盘上创建相同的备份文件副本。
- 会出现一个消息框,提示程序将格式化所选磁盘并将其专用于备份,点击“是”继续。
- 在“确认”页面,点击“完成”,向导将格式化备份磁盘并安排备份作业在指定时间开始。
- 点击“关闭”。Windows Server Backup 只能调度一个备份作业,下次启动“备份计划向导”时,只能修改或停止当前备份作业。
-
配置增量备份
:Windows Server Backup 支持增量备份,但方式与其他备份软件产品不同。它会为每天执行的备份作业创建新的独立文件,系统会保留所有旧作业的文件,直到磁盘满或存储了 512 个作业,然后根据需要删除最旧的作业。可在 Windows Server Backup 控制台的操作窗格中选择“配置性能设置”,在弹出的“优化备份性能”对话框中选择备份性能选项:
- 正常备份性能 :每次备份时将所选卷上的每个文件复制到备份介质,可能会占用大量空间。
- 更快的备份性能 :仅复制自上次备份以来更改的文件,即增量备份,后续作业使用的存储空间更少,可维护更长的备份历史记录。
- 自定义 :可指定为计算机上的每个卷执行完整或增量备份。
-
执行还原操作
:使用 Windows Server Backup 控制台的向导界面可还原整个卷或选定的文件、文件夹和应用程序。执行选定文件或文件夹还原的步骤如下:
- 打开 Windows Server Backup 控制台,在“操作”窗格中点击“恢复”以启动“恢复向导”。
- 在“入门”页面,选择“此服务器”选项。
- 在“选择备份日期”页面,在“可用备份”框中选择要从中还原的备份日期,若该日期执行了多个备份,还需选择时间。
- 在“选择恢复类型”页面,选择“文件和文件夹”选项。
- 在“选择要恢复的项目”页面,展开服务器文件夹并选择要恢复的文件或子文件夹。该页面也可用于恢复整个卷和应用程序,当备份包含符合卷影复制服务 (VSS) 和 Windows Server Backup 要求的应用程序的卷时,可通过在向导中选择该应用程序一次性恢复整个应用程序及其数据。
- 在“指定恢复选项”页面,在“恢复目标”框中指定是将所选内容恢复到其原始位置还是其他位置。
- 在“当向导在恢复目标中找到文件和文件夹时”框中,指定是复制、覆盖还是跳过现有文件和文件夹。
- 在“安全设置”框中,指定是否恢复所选文件和文件夹的访问控制列表。
- 在“确认”页面,点击“恢复”,向导将恢复所选文件。
- 点击“关闭”。与许多备份软件产品不同,在还原过程中处理增量作业对控制台操作员是完全透明的,例如选择要还原的文件夹时,恢复向导会自动访问所有先前的作业以查找文件夹中每个文件的最新版本。
Windows Server 管理与维护全攻略
7. 常见问题解答
在 Windows Server 的管理与维护过程中,用户可能会遇到一些常见问题,以下是针对这些问题的解答:
-
WSUS 相关问题
-
问题
:WSUS 初始同步失败怎么办?
-
解答
:首先检查网络连接,确保 WSUS 服务器能够正常访问上游服务器。然后检查 WSUS 服务是否正常运行,可以在服务管理器中查看“Windows Server Update Services”服务的状态。另外,还需要检查防火墙设置,确保相关端口(默认 8530)是开放的。
-
问题
:客户端无法连接到 WSUS 服务器怎么办?
-
解答
:检查客户端的组策略配置,确保“指定 Intranet Microsoft 更新服务位置”设置正确,输入了正确的 WSUS 服务器 URL。同时,检查客户端的网络连接和防火墙设置,确保客户端能够访问 WSUS 服务器。
-
Windows Defender 相关问题
-
问题
:Windows Defender 实时保护无法开启怎么办?
-
解答
:如果是因为安装了与 Windows Defender 不兼容的第三方反恶意软件产品导致的,建议卸载该第三方产品。如果问题仍然存在,可以尝试使用 PowerShell 命令
Set-MpPreference -DisableRealtimeMonitoring $false
来强制开启实时保护。
-
问题
:Windows Defender 频繁误报怎么办?
-
解答
:可以在 Windows Defender 的“排除项”设置中,将误报的文件、文件夹、文件类型或进程添加到排除列表中。
-
Windows Server Backup 相关问题
-
问题
:备份作业失败怎么办?
-
解答
:检查备份目标的可用空间是否足够,如果空间不足,需要清理或更换备份目标。检查备份设备的连接是否正常,确保设备能够被系统识别。另外,查看事件查看器中的日志,了解具体的错误信息,根据错误信息进行相应的处理。
-
问题
:恢复数据时找不到所需的备份怎么办?
-
解答
:检查备份设备是否正确连接到服务器,确保备份文件存在。在“选择备份日期”页面中,确认是否选择了正确的备份日期和时间。如果仍然找不到备份,可能是备份文件损坏或丢失,需要检查备份设备和备份历史记录。
8. 最佳实践建议
为了更好地管理和维护 Windows Server,以下是一些最佳实践建议:
-
WSUS 管理
- 定期进行 WSUS 同步,确保服务器上的更新信息是最新的。
- 建立合理的 WSUS 组策略,根据不同的部门或业务需求对计算机进行分组,以便更精准地部署更新。
- 在部署更新之前,先在测试环境中进行充分的测试,确保更新不会对系统和应用程序造成影响。
-
Windows Defender 配置
- 保持 Windows Defender 的实时保护功能开启,确保系统能够及时检测和防范恶意软件。
- 定期更新 Windows Defender 的病毒和间谍软件定义,以提高其检测能力。
- 使用组策略对 Windows Defender 进行统一配置,确保所有计算机的安全设置一致。
-
Windows Server Backup 操作
- 制定合理的备份计划,根据数据的重要性和变化频率确定备份的时间间隔和备份类型。
- 定期进行恢复测试,确保备份数据能够正常恢复,避免在需要时出现问题。
- 选择可靠的备份设备,并定期检查备份设备的状态和可用空间。
9. 总结
Windows Server 的管理与维护是一个复杂而重要的工作,涉及到系统更新、安全防护、数据备份等多个方面。通过合理配置 WSUS、Windows Defender 和 Windows Server Backup 等工具,管理员可以更好地控制更新部署、防范恶意软件、保护数据安全。同时,遵循最佳实践建议和及时解决常见问题,能够提高系统的稳定性和可靠性,为企业的正常运营提供有力保障。
希望以上内容能够帮助管理员更好地管理和维护 Windows Server,在实际操作中,根据具体的环境和需求进行适当的调整和优化,以达到最佳的管理效果。
graph LR
A[Windows Server 管理与维护] --> B[WSUS 管理]
A --> C[Windows Defender 配置]
A --> D[Windows Server Backup 操作]
B --> B1[初始同步]
B --> B2[配置组]
B --> B3[批准更新]
B --> B4[配置客户端]
C --> C1[卸载与安装]
C --> C2[图形化配置]
C --> C3[PowerShell 配置]
C --> C4[组策略配置]
C --> C5[与 WSUS 集成]
D --> D1[创建单个备份作业]
D --> D2[执行计划备份]
D --> D3[配置增量备份]
D --> D4[执行还原操作]
以下是一个总结表格,概括了本文介绍的主要内容:
| 管理内容 | 主要操作 |
| — | — |
| WSUS 配置与管理 | 初始同步、创建和管理组、批准更新、配置客户端 |
| 混合环境下的补丁管理 | 评估更新文档、设置等待期、试点部署、内部测试 |
| Windows Defender 反恶意软件解决方案 | 卸载、图形化配置、PowerShell 配置、组策略配置、与 WSUS 集成 |
| Windows Server Backup 备份和还原操作 | 创建单个备份作业、执行计划备份、配置增量备份、执行还原操作 |
通过以上的介绍和总结,相信读者对 Windows Server 的管理与维护有了更全面和深入的了解,能够在实际工作中更好地运用这些知识和工具。
扫一扫
99
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
