Какую редакцию Windows Server 2022 выбрать — Standard или Datacenter?

Для офиса до 30 пользователей и 1–2 серверов берите Standard: дешевле в 7 раз и хватает для AD, файлов, 1С. Datacenter имеет смысл только при плотной виртуализации (10+ ВМ на хост) или Storage Spaces Direct.

Server Core или GUI для контроллера домена?

Для DC рекомендую Server Core: меньше уязвимостей, на 30% меньше обновлений, экономия RAM. Управляется через Windows Admin Center и RSAT. Для файлового сервера или сервера 1С удобнее GUI.

Стоит ли переходить на Windows Server 2025?

В 2026 году я рекомендую 2022 как проверенную версию (LTSC до 2031 года). Server 2025 имеет смысл, если нужны hotpatching без перезагрузок, SMB over QUIC или новый GPU partitioning.

Сколько контроллеров домена нужно для отказоустойчивости?

Минимум два DC даже для офиса в 20 человек. Один DC = одна точка отказа: при сбое сотрудники не смогут войти в почту, 1С, файлы. Второй DC ставится на отдельный физический сервер или гипервизор.

Что обязательно настроить сразу после установки?

Переименование сервера, статический IP, обновления (sconfig), отключение IPv6 на интерфейсах для AD, настройка часового пояса и NTP, бэкап System State, BitLocker на системный диск, отключение SMBv1, включение Defender.

Windows Server 17 апреля 2026 · 16 мин чтения

Windows Server 2022: первоначальная настройка для офиса в 2026 году

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и за 15 лет лично развернул больше 200 серверов под Windows для офисов в Москве и МО — от трёх человек в риелторском агентстве до 80 рабочих мест на производстве. В этой статье разложу по полочкам, что я делаю с чистым Windows Server 2022 в первые два часа после установки. Без воды, по делу, с конкретными командами PowerShell.

Какую редакцию и почему я ставлю в 95% случаев

Меня периодически зовут «разобраться» в офис, где предыдущий админ купил Windows Server 2022 Datacenter за 850 000 рублей, чтобы крутить на нём один файловый сервер и AD. Это как купить Mercedes G-Class, чтобы возить на дачу мешок с картошкой. Datacenter имеет экономический смысл только когда вы крутите на одном гипервизоре 10+ виртуальных машин, иначе вы платите за неограниченные ВМ, которых у вас никогда не будет.

Моя стандартная рекомендация: Windows Server 2022 Standard. Включает все серверные роли, право на 2 виртуалки Hyper-V, поддерживается до октября 2031 года (LTSC). Цена через корпоративных партнёров Microsoft в 2026 году — около 120 000 рублей за ядро (минимум 16 ядер). Для офиса 25–40 человек этого хватает с запасом.

Server 2025 я в продакшен пока ставлю редко: ещё мало накатанных сценариев, и hotpatching с SMB over QUIC мало кому нужны на земле. 2019-я версия — морально устарела, по умолчанию SMBv1 ещё иногда включается, защита Credential Guard слабее.

Server Core vs Desktop Experience: что выбрать для DC

В 2026 году я ставлю Server Core на все контроллеры домена и серверы DNS/DHCP. Причины:

Меньше площадь атаки: нет браузера, нет проводника, нет лишних компонентов.
На 30% меньше ежемесячных обновлений и перезагрузок.
Экономия 1.5–2 ГБ RAM на сервер и около 6 ГБ диска.
Управляется удалённо через Windows Admin Center, RSAT и PowerShell.

Для сервера 1С, файлового сервера, RDS-хоста — оставляю Desktop Experience. На них часто требуется ставить агенты бэкапа, мониторинга, настраивать тонкости, и ходить локально удобнее с GUI.

Базовые настройки за первые 30 минут после установки

После установки и ввода пароля локального Administrator я открываю sconfig и за 15 минут делаю следующее:

Rename-Computer -NewName "DC01" -Restart
# после перезагрузки:
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.10.10 -PrefixLength 24 -DefaultGateway 192.168.10.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1,192.168.10.11
Set-TimeZone -Id "Russian Standard Time"
w32tm /config /manualpeerlist:"ntp.msk-ix.ru,ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update
Disable-NetAdapterBinding -Name "Ethernet" -ComponentID ms_tcpip6
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Дальше включаю Remote Desktop и Remote Management:

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0
Enable-PSRemoting -Force

Обновления через sconfig → пункт 6 → All quality updates. Перезагрузка после установки. На свежий 2022-й обычно прилетает 4–6 ГБ обновлений, поэтому делаю это до того, как сервер попадёт в продуктив.

Поднимаем Active Directory с нуля

Контроллер домена я ставлю строго на отдельный сервер (физический или ВМ), без совмещения с файлами и 1С. Команды для развёртывания первого DC в новом лесу:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Install-ADDSForest `
  -DomainName "corp.itfresh.ru" `
  -DomainNetbiosName "ITFRESH" `
  -DomainMode WinThreshold `
  -ForestMode WinThreshold `
  -InstallDns:$true `
  -DatabasePath "C:\Windows\NTDS" `
  -SysvolPath "C:\Windows\SYSVOL" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "СложныйПарольDSRM!2026" -AsPlainText -Force) `
  -Force:$true

После перезагрузки сервер становится контроллером домена. Сразу после этого я добавляю второй DC на отдельный сервер — без него вся компания встанет при первом сбое единственного DC:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController `
  -DomainName "corp.itfresh.ru" `
  -InstallDns:$true `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "СложныйПарольDSRM!2026" -AsPlainText -Force) `
  -Credential (Get-Credential) `
  -Force:$true

Проверка репликации между DC — обязательный шаг через 30 минут после поднятия второго:

Get-ADReplicationFailure -Target "DC01","DC02"
repadmin /replsummary
dcdiag /v

Если Get-ADReplicationFailure возвращает пусто и dcdiag показывает passed — лес здоров.

DNS и DHCP: настройки, которые экономят нервы

Установка DNS происходит автоматически с ролью AD DS. Я обязательно делаю:

Настраиваю forwarders на надёжные DNS (1.1.1.1, 8.8.8.8 или внутренние корпоративные).
Включаю обратные зоны (Reverse Lookup Zone) для подсетей — без них Kerberos и многие службы работают криво.
Включаю Scavenging для очистки устаревших записей: интервал 7 дней.
Отключаю рекурсию для внешних запросов, если сервер виден в интернет.

Add-DnsServerForwarder -IPAddress 1.1.1.1,8.8.8.8
Set-DnsServerScavenging -ScavengingState $true -ScavengingInterval 7.00:00:00 -RefreshInterval 7.00:00:00 -NoRefreshInterval 7.00:00:00
Add-DnsServerPrimaryZone -NetworkId "192.168.10.0/24" -ReplicationScope Domain -DynamicUpdate Secure

DHCP я ставлю на тот же сервер, что и DC, в офисах до 50 человек. Авторизация в AD обязательна, иначе сервис не запустится:

Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerInDC -DnsName "dc01.corp.itfresh.ru" -IPAddress 192.168.10.10
Add-DhcpServerv4Scope -Name "Office" -StartRange 192.168.10.50 -EndRange 192.168.10.250 -SubnetMask 255.255.255.0
Set-DhcpServerv4OptionValue -ScopeId 192.168.10.0 -Router 192.168.10.1 -DnsServer 192.168.10.10,192.168.10.11 -DnsDomain "corp.itfresh.ru"

Remote Desktop Services для удалённой работы 1С

В 30% офисов, которые я обслуживаю, бухгалтерия работает с 1С через RDS. Развёртывание роли RDS Session Host:

Install-WindowsFeature RDS-RD-Server,RDS-Licensing -IncludeManagementTools
Set-RDLicenseConfiguration -LicenseServer "rds01.corp.itfresh.ru" -Mode PerUser -ConnectionBroker "rds01.corp.itfresh.ru"

Лицензии RDS CAL покупаются отдельно (около 4 500 руб./пользователь в 2026 году). Активация лицензионного сервера через licmgr.exe. На один сервер с 32 ГБ RAM комфортно сажаются 25–30 пользователей 1С — больше начинаются качели по памяти.

Безопасность: что выключить и что включить в первый день

За 15 лет я выработал чек-лист безопасности, который применяю на каждом сервере:

# Отключаем SMBv1 — это XSS среди сетевых протоколов
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

# Включаем Defender в продакшене
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -EnableControlledFolderAccess Enabled

# Отключаем устаревшие cipher suites
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"

# BitLocker на системный диск с TPM
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

# Блокируем легаси-протоколы аутентификации в AD
Set-ADDomainMode -Identity "corp.itfresh.ru" -DomainMode Windows2016Domain

Аккаунт встроенного Administrator переименовываю и блокирую через GPO. Создаю отдельные admin-учётки именные (admin-semenov), чтобы в логах было видно, кто что делал.

Бэкап и Windows Server Backup

Без бэкапа сервер — это бомба замедленного действия. Минимальная схема для DC:

Install-WindowsFeature Windows-Server-Backup
$Policy = New-WBPolicy
$Target = New-WBBackupTarget -NetworkPath "\\nas01\backup\dc01" -Credential (Get-Credential)
Add-WBSystemState -Policy $Policy
Add-WBBackupTarget -Policy $Policy -Target $Target
Set-WBSchedule -Policy $Policy -Schedule 01:00,13:00
Set-WBPolicy -Policy $Policy

System State включает базу AD, SYSVOL, реестр и сертификаты — этого достаточно для восстановления контроллера. Храню бэкапы 30 дней, обязательно одну копию выношу за пределы домена (NAS в другом VLAN или внешний диск). Раз в квартал делаю тестовое восстановление в лабораторию — не реже.

Windows Admin Center: панель управления через браузер

WAC я ставлю на отдельную виртуальную машину (2 vCPU, 4 ГБ RAM достаточно) и открываю доступ только из админской VLAN. Установка:

Invoke-WebRequest -Uri "https://aka.ms/WACDownload" -OutFile "$env:TEMP\WindowsAdminCenter.msi"
msiexec /i "$env:TEMP\WindowsAdminCenter.msi" /qn /L*v "$env:TEMP\WAC.log" SME_PORT=443 SSL_CERTIFICATE_OPTION=generate

После установки доступен по https://wac01.corp.itfresh.ru. Через WAC удобно управлять Server Core: установка ролей, мониторинг, файрвол, сертификаты, Hyper-V, обновления — всё через браузер.

Типичные ошибки, которые я встречаю в чужих установках

Когда я приезжаю на аудит к новому клиенту, в 8 случаях из 10 нахожу одно и то же:

Один контроллер домена — при его падении встаёт всё.
DC совмещён с сервером 1С и файловым сервером — куча проблем с обновлениями и нагрузкой.
Бэкапов нет, либо они есть на том же диске, что и продуктив.
SMBv1 включён, по логам видно сканирование от чужих устройств.
Пароль администратора домена не менялся 4 года и одинаков с админом локальных серверов.
RDP открыт в интернет на стандартный порт 3389.
Кеш-обновлений никто не чистит, диск С полон до 95%.

Если у вас совпадает хотя бы три пункта из этого списка — нужно срочно делать аудит. Это не теория, это вопрос, когда (а не если) случится инцидент.

Бесплатный аудит инфраструктуры Windows Server

Я приезжаю на аудит лично, 2–3 рабочих дня — и вы получаете письменный отчёт с уязвимостями, рекомендациями и расчётом стоимости работ. Без обязательств.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по настройке Windows Server 2022

Какую редакцию Windows Server 2022 выбрать — Standard или Datacenter?: Для офиса до 30 пользователей и 1–2 серверов берите Standard: дешевле в 7 раз и хватает для AD, файлов, 1С. Datacenter имеет смысл только при плотной виртуализации (10+ ВМ на хост) или Storage Spaces Direct.
Server Core или GUI для контроллера домена?: Для DC рекомендую Server Core: меньше уязвимостей, на 30% меньше обновлений, экономия RAM. Управляется через Windows Admin Center и RSAT. Для файлового сервера или сервера 1С удобнее GUI.
Стоит ли переходить на Windows Server 2025?: В 2026 году я рекомендую 2022 как проверенную версию (LTSC до 2031 года). Server 2025 имеет смысл, если нужны hotpatching без перезагрузок, SMB over QUIC или новый GPU partitioning.
Сколько контроллеров домена нужно для отказоустойчивости?: Минимум два DC даже для офиса в 20 человек. Один DC = одна точка отказа: при сбое сотрудники не смогут войти в почту, 1С, файлы. Второй DC ставится на отдельный физический сервер или гипервизор.
Что обязательно настроить сразу после установки?: Переименование сервера, статический IP, обновления (sconfig), отключение IPv6 на интерфейсах для AD, настройка часового пояса и NTP, бэкап System State, BitLocker на системный диск, отключение SMBv1, включение Defender.