· 16 мин чтения

Windows Server 2022: первоначальная настройка для офиса в 2026 году

Windows Server 2022: первоначальная настройка для офиса в 2026 году

Привет! Я, Семёнов Евгений Сергеевич, директор АйТи Фреш. За свои 15 лет в IT я сам, своими руками, настроил и запустил больше 200 Windows-серверов для самых разных офисов в Москве и Подмосковье. Масштаб клиентов тоже был разный: от маленького риелторского агентства с тремя сотрудниками до крупного производства на 80 рабочих мест. В этой статье я хочу подробно рассказать вам, что именно я делаю с новеньким Windows Server 2022 в первые пару часов после его установки. Без лишних слов, только по делу, с конкретными командами PowerShell.

Какую редакцию и почему я ставлю в 95% случаев

Меня нередко зовут «разобраться» в офис, где предыдущий админ купил Windows Server 2022 Datacenter за 850 000 рублей — чтобы крутить на нём один файловый сервер и AD. Это как взять Mercedes G-Class, чтобы возить на дачу мешок картошки. Datacenter оправдан экономически только когда на одном гипервизоре у вас живёт 10+ виртуалок. Иначе вы платите за неограниченные ВМ, которых у вас никогда не будет.

Моя стандартная рекомендация — Windows Server 2022 Standard. В нём все серверные роли, право на 2 виртуалки Hyper-V и поддержка аж до октября 2031 года (LTSC). Цена через корпоративных партнёров Microsoft в 2026-м — около 120 000 рублей за ядро (минимум 16 ядер). Офису на 25–40 человек этого хватает с запасом.

Server 2025 в продакшен я пока ставлю нечасто, потому что проверенных сценариев использования ещё не так много. К тому же, функции вроде hotpatching и SMB over QUIC на практике почти никому не нужны. А вот 2019-я версия, честно говоря, уже устарела. Там по умолчанию нет-нет да и всплывает SMBv1, и Credential Guard там тоже, на мой взгляд, послабее.

Server Core vs Desktop Experience: что выбрать для DC

В 2026 году я планирую ставить Server Core на все контроллеры домена, а также на серверы DNS/DHCP. И вот почему:

Но для сервера 1С, файлового сервера и RDS-хоста я всё же оставляю Desktop Experience. Туда часто приходится ставить агенты для бэкапа и мониторинга, да и всякие тонкости настраивать. А локально, с привычным GUI, это просто-напросто удобнее.

Базовые настройки за первые 30 минут после установки

После того как система установилась и я ввёл пароль локального Administrator, я сразу открываю sconfig. За каких-то 15 минут я прохожусь по всему списку:

Rename-Computer -NewName "DC01" -Restart
# после перезагрузки:
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.10.10 -PrefixLength 24 -DefaultGateway 192.168.10.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1,192.168.10.11
Set-TimeZone -Id "Russian Standard Time"
w32tm /config /manualpeerlist:"ntp.msk-ix.ru,ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update
Disable-NetAdapterBinding -Name "Ethernet" -ComponentID ms_tcpip6
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Дальше включаю Remote Desktop и Remote Management:

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0
Enable-PSRemoting -Force

Обновления через sconfig → пункт 6 → All quality updates. Перезагрузка после установки. На свежий 2022-й обычно прилетает 4–6 ГБ обновлений, поэтому делаю это до того, как сервер попадёт в продуктив.

Поднимаем Active Directory с нуля

Контроллер домена я всегда устанавливаю на отдельный сервер, будь то физическая машина или ВМ. Никогда не совмещаю его с файловым сервером или 1С. Вот команды, чтобы развернуть первый DC в новом лесу:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Install-ADDSForest `
  -DomainName "corp.itfresh.ru" `
  -DomainNetbiosName "ITFRESH" `
  -DomainMode WinThreshold `
  -ForestMode WinThreshold `
  -InstallDns:$true `
  -DatabasePath "C:\Windows\NTDS" `
  -SysvolPath "C:\Windows\SYSVOL" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "СложныйПарольDSRM!2026" -AsPlainText -Force) `
  -Force:$true

После перезагрузки сервер становится контроллером домена. Сразу после этого я добавляю второй DC на отдельный сервер — без него вся компания встанет при первом сбое единственного DC:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController `
  -DomainName "corp.itfresh.ru" `
  -InstallDns:$true `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "СложныйПарольDSRM!2026" -AsPlainText -Force) `
  -Credential (Get-Credential) `
  -Force:$true

Проверка репликации между DC — обязательный шаг через 30 минут после поднятия второго:

Get-ADReplicationFailure -Target "DC01","DC02"
repadmin /replsummary
dcdiag /v

Если Get-ADReplicationFailure возвращает пусто и dcdiag показывает passed — лес здоров.

DNS и DHCP: настройки, которые экономят нервы

DNS, конечно, поднимается сам, когда устанавливаешь роль AD DS. Но есть пара моментов, которые я обязательно делаю дополнительно:

Add-DnsServerForwarder -IPAddress 1.1.1.1,8.8.8.8
Set-DnsServerScavenging -ScavengingState $true -ScavengingInterval 7.00:00:00 -RefreshInterval 7.00:00:00 -NoRefreshInterval 7.00:00:00
Add-DnsServerPrimaryZone -NetworkId "192.168.10.0/24" -ReplicationScope Domain -DynamicUpdate Secure

DHCP я ставлю на тот же сервер, что и DC, в офисах до 50 человек. Авторизация в AD обязательна, иначе сервис не запустится:

Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerInDC -DnsName "dc01.corp.itfresh.ru" -IPAddress 192.168.10.10
Add-DhcpServerv4Scope -Name "Office" -StartRange 192.168.10.50 -EndRange 192.168.10.250 -SubnetMask 255.255.255.0
Set-DhcpServerv4OptionValue -ScopeId 192.168.10.0 -Router 192.168.10.1 -DnsServer 192.168.10.10,192.168.10.11 -DnsDomain "corp.itfresh.ru"

Remote Desktop Services для удалённой работы 1С

В 30% офисов, которые я обслуживаю, бухгалтерия работает с 1С через RDS. Развёртывание роли RDS Session Host:

Install-WindowsFeature RDS-RD-Server,RDS-Licensing -IncludeManagementTools
Set-RDLicenseConfiguration -LicenseServer "rds01.corp.itfresh.ru" -Mode PerUser -ConnectionBroker "rds01.corp.itfresh.ru"

Лицензии RDS CAL покупаются отдельно (около 4 500 руб./пользователь в 2026 году). Активация лицензионного сервера через licmgr.exe. На один сервер с 32 ГБ RAM комфортно сажаются 25–30 пользователей 1С — больше начинаются качели по памяти.

Безопасность: что выключить и что включить в первый день

За 15 лет моей работы у меня сформировался свой собственный чек-лист безопасности, по которому я прохожусь абсолютно на каждом сервере:

# Отключаем SMBv1 — это XSS среди сетевых протоколов
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

# Включаем Defender в продакшене
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -EnableControlledFolderAccess Enabled

# Отключаем устаревшие cipher suites
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"

# BitLocker на системный диск с TPM
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

# Блокируем легаси-протоколы аутентификации в AD
Set-ADDomainMode -Identity "corp.itfresh.ru" -DomainMode Windows2016Domain

Аккаунт встроенного Administrator переименовываю и блокирую через GPO. Создаю отдельные admin-учётки именные (admin-semenov), чтобы в логах было видно, кто что делал.

Бэкап и Windows Server Backup

Сервер без бэкапа — это бомба замедленного действия. Минимальная схема для DC:

Install-WindowsFeature Windows-Server-Backup
$Policy = New-WBPolicy
$Target = New-WBBackupTarget -NetworkPath "\\nas01\backup\dc01" -Credential (Get-Credential)
Add-WBSystemState -Policy $Policy
Add-WBBackupTarget -Policy $Policy -Target $Target
Set-WBSchedule -Policy $Policy -Schedule 01:00,13:00
Set-WBPolicy -Policy $Policy

System State включает базу AD, SYSVOL, реестр и сертификаты — этого достаточно для восстановления контроллера. Храню бэкапы 30 дней, обязательно одну копию выношу за пределы домена (NAS в другом VLAN или внешний диск). Раз в квартал делаю тестовое восстановление в лабораторию — не реже.

Windows Admin Center: панель управления через браузер

WAC я обычно разворачиваю на отдельной виртуалке, ей вполне хватает 2 vCPU и 4 ГБ RAM, и разрешаю доступ к ней только из админской VLAN. Установка выглядит так:

Invoke-WebRequest -Uri "https://aka.ms/WACDownload" -OutFile "$env:TEMP\WindowsAdminCenter.msi"
msiexec /i "$env:TEMP\WindowsAdminCenter.msi" /qn /L*v "$env:TEMP\WAC.log" SME_PORT=443 SSL_CERTIFICATE_OPTION=generate

После установки доступен по https://wac01.corp.itfresh.ru. Через WAC удобно управлять Server Core: установка ролей, мониторинг, файрвол, сертификаты, Hyper-V, обновления — всё через браузер.

Типичные ошибки, которые я встречаю в чужих установках

Когда я приезжаю на аудит к новому клиенту, в 8 случаях из 10 я вижу одну и ту же, к сожалению, привычную картину:

Если у вас совпало хотя бы три пункта из этого списка, то, поверьте, пора срочно заказывать аудит. И это не просто слова, не какая-то там теория: вопрос уже не в том, «если» произойдёт инцидент, а в том, «когда» он случится.

Бесплатный аудит инфраструктуры Windows Server

На аудит я приезжаю лично — 2–3 рабочих дня, и на руках у вас письменный отчёт с уязвимостями, рекомендациями и расчётом стоимости работ. Без обязательств.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по настройке Windows Server 2022

Какую редакцию Windows Server 2022 выбрать — Standard или Datacenter?
Для офиса до 30 пользователей и 1–2 серверов берите Standard: дешевле в 7 раз и хватает для AD, файлов, 1С. Datacenter имеет смысл только при плотной виртуализации (10+ ВМ на хост) или Storage Spaces Direct.
Server Core или GUI для контроллера домена?
Для DC рекомендую Server Core: меньше уязвимостей, на 30% меньше обновлений, экономия RAM. Управляется через Windows Admin Center и RSAT. Для файлового сервера или сервера 1С удобнее GUI.
Стоит ли переходить на Windows Server 2025?
В 2026 году я рекомендую 2022 как проверенную версию (LTSC до 2031 года). Server 2025 имеет смысл, если нужны hotpatching без перезагрузок, SMB over QUIC или новый GPU partitioning.
Сколько контроллеров домена нужно для отказоустойчивости?
Минимум два DC даже для офиса в 20 человек. Один DC = одна точка отказа: при сбое сотрудники не смогут войти в почту, 1С, файлы. Второй DC ставится на отдельный физический сервер или гипервизор.
Что обязательно настроить сразу после установки?
Переименование сервера, статический IP, обновления (sconfig), отключение IPv6 на интерфейсах для AD, настройка часового пояса и NTP, бэкап System State, BitLocker на системный диск, отключение SMBv1, включение Defender.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.