Настройка сервера Windows и Linux для офиса с нуля
Привет! Меня зовут Евгений Семёнов, и я стою у руля ITFresh. За моими плечами — больше 15 лет в IT, и за это время я запустил свыше 200 серверов для офисов по всей Москве и Подмосковью. Какие только задачи они не решали! От обычных Windows Server для Active Directory до мощных Linux-машин для почты и даже сложнейших кластеров баз данных. В этой статье я поделюсь реальными, проверенными шагами, которые использую сам при настройке любого нового сервера — будь то Windows или Linux, неважно. Покажу живые команды, разберу конкретный кейс с настоящими цифрами. И, кстати, расскажу о фишках, которые почему-то перестали упоминать даже в официальных мануалах.
Выбор ОС: что для каких задач
Моё золотое правило: всегда выбирайте ОС, которая идеально подходит под конкретную задачу. Нет, правда, «универсально правильной» системы просто не бывает!
| Задача | Лучший выбор |
|---|---|
| Active Directory / файловые шары / GPO / WSUS | Windows Server 2022 |
| 1С-сервер, RDS, Exchange, MS SQL | Windows Server 2022 |
| Веб (nginx, Apache), PHP, Node.js | Ubuntu 22.04 / Debian 12 |
| База данных (PostgreSQL, MySQL) | Ubuntu / Rocky Linux |
| Почта (Postfix + Dovecot) | Debian |
| Мониторинг (Zabbix, Prometheus) | Ubuntu / Rocky |
| Proxy, VPN, файрвол | Debian / Rocky |
Вот, например, представим себе обычный офис человек на 50. Как мы его строим? Обычно я ставлю пару контроллеров домена на Windows Server. К ним добавляем 3–4 виртуалки на Linux — они обычно нужны для разных специализированных штук, типа телефонии или внутренних инструментов. А весь этот «зоопарк» надёжно работает под Hyper-V или Proxmox.
Железо и гипервизор
Слушайте, я просто фанат виртуализации и всегда настаиваю на ней. Почему? Вот простой пример: берём один Dell PowerEdge T440. Внутри — Xeon Silver 4214 (целых 12 ядер!), 96 ГБ оперативки, пара 960 ГБ SSD для системы и четыре 4 ТБ HDD в RAID-10 для данных. Эта «коробка» легко тянет всю инфраструктуру офиса на 30–50 человек! А если задачи посерьёзнее — скажем, производство или какая-то крупная инсталляция — тогда в дело идёт Dell PowerEdge R750xa. Тут уже процессор Xeon Platinum 8280, 256 ГБ RAM и NVMe в RAID-10. По нашему опыту, такой «монстр» спокойно справится с 40 виртуалками!
А что с гипервизорами? Тут выбор, по сути, сводится к двум вариантам. Если у нас микс из Windows и Linux-серверов, я обычно иду с Hyper-V. Когда же вся ферма преимущественно на Linux, то Proxmox VE — наш фаворит. И вот важный момент: после того, как Broadcom поглотил VMware, ESXi стал, на мой взгляд, просто космически дорогим. Мы теперь не советуем его нашим новым клиентам.
Установка Windows Server 2022
# После установки, через PowerShell
Rename-Computer -NewName "DC01" -Restart
# Базовый хардненинг
Set-TimeZone -Id "Russian Standard Time"
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
# Установка ролей AD DS
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName "corp.example.ru" -DomainNetbiosName "CORP" `
-ForestMode Win2016 -DomainMode Win2016 -InstallDns -Force
# DHCP на том же сервере для малого офиса
Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerv4Scope -Name "LAN" -StartRange 192.168.10.100 `
-EndRange 192.168.10.200 -SubnetMask 255.255.255.0
# WSUS для централизованных обновлений
Install-WindowsFeature UpdateServices -IncludeManagementTools
Есть ряд базовых настроек, которые мы выполняем всегда. Во-первых, если нет реальной необходимости в IPv6, я его отключаю — зачем лишние сущности? Во-вторых, логи и SYSVOL улетают на отдельный диск. Это важно! И, конечно, обязательно настраиваем аудит учётных записей и всех изменений в Active Directory. А ещё? Всегда ставим Windows Admin Center — это просто спасение! Вместо того чтобы открывать кучу mmc-консолей, у вас под рукой удобная веб-панель для управления.
Установка Ubuntu 22.04 Server
# После установки
timedatectl set-timezone Europe/Moscow
hostnamectl set-hostname srv-app01
# Обновления и базовые утилиты
apt update && apt -y upgrade
apt install -y htop iotop sysstat net-tools curl wget \
fail2ban ufw unattended-upgrades
# Firewall
ufw default deny incoming
ufw default allow outgoing
ufw allow from 192.168.10.0/24 to any port 22
ufw --force enable
# SSH-хардненинг
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh
# Автообновления
dpkg-reconfigure -plow unattended-upgrades
Помимо этого, мы всегда делаем ещё кое-что. Настраиваем chrony, чтобы время синхронизировалось с внутренним DC — это критично! Ставим Node Exporter для Prometheus и включаем системный аудит через auditd. И, кстати, особая статья для Linux-машин: я категорически отключаю вход root по SSH. Всегда заходим через обычного пользователя с sudo-правами, да ещё и по ключу. Безопасность превыше всего!
Безопасность: общие правила
- Пароли. Минимум 16 символов, уникальные для каждого сервера. Храню в 1Password/Bitwarden.
- MFA. Для админских учёток обязательно — Windows Authenticator, YubiKey, Google Authenticator.
- Firewall. На каждом сервере — whitelist по портам, deny-by-default.
- Патчинг. WSUS/Satellite + еженедельное окно обслуживания.
- Журналы. Централизованный syslog (ELK/Graylog) или Windows Event Forwarding.
- Аудит. Логирование входов, изменений конфигов, админских команд.
Бэкапы — святое
Знаете, вот типичная история: 80% проблем у новых клиентов начинаются с фразы 'бэкап-то мы делали, вот только ни разу не проверяли'. У нас в ITFresh такого нет! Я всегда настраиваю систему так, чтобы бэкапы не только создавались, но и регулярно проверялось их восстановление. Это фундамент спокойствия.
- Для Windows-систем мы обычно выбираем проверенные решения: это может быть Veeam Backup & Replication или, если бюджет ограничен, стандартный Windows Server Backup, но обязательно с выгрузкой на отдельный NAS.
- Что касается Linux, здесь наш подход более комплексный: мы используем rsync для копирования данных на NAS, обязательно делаем дампы баз данных (mysqldump, pg_dump — куда без них!), и для версионирования подключаем Borg или Restic.
- И, конечно, наше святое правило: 3-2-1. Что это значит? Три копии данных, две на разных носителях, и одна обязательно off-site — то есть, вне офиса. У нас это часто бывает S3-хранилище на MinIO, которое размещено в надёжном дата-центре МТС.
- Месяц за месяцем мы строго проверяем: наши бэкапы действительно восстанавливаются? Для этого проводим тест на полностью изолированной виртуальной машине. Запомните: если вы не тестировали бэкап, его как будто и не существует. Смысл? Ноль.
Мониторинг
Что может быть хуже, чем поломка, о которой ты не знаешь? Именно такие незаметные сбои обходятся дороже всего! Поэтому для нас Prometheus или Zabbix на каждом сервере — это не просто рекомендация, это обязательное условие.
# Ubuntu — Node Exporter
apt install -y prometheus-node-exporter
systemctl enable --now prometheus-node-exporter
# Windows — Zabbix Agent 2 или windows_exporter
Install-Module -Name WindowsAdminCenter -Force
И, конечно, эти системы сразу шлют нам алерты в Telegram — через Alertmanager или Zabbix Media. О чём? Обо всём критичном: процессор грузится больше 85%, диск почти заполнен (больше 85%), какой-то сервис "упал", кто-то неудачно пытается войти. Мы всегда в курсе.
Реальный кейс: офис юридической фирмы на 70 РМ
Хотите живой пример? Пожалуйста! В сентябре 2025-го к нам обратились юристы из московской фирмы на 70 человек. Им нужен был полный переезд в новый офис, а значит — инфраструктура с нуля. Бюджет, к слову, выделили 1.2 миллиона рублей. Что же мы для них сделали? Собрали мощный Dell PowerEdge R750xa: тут и Xeon Platinum 8280, 192 ГБ оперативки, пара 480 ГБ SSD под Hyper-V, и шесть 4 ТБ HDD в RAID-10. Плюс добавили скоростное 40G Mellanox ConnectX-5 подключение. На всём этом железе мы развернули целый космос сервисов: два DC на Windows Server 2022, надёжный файловый сервер с DFS, 1С-сервер, а ещё RDS для юристов — они ведь постоянно в разъездах! Не забыли и про корпоративный сайт на Ubuntu с nginx и MariaDB, мониторинг с Zabbix и Grafana (тоже на Ubuntu), и даже MinIO на отдельной Ubuntu для бэкапов. Результат? За восемь месяцев работы — никаких аварий, всего два плановых окна обслуживания по 30 минут, и те ночью. А RDS для удалёнки, говорят, просто летает! Конечно, мы настроили им ежедневный инкрементальный бэкап по 240 ГБ и полный бэкап по выходным.
Что НЕ надо делать
- Слушайте внимательно: обычный антивирус на контроллере домена (DC) — это путь к проблемам. Мы категорически не рекомендуем такое делать. Единственный приемлемый вариант — специальная серверная версия, из которой обязательно убрали HIPS-модуль. Иначе получите только тормоза и конфликты.
- Отключить UAC или SMB-signing «чтобы не мешали»? Забудьте об этом! Да, они порой кажутся назойливыми, но эти функции — критически важные элементы безопасности. Просто так выключать их — значит открывать ворота для неприятностей. Не делайте этого.
- Открывать RDP или SSH напрямую в интернет, оставляя дефолтные порты? Серьёзно? Это же всё равно что оставить входную дверь нараспашку со всеми замками, думая, что никто не заметит. Мы настоятельно рекомендуем: доступ к ним — только через защищённое VPN-соединение. Любой другой вариант — риск, который не оправдан.
- Совмещать контроллер домена (DC) с файловым сервером, а уж тем более с 1С? Это крайне плохая идея, поверьте нашему опыту. Каждая из этих ролей требует своих ресурсов и настроек. Чтобы избежать конфликтов, проблем с производительностью и угрозы безопасности, разнесите их по разным виртуальным машинам. Так вы получите стабильность и управляемость.
- Никогда не экономьте на Источнике Бесперебойного Питания (ИБП). Это инвестиция, которая окупается одной-единственной секундой. Достаточно самого короткого «моргания» света, еле заметного скачка напряжения, чтобы безвозвратно повредить файловую систему. Ваши данные стоят гораздо дороже, чем хороший ИБП, согласитесь? Не рискуйте.
Настроим серверную инфраструктуру под ваш офис
Мы берём на себя всё: от проектирования и подбора железа до монтажа, установки Windows/Linux, настройки всех ролей — AD/DHCP/DNS/RDS/1С, а также бэкапа (конечно же, Veeam) и мониторинга (Zabbix). Плюс, мы обязательно обучим вашу команду! Работаем с офисами от 10 до 500 РМ по Москве и Московской области.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — настройка серверов
- Windows Server или Linux для офиса?
- Зависит от задач. Для Active Directory, Exchange, 1С, RDS — Windows Server. Для веб-серверов, БД, почты Postfix, мониторинга — Linux.
- Что ставить — физический сервер или виртуализацию?
- Всегда виртуализацию. Hyper-V, VMware ESXi или Proxmox — выбор по предпочтениям. Одна физическая машина легко тянет 10–20 виртуалок.
- Какое железо выбрать?
- Для офиса до 50 РМ — Dell PowerEdge T440/R640. CPU Xeon Silver/Gold, 64–128 ГБ RAM, SSD RAID-1 под OS, HDD RAID-10 под данные.
- Как часто обновлять?
- Security-патчи — еженедельно на тестовой среде, раз в 2 недели в продакшене. Feature-апдейты — раз в квартал.
- Нужен ли UPS?
- Обязательно. Минимум онлайн-ИБП на 1500 ВА с возможностью корректного shutdown через NUT или PowerChute.
