Настройка сервера Windows и Linux для офиса с нуля
Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я ввёл в эксплуатацию больше 200 серверов в офисах Москвы и области — от Windows Server для Active Directory до Linux-почтовиков и БД-кластеров. Эта статья — практический свод того, что я делаю при настройке нового сервера, независимо от того, это Windows или Linux. Подробности, настоящие команды, кейс с реальными цифрами и советы, которые я давно не встречаю в документации.
Выбор ОС: что для каких задач
Главное правило — берём ту ОС, под которую лучше заточена задача. Не существует «универсально правильной» системы.
| Задача | Лучший выбор |
|---|---|
| Active Directory / файловые шары / GPO / WSUS | Windows Server 2022 |
| 1С-сервер, RDS, Exchange, MS SQL | Windows Server 2022 |
| Веб (nginx, Apache), PHP, Node.js | Ubuntu 22.04 / Debian 12 |
| База данных (PostgreSQL, MySQL) | Ubuntu / Rocky Linux |
| Почта (Postfix + Dovecot) | Debian |
| Мониторинг (Zabbix, Prometheus) | Ubuntu / Rocky |
| Proxy, VPN, файрвол | Debian / Rocky |
В типовом офисе на 50 РМ я ставлю 2 контроллера домена Windows Server + 3–4 Linux-виртуалки под специализированные сервисы, всё внутри Hyper-V или Proxmox.
Железо и гипервизор
Я всегда рекомендую виртуализацию. Одна коробка Dell PowerEdge T440 с Xeon Silver 4214 (12 ядер), 96 ГБ RAM, 2×960 ГБ SSD под систему и 4×4 ТБ HDD RAID-10 под данные — тянет всю инфраструктуру офиса на 30–50 человек. Для производств или более крупных инсталляций беру Dell PowerEdge R750xa с Xeon Platinum 8280, 256 ГБ RAM и NVMe в RAID-10. У нас на практике один такой «монстр» тянет до 40 виртуалок.
Гипервизор — Hyper-V для смешанных Windows/Linux-ферм или Proxmox VE, если ферма в основном Linux. VMware ESXi стал дорогим после Broadcom, и я перестал его рекомендовать новым клиентам.
Установка Windows Server 2022
# После установки, через PowerShell
Rename-Computer -NewName "DC01" -Restart
# Базовый хардненинг
Set-TimeZone -Id "Russian Standard Time"
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
# Установка ролей AD DS
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName "corp.example.ru" -DomainNetbiosName "CORP" `
-ForestMode Win2016 -DomainMode Win2016 -InstallDns -Force
# DHCP на том же сервере для малого офиса
Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerv4Scope -Name "LAN" -StartRange 192.168.10.100 `
-EndRange 192.168.10.200 -SubnetMask 255.255.255.0
# WSUS для централизованных обновлений
Install-WindowsFeature UpdateServices -IncludeManagementToolsВажные штатные настройки: отключаю IPv6 при отсутствии реальной нужды, выношу логи и SYSVOL на отдельный диск, настраиваю аудит учётных записей и изменений в AD. Всегда ставлю Windows Admin Center — это веб-панель для управления, не надо открывать mmc-консоли.
Установка Ubuntu 22.04 Server
# После установки
timedatectl set-timezone Europe/Moscow
hostnamectl set-hostname srv-app01
# Обновления и базовые утилиты
apt update && apt -y upgrade
apt install -y htop iotop sysstat net-tools curl wget \
fail2ban ufw unattended-upgrades
# Firewall
ufw default deny incoming
ufw default allow outgoing
ufw allow from 192.168.10.0/24 to any port 22
ufw --force enable
# SSH-хардненинг
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh
# Автообновления
dpkg-reconfigure -plow unattended-upgradesДополнительно: настройка chrony для синхронизации времени с внутренним DC, установка Node Exporter для Prometheus, включение audit через auditd. На Linux я всегда отключаю root-логин по SSH и вхожу через sudo-пользователя с ключом.
Безопасность: общие правила
- Пароли. Минимум 16 символов, уникальные для каждого сервера. Храню в 1Password/Bitwarden.
- MFA. Для админских учёток обязательно — Windows Authenticator, YubiKey, Google Authenticator.
- Firewall. На каждом сервере — whitelist по портам, deny-by-default.
- Патчинг. WSUS/Satellite + еженедельное окно обслуживания.
- Журналы. Централизованный syslog (ELK/Graylog) или Windows Event Forwarding.
- Аудит. Логирование входов, изменений конфигов, админских команд.
Бэкапы — святое
У нас на практике 80% проблем у новых клиентов — это «бэкап делался, но не проверяли». Я всегда настраиваю бэкап с проверкой восстановления.
- Для Windows — Veeam Backup & Replication или Windows Server Backup на отдельный NAS.
- Для Linux — rsync на NAS + dump баз (mysqldump, pg_dump) + Borg/Restic для версионирования.
- Правило 3-2-1: 3 копии, 2 разных носителя, 1 off-site. Часто off-site — это S3 на MinIO в дата-центре МТС.
- Ежемесячно — тест восстановления на изолированной виртуалке. Без теста бэкап считается несуществующим.
Мониторинг
Незаметная поломка — самая дорогая. Прометеус или Заббикс обязательны на каждом сервере:
# Ubuntu — Node Exporter
apt install -y prometheus-node-exporter
systemctl enable --now prometheus-node-exporter
# Windows — Zabbix Agent 2 или windows_exporter
Install-Module -Name WindowsAdminCenter -ForceАлерты в Telegram через Alertmanager или Zabbix Media — CPU > 85%, диск > 85%, сервис упал, неудачный вход.
Реальный кейс: офис юридической фирмы на 70 РМ
В сентябре 2025 клиент — юридическая фирма на 70 сотрудников в Москве — переехал в новый офис и заказал полную инфраструктуру. Бюджет 1.2 млн руб. Собрали: Dell PowerEdge R750xa (Xeon Platinum 8280, 192 ГБ RAM, 2×480 ГБ SSD под Hyper-V, 6×4 ТБ HDD RAID-10), подключили 40G Mellanox ConnectX-5. На нём развернули: 2 DC Windows Server 2022, файловый сервер с DFS, 1С-сервер, RDS для юристов в командировках, Ubuntu-виртуалку с nginx + MariaDB под корпоративный сайт, Ubuntu-виртуалку с Zabbix и Grafana, MinIO на ещё одной Ubuntu под бэкапы. За 8 месяцев — 2 плановых окна обслуживания по 30 минут ночью, ноль аварий, RDS на удалёнке летает. Ежедневный инкрементальный бэкап 240 ГБ, полный в выходные.
Что НЕ надо делать
- Не ставить антивирус на DC — только если специальная серверная версия без HIPS.
- Не выключать UAC и SMB-signing «чтобы не мешали».
- Не оставлять дефолтные порты в RDP и SSH в интернет — только через VPN.
- Не совмещать DC с файловым сервером и 1С — разнести по виртуалкам.
- Не экономить на ИБП — одного моргания питания хватит, чтобы убить файловую систему.
Настроим серверную инфраструктуру под ваш офис
Проектирование, подбор железа, монтаж, установка Windows/Linux, роли AD/DHCP/DNS/RDS/1С, бэкап Veeam, мониторинг Zabbix, обучение вашей команды. Офисы от 10 до 500 РМ. Москва и область.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — настройка серверов
- Windows Server или Linux для офиса?
- Зависит от задач. Для Active Directory, Exchange, 1С, RDS — Windows Server. Для веб-серверов, БД, почты Postfix, мониторинга — Linux.
- Что ставить — физический сервер или виртуализацию?
- Всегда виртуализацию. Hyper-V, VMware ESXi или Proxmox — выбор по предпочтениям. Одна физическая машина легко тянет 10–20 виртуалок.
- Какое железо выбрать?
- Для офиса до 50 РМ — Dell PowerEdge T440/R640. CPU Xeon Silver/Gold, 64–128 ГБ RAM, SSD RAID-1 под OS, HDD RAID-10 под данные.
- Как часто обновлять?
- Security-патчи — еженедельно на тестовой среде, раз в 2 недели в продакшене. Feature-апдейты — раз в квартал.
- Нужен ли UPS?
- Обязательно. Минимум онлайн-ИБП на 1500 ВА с возможностью корректного shutdown через NUT или PowerChute.