您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 网络管理 查看内容

将Windows Server 2016 打造成工作站

2017-5-21 23:42| 投稿: xiaotiger |来自: 互联网

摘要: 将Windows Server 2016 打造成工作站(20161030更新)一、基础设置1.1、关闭自动弹窗:「开始菜单」 - 「服务器管理器」 - 「仪表板」(或 Win + R或CMD,「ServerManager」),「管理」 - 「服务器管理器属性」,勾选 ...

将Windows Server 2016 打造成工作站(20161030更新)

一、基础设置

1.1、关闭自动弹窗:



「开始菜单」 - 「服务器管理器」 - 「仪表板」(或 Win + R或CMD,「ServerManager」),
「管理」 - 「服务器管理器属性」,勾选「在登录时不自动启动服务器管理器」。

1.2、设置CPU性能



Win + R或CMD,「SystemPropertiesPerformance」打开 性能选项。如图,设置CPU性能模式为:程序。



同上,性能选项,设置DEP为:『仅为基本Windows程序和服务启用DEP』。

1.3、设置账户和密码不过期



Win + R或CMD,「netplwiz」,如图,去掉『要使用本机,用户必须输入用户名和密码』对勾。应用、输入账户密码即可。



Win + R或CMD,「compmgmt.msc」打开『计算机管理』,『本地用户和组』、『用户』,双击『Administrator』,属性中选中『密码永不过期』。

1.4、无须按ctrl+alt+del



Win + R或CMD,「gpedit.msc」。「计算机配置 - windows配置 - 安全设置 - 本地策略 - 安全选项」,『交互式登录:无须按ctrl+alt+del』,选中『已启用』。

注册表,管理员权限CMD:「reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "disablecad" /t REG_DWORD /d 0x1 /f」

1.5、关闭 关机事件追踪器



Win + R或CMD,「gpedit.msc」。「计算机配置 - 管理模板 - 系统」,『显示”关机事件跟踪程序”』,选中『已禁用』。

注册表,管理员权限CMD:「reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" /v "ShutdownReasonOn" /t REG_DWORD /d 0x0 /f」和「reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" /v "ShutdownReasonUI" /t REG_DWORD /d 0x0 /f」

特别提示:1.4、1.5如果使用组策略就都使用组策略,如果要使用注册表就都使用注册表。这里使用注册表设置后,有可能出现意外宕机、蓝屏后造成「关机事件追踪器」设置失败(概率在1‰),只要重新使用组策略设置就能解决。

1.6、配置IE ESC:



「开始菜单」 - 「服务器管理器」 - 「仪表板」(或 Win + R或CMD,「ServerManager」),如图,点击「本地服务器」,点击「配置IE ESC」,选中『管理员、用户』禁用。

1.7、添加服务角色:(可选项)



Win + R或CMD,「ServerManager」,如图,下一步……

在此可添加角色如『Hyper-V』、『数据重复删除(Deduplication)』。 +1

1.8、添加Windows功能



「开始菜单」 - 「服务器管理器」 - 「仪表板」(或 Win + R或CMD,「ServerManager」),

a、必要功能:
『.Net Framework 3.5功能』
『媒体基础』

b、按照自己的使用需求启用的功能:
『BitLocker 驱动器加密』
『Windows Server Backup』(说明:Windows备份还原)
『简单 TCP/IP 服务』
『无线 LAN 服务』(说明:笔电或使用无线网卡必须启用的功能)
『优质 Windows 音频视频体验』(说明:qWave是 IP 家庭网络上音频视频 (AV) 流应用程序的网络平台。在 Windows Server 平台上,qWave 只提供流量率和优先级服务。)



从WS2012开始安装某些角色或功能需要指定「源」。「源」一般就是安装光盘的「DVD:\sources\sxs」文件夹,如图,添加源路径即可。

1.9、卸载Windows角色或功能:



「开始菜单」 - 「服务器管理器」 - 「仪表板」(或 Win + R或CMD,「ServerManager」),
如图,选中「2 添加角色和功能」,再选中「启动“删除角色和功能”向导」,下一步……



在此演示卸载「Windows Defender 功能」。
如图将要卸载的功能或角色的『对勾去掉』,
下一步,仪表板会自动收集、显示要卸载的功能或角色的相关联项。查看——没有连带——卸载还需要的功能或角色就可以点击「删除」了。

1.10、开启Windows服务:



Win + R或CMD,「services.msc」。选中需要启用的服务,举个栗子:如图,「Theme」,设置『启动类型:自动』、『服务状态:启动』。

a、必要Windows服务:
『Theme』(说明:主题服务。)
『Windows Audio』
『Windows Audio Endpoint builder』(说明:音频支持)
『Windows Installer』

b、按照自己的使用需求启用Windows服务:
『Portable Device Enumerator Service』(说明:笔电等读卡器、手机内存联接等)
『Windows Image Acquisition (WIA)』(说明:笔电等摄像头、相机支持)

以上基础设置完成,服务器系统已经打造成工作站了,并且在性能上已经超越普通的桌面系统(工作站系统)了。

二、Server to Workstation补全

2.1、关闭SEHOP(Structured Exception Handler Overwrite Protection)结构化异常处理覆盖保护:

详见这里:https://support.microsoft.com/zh-cn/kb/956607

关闭:
「reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel" /v "DisableExceptionChainValidation" /t REG_DWORD /d 0x1 /f」

开启:
「reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel" /v "DisableExceptionChainValidation" /t REG_DWORD /d 0x0 /f」

SEHOP在WS2008以上Server系统默认开启,VISTA以上Workstation系统默认关闭。大家可根据需要使用注册表开启关闭。

为了系统游戏最大兼容性,建议关闭SEHOP(实际SEHOP是可以绕过去的)和DEP。

2.2、开启显卡硬件加速



(图片截取自虚拟机,仅供参考。)
正确安装显卡驱动并重启后,「Win + R」输入「regedit」,开启注册表。按「F3」,开启搜索,搜索「Acceleration.Level」,将所有找到的Acceleration.Level数值数据都改为「0」。

注册表中Acceleration.Level的数值数据说明:
https://msdn.microsoft.com/zh-cn/library/windows/hardware/ff554056%28v=vs.85%29.aspx

其中,『0』表示开启全部硬件加速;『1』表示关闭硬件加速。
『2~4』表示开启的不同级别,详细请参考上面网页。

说明:a、Server系统虽然会显示开启硬件加速,但实际上并没有完全开启。需要我们安装完正确驱动后,手动设置。
b、不玩3D游戏就可以不更改了。
C、使用Hyper-V,并在Hyper-V中分配了显卡。Acceleration.Level设置为0后,在Server系统会加大CPU使用率(一般使用可以无视)。

2.3、开启声卡硬件加速:



a、Win + R或CMD,「mmsys.cpl」。选择自己的音频设备,如图,选中独占和独占优先级。

b、注册表,管理员权限CMD:「reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile" /v "SystemResponsiveness" /t REG_DWORD /d 0x14 /f」

2.4、添加IE支持flash player(可选项)



WS2016没有部署IE flash player,造成无法使用IE显示flash。现在不知道WS2016就是这样,还是在等正式版以后补丁更新。

现阶段可以将x64 Windows 10中使用的IE复制到WS2016中使用。
将Windows 10,「Windows\System32\Macromed\Flash\」和「Windows\SysWOW64\Macromed\Flash」,两个目录中的文件,复制出来。
放到Windows Server 2016的「Windows\System32\Macromed\Flash\」和「Windows\SysWOW64\Macromed\Flash」,两个目录中(默认WS2016没有以上路径,需手动自建。)

「Win + R」注册相关项:『regsvr32 "%SystemRoot%\System32\Macromed\Flash\Flash.ocx"』、『regsvr32 "%SystemRoot%\SysWOW64\Macromed\Flash\Flash.ocx"』。完成。

如果觉得麻烦可以下载偶做好的批处理,下载见最后。「PC\Server\Windows Server 2016 补全(20161008).rar或Windows Server 2016 补全(flash_23.0.0.205-20161029).rar」(都一样只是一个版本新)



说明:如果不使用IE可以不添加,这样还可减少不必要的CPU占用。
如添加请与1.6一同设置。

三、Server to Workstation优化

3.1、创建一个自定义管理账户



管理员权限CMD。

「net user」查看系统中所有账户,并显示账户名称。

「net user VM Win2008 /add」创建账户命令。VM是新账户名,Win2008是VM账户密码。大家根据自己需要替换。

「net localgroup administrators VM /add」将VM账户加入管理员权限组。这里接着上面,将VM账户赋予administrators权限。

「net localgroup administrators」查看系统中管理员权限组,并显示账户名称。看上图。

「net user VM /delete」删除账户命令。这里删除VM账户。注意,删除账户前一定要保证有一个可用的账户存在,或保证administrators账户没有被禁用。否则重新开机将没有账户进不了系统,只能CMD修复或重装。

注销或重启,选择新账户进入系统。建议大家在Server系统上创建一个新账户,有些设置问题或流氓软件,不用重装,可以通过新建账户、删除旧账户来规避。而administrators账户要是折腾坏了就只有重装了(/ □ )

如果需要新建账户,请在系统安装完成后优先创建账户,然后在新账户中再设置、优化系统。

「net user administrator /active:no」禁用某个账户。这里禁用administrator账户。

「net user administrator /active:yes」启用某个账户。这里启用administrator账户。

3.2、关闭UAC

Win + R或管理员权限CMD,禁用:「UserAccountControlSettings.exe」。重启。

完全禁用UAC:管理员权限CMD:「reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d 0x0 /f」。完全禁用UAC将无法使用APPX。

3.3、不显示锁屏 NoLockScreen

注册表,管理员权限CMD:「reg add " HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v " NoLockScreen" /t REG_DWORD /d 0x1 /f」。

3.4、释放Server系统网络

(1)、加速IE浏览器

管理员权限CMD,「reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "MaxConnectionsPer1_0Server" /t REG_DWORD /d 10 /f」

如果不使用IE或IE内核的浏览器,这里可以不用设置。

(2)、系统控制下的 接收窗口自动调节 
在Windows 10 发布新更新版本后网路上出现大面积的个人用户网络链接缓慢的问题,当时各路大神发文(小鸟、非死不可)讨伐微软window auto-tuning(https://technet.microsoft.com/zh-cn/library/2007.01.cableguy.aspx )导致的问题。一时许多PO文都建议关闭window auto-tuning,偶也在发贴中采用了这种做法,最近看了「An Update on Windows TCP AutoTuningLevel https://blogs.technet.microsoft.com/networking/2016/08/11/an-update-on-windows-tcp-autotuninglevel/ 」这篇和上篇说明后,发现关闭的做法可能是错误的。

TCP是网络「硬件」传输协议,随着时代的发展现在互联网传输已发展到GB级。原始的TCP传输数据包大小的协议在现在看来已经滞后了,微软通过window auto-tuning来调节TCP的数据包大小和传输率以适应新的网络传输发展。

a、查看 接收窗口自动调节(window auto-tuning)



管理员权限CMD,「netsh interface tcp show global」

如图,『normal』是自动调节。

b、关闭:
管理员权限CMD,「netsh int tcp set global autotuninglevel=disabled」

c、开启:
管理员权限CMD,「netsh int tcp set global autotuninglevel=normal」

如果,处于专网中或有特殊优化可以关闭,否则建议开启,让window auto-tuning发挥作用自动调节。

(3)、网络节流机制调整(VISTA~Win10)

微软说明:https://support.microsoft.com/en-us/kb/948066

注册表「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile\」,下DWORD(32位)值「NetworkThrottlingIndex」子键,来控制网卡网络流量,每毫秒处理包的数量。默认10,每毫秒14.8MB(MTU1480x10)。以此来调节网卡、流量数据包长时工作占用CPU,使CPU能处理更多任务。初衷不错,但现在板载网卡已集成数据处理芯片,CPU多核、性能过剩。如果有使用千兆网络(千兆网卡)建议将其键值改为(十进制)100。如是重度网游或NAS局域网数据交换等,干脆(十六进制)FFFFFFFF将其关闭。

如果设置后CPU占用过大、内存占用过多,可自行调节键值,NetworkThrottlingIndex键值范围:(十六进制)10~70,键值越大理论网速越快,CPU、内存占用量越多。

千兆网卡网络:管理员权限CMD,「reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile" /v "NetworkThrottlingIndex" /t REG_DWORD /d 0x64 /f」

关闭节流:管理员权限CMD,「reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile" /v "NetworkThrottlingIndex" /t REG_DWORD /d 0xFFFFFFFF /f」

3.5、电源高性能保证游戏性能

Win + R或管理员权限CMD,「control.exe /name Microsoft.PowerOptions」打开电源选项。Server系统的特点,选择高性能电源计划才能保证游戏性能稳定。

3.6、保护隐私

Windows Server 2016 同样和Windows 10一样会收集用户数据,如果对此敏感,请参考 保护隐私手动设置Windows10 部分设置按照Windows 10 version 1511版本设置即可。

说明:

a、驱动:使用for Windows 10的驱动。

b、WS2016只要开启了「媒体基础」、能正常安装显卡驱动,以前需要补全的DX等就不需要了。

c、开启了必要功能的WS2016就是没有APPX的Windows 10。
与Windows 10 LTSB版比没有Bash on Ubuntu on Windows,但有Docker;Windows 10 LTSB可以说没有驱动问题,但WS2016有、如I211英特尔网卡,由于英特尔有卖服务器网卡所以消费级网卡是没有for Server驱动的。同样蓝牙也是分商家。

现在基本可以确定WS2016也就这样了,偶个人是想不明白。如果不是多核心小企业完全可以采购Windows 10 LTSB来作为服务器使用,WS2016标准版需要800刀,数据中心更是在5000刀以上。
个人用户如果不需要APPX完全可以使用Windows 10 LTSB,而手动打造的WS2016 to Workstation 从普通用户的角度也就多了Docker,偶不知道有多少普通用户会使用容器。以前还可以期待Server比桌面系统稳定,但WS2016上也许是偶「运气好」,Win10上遇到的问题也一个没少。

d、WS2016同LTSB一样,没有Cortana小娜、Edge、APPX。

KMS激活、语言包请参考:Windows Server 2016 来了

最后,其他优化等可参考 Windows 10 10240~14393 优化,到此!
如果WS2012(R2)等使用没有问题个人不建议升级!!!

+1:此处WS2016与WS2012R2相同。
Windows Server 2012 R2 存储功能简述 上 一. Windows Storage Spaces简述
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.jianshu.com/p/09d8fc782e9e

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。

1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

最新

返回顶部