快速上手WS 2025　建置管理技巧一次學全

對於全新的Windows Server 2025該從何下手學習？是Cluster、IIS、Hyper-V，還是儲存技術方面的應用呢？答案是以上皆非！因為首當其衝應該是先熟悉伺服器本身的管理，而非任何新功能的應用，如此才能穩固未來對於Windows Server的各項維運工作。

另外，對於舊版的Windows Server是否一定要升級到最新版本呢？答案是如果現行使用的應用系統沒有相容新版本Windows Server的問題，肯定是要升級至最新版本，因為新版本除了會支援更新的硬體設備與規格外，其效能表現與安全性也會更好。

目前若還在使用舊版的Windows Server 2008 R2而想要升級至Windows Server 2025，必須採用兩階段升級法，也就是先升級至Windows Server 2012 R2，才能再升級至Windows Server 2025。換句話說，在本機就地升級的支援部分，只要是Windows Server 2012 R2以上版本，就可以直升最新的Windows Server 2025，其中有趣的是，Windows Server 2012 R2無法直升前一版Windows Server 2022，但卻能夠直升Windows Server 2025。

至於是否需要部署Active Directory來集中管理Windows Server呢？原則上，為了簡化帳號、密碼以及權限的管理，只要Windows用戶端與伺服器的數量高達20台以上，便建議要部署兩台網路控制站（DC）進行管理。相反地，若總數量低於20台，通常伺服器數量也不會高於3台，這時候便可選擇以獨立伺服器架構來運行，也可以省去對於Active Directory的維護成本。

接下來，就以實戰講解方式來示範Windows Server 2025的安裝、基礎設定、網路連線、安全管理以及診斷工具的使用技巧。

快速安裝

雖然Windows Server 2025的安裝如同Windows 11一樣簡單，但過程中仍然有一些地方需要特別留意。若還沒有購買合法授權的Windows Server 2025，也可以先到以下的官方網站網址註冊並下載試用的版本。值得注意的是，中文的評估版本目前僅有簡體而沒有繁體，怎麼辦呢？建議選擇下載英文版本即可，等一下再示範如何將它變成繁體中文。

‧Windows Server 2025評估版下載：https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2025

安裝Windows Server 2025評估版本之後，除了會在180天後過期外，還必須注意務必在前10天內透過網際網路完成啟用，以避免作業系統自動關機。

至於安裝Windows Server 2025系統的最低硬體需求，其實與現今的Linux系列作業系統是差不多的，僅需要一顆1.4GHz的64位元處理器（CPU）、512MB RAM以及32GB的磁碟儲存空間即可。針對如此低規的系統要求，大家可能會覺得不可思議，事實上這是以純文字主控台介面的Server Core最小安裝為例，一旦選擇具有桌面體驗的伺服器安裝模式，以記憶體需求來說，就必須至少是2GB以上才行。

接下來，就來實際安裝Windows Server 2025。在此預先準備好一台虛擬機器，由於該虛擬機器是運行在VMware Workstation 17.x版本，因此在最初新增虛擬機器時，如圖1所示，便會發現在「Select a Guest Operating System」步驟頁面中已支援「Windows Server 2025」選項。

準備好虛擬機器並設定ISO映像的連接之後，就可以開啟虛擬機器來安裝Guest OS。首先會來到「Select language settings」頁面，由於本次下載的是英文版本，因此在「Language to install」欄位中只有【English】可以選擇。至於「Time and currency format」欄位則選擇【Chinese (Traditional, Taiwan)】，最後按下〔Next〕按鈕。

在「Select keyboard settings」頁面中會自動設定為「Microsoft Bopomofo」選項，建議改選為「US」，如此可以避免每當滑鼠游標點進任何頁面的輸入欄位時，自動切換到注音輸入法的困擾，按下〔Next〕按鈕繼續。如圖2所示，接著在「Select setup option」頁面中，選取「Install Windows Server」並勾選下方的唯一選項，以及按下〔Next〕按鈕。

在「Select Image」頁面中，如圖3所示，主要有Standard與Datacenter兩種版本可以選擇，而它們各自又有Server Core與Desktop Experience兩種安裝模式可選，其中未標示(Desktop Experience)的即是Server Core的安裝模式。這裡以選擇最普遍的「Windows Server 2025 Standard (Desktop Experience)」安裝為例，然後按下〔Next〕按鈕。

如圖4所示，在「Select location to install Windows Server」頁面中，若有多個磁碟可以選擇準備用來安裝作業系統的磁碟，或是在此先完成磁碟分割區的建立再進行選擇，決定之後按下〔Next〕按鈕。最後，在「Ready to install」頁面中按下〔Install〕按鈕就會開始安裝。

完成安裝Windows Server 2025之後，就會開啟「Customize settings」頁面，如圖5所示，在此設定預設Administrator帳號的密碼，必須注意的是密碼的輸入，必須符合系統預設的密碼原則才能完成設定。以下為系統預設的密碼原則：

‧必須包含大寫字母、小寫字母、數字、特殊符號（例如!、@、#、$）。

‧最小密碼長度為7碼、最小密碼使用期限為1天、最大密碼使用期限為42天。

‧密碼歷史記錄：系統會記住最近使用過的24組密碼，防止重複使用。

‧帳號鎖定閾值：如果連續10次輸入錯誤密碼，該帳號將會遭到鎖定而無法繼續使用，此時就必須由其他管理員帳號，透過帳號來協助解鎖。

完成預設管理員帳號與密碼的設定後，便可以馬上進行登入。圖6所示便是Windows Server 2025預設的桌面，可以發現它與Windows 11桌面大同小異。接下來，點選開始圖示來開啟任何現有的應用程式，或是在開始圖示上方按一下滑鼠右鍵，以便快速開啟任何常用的功能或系統程式，例如網路連線、終端機、工作管理員、執行等等。

接下來，從開始選單開啟「Settings」管理介面中的「Time & language」→「Language & region」頁面，準備調整顯示介面語言的設定。如圖7所示，首先會發現目前的「Windows display language」欄位設定是【English (United States)】，並且語言選單中也沒有繁體中文可以選擇。

接著，點選「Chinese (Traditional, Taiwan)」功能選單中的【Language options】。進入「Options」頁面後，點選「Language pack」欄位中的〔Download〕按鈕，下載繁體中文的語言包。至於是否需要下載其他的基本輸入法、手寫以及語音辨識相關套件，可以自行決定。當再一次回到「Language & region」頁面時，如圖8所示，已經多了【中文(台灣)】選項可以選擇。完成設定後，系統也會提醒需要進行登出再登入才會生效。

再次重新登入並回到「設定」介面後，如圖9所示，原有的「日期和時間」設定頁面也變成以繁體中文顯示，進一步將「時區」設定變更為【台北】即可。

網路連線設定

曾經有Windows Server 2008 R2的資深IT人員在完成Windows Server 2025的安裝後，找不到可以修改IP位址配置的介面。會發生像這樣的糗事，其實主要原因在於上述兩個新舊版本的操作介面設計相差甚多。

目前無論是用戶端的Windows 11還是伺服器的Windows Server 2025，其各項系統配置大多已經集中在「設定」頁面中，不過仍有一些配置可以選擇不透過「設定」頁面來完成，Windows Server 2025的網路設定就是其中一項，換句話說，有兩種操作方式可以完成網路設定。

第一種就是透過「設定」介面中的「網路和網際網路」頁面來完成。如圖10所示，在此除了可以設定「乙太網路」外，常用的還有「VPN」與「進階網路設定」。

當點選進入「乙太網路」頁面後，首先可以選擇網路設定檔類型是「公用網路」還是「私人網路」，前者配置可讓相同網路的其他電腦探索到這台主機。緊接著，在此頁面中還可以看到如圖11所示的網路配置資訊，管理員可以在此「編輯」現行的IP指派以及DNS伺服器指派設定。若想要複製此網路的完整配置資訊，則按下〔複製〕按鈕。

另一種更簡單配置伺服器IP位址的方法，則是直接在「伺服器管理員」→「本機伺服器」頁面中，點選「Ethernet0」超連結，如圖12所示。

接著開啟「Ethernet0內容」頁面，在此選取「Internet Protocol Version 4 (TCP/IPv4)」並按下〔內容〕按鈕，完成IP位址、子網路遮罩、閘道位址、DNS伺服器位址等設定。

如果沒有使用到「Internet Protocol Version 6 (TCP/IPv6)」網路，也可以在按下〔內容〕按鈕後將它設定成停用。

遠端桌面連線設定

遠端桌面服務是Windows Server管理員最常使用的功能，因為它直接內建於作業系統中，省去下載第三方遠端連線軟體的麻煩與風險，只需要將它啟用便可以開始使用。

在「伺服器管理員」→「本機伺服器」頁面中，點選「遠端桌面」的「已停用」超連結，來快速開啟「系統內容」→「遠端」頁面。如圖13所示，在此除了必須點選「允許遠端連線到此電腦」設定外，建議也一併勾選「僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線」設定，以提升遠端連線的安全性。

如果需要讓不屬於管理員群組（Administrators）的用戶能夠透過遠端桌面連線登入到此主機，只要在上一步驟的頁面中按下〔選取使用者〕按鈕來開啟「遠端桌面使用者」頁面，如圖14所示，即可進一步按下〔新增〕按鈕，加入所要授權的用戶帳號。

開放遠端桌面的連線，對於許多資安人員來說，似乎是一項可能造成網路安全風險的挑戰，然而實際上無論是否有開放來自Internet的連線，皆只需要適當地配置防火牆規則，就可以防止任何未經授權的連線要求。

即便所建置的Windows Server 2025主機僅提供內部網路的遠端桌面連線，仍建議妥善配置該主機的本機防火牆，來限制僅開放讓特定的管理員用戶端電腦能夠進行連線，那怎麼做呢？

首先，在「伺服器管理員」介面中，點選「工具」選單中的「具有進階安全性的Windows Defender防火牆」功能。接著，在「輸入規則」頁面中，找到「遠端桌面-使用者模式（TCP-In）」設定並開啟「內容」頁面，如圖15所示。

在開啟「遠端桌面 - 使用者模式（TCP-In）」設定頁面後，從「一般」頁面中就能得知它所使用的連接埠，也可以在此隨時將「已啟用」設定取消，來停用此防火牆規則。若要限制僅開放特定的用戶端IP連線，則切換到「領域」頁面，然後如圖16所示在「遠端IP位址」區域內選取「這些IP位址」，再按下〔新增〕按鈕。

如圖17所示，在「IP位址」頁面中，授權指定的IP位址、子網路、IP位址範圍或是預先定義的電腦集，然後按下〔確定〕按鈕。

完成Windows Server本機防火牆的規則設定後，接下來馬上試試從授權的管理員用戶端電腦中來開啟遠端桌面連線工具，並在所出現的「輸入您的認證」頁面中，完成管理員帳號與密碼的輸入，再按下〔確定〕按鈕即可完成連線。

對於所有未經授權的用戶端電腦，若嘗試進行與此Windows Server 2025主機的連線，則會立即出現無法連線的提示訊息。

遠端桌面功能是為了方便管理員隨時隨地連線，如圖18所示，Microsoft官方也提供了免費的「Remote Desktop」App，可以直接從手機或平板來安裝與使用。

惡意程式與網站防護

為了避免Windows Server的主機感染惡意程式，理論上應盡量避免直接從本機的作業系統中來連線Internet的網站，甚至於下載檔案。然而，在實務上許多的IT部門恐難以達成這項管理原則。

不過，還好Windows Server 2025在安全性的設計上，除了有內建的Windows Defender防火牆功能外，還提供了對於病毒的防護、上網的防護、惡意程式下載的防護，以及各種惡意竄改系統程式的防護等功能。

首先關於病毒的防護功能，實際上在剛完成Windows Server 2025安裝的同時，便會發現在預設自動開啟的「伺服器管理員」介面中，已顯示目前的「Microsoft Defender防毒軟體」狀態呈現為「即時保護：開啟」。而這項功能的啟用設定，可以在「設定」→「Windows安全性」→「病毒與威脅防護」頁面中進行管理。

值得注意的是，在「病毒與威脅防護」頁面中其實還有兩項必定啟用的功能，那就是「雲端提供的保護」與「提交自動樣本」功能。有了這兩項功能，便可以確保此防毒軟體始終擁有最新病毒資料的取得與比對。

此外，若擔心作業系統遭到勒索軟體的威脅，還可以將「受控資料夾存取權」功能開啟。如果有某些應用程式或資料庫的資料夾不想被列入防毒軟體的掃描，以避免影響其運行或效能，也可以在此點選「新增或移除排除項目」超連結進行設定。

除了即時偵測可能的病毒與威脅外，也可以手動對於作業系統進行快速掃描，以確保在現行系統運行沒有任何可疑的病毒與威脅。

有了病毒威脅的即時偵測功能還不夠，還得防護可能的惡意程式直接從此主機來進行下載的威脅。為此，可以開啟「應用程式與瀏覽器控制」頁面，進行「信譽平等防護」與「惡意探索保護」的安全設定。其中在「信譽平等防護」設定部分，建議除了開啟「檢查應用程式和檔案」功能外，也將「非必要應用程式封鎖」功能開啟，並且勾選「封鎖應用程式」與「封鎖下載內容」兩項設定。至於「惡意探索保護」設定，採用預設的配置即可。

接下來，就實測一下Windows Server 2025對於可能帶有威脅性的網站，以及可能帶有惡意程式碼的檔案如何成功攔截。只要開啟內建的Edge瀏覽器，或是其他額外安裝的瀏覽器連線至任何惡名昭彰的網站時，便會如圖19所示立即出現「此網站已回報為不安全網站」的紅色警報。此時，除了可以按下〔上一步〕按鈕外，如果確認該網站並非惡意網站，也可以先點選「其他資訊」再點選「報告此網站不包含惡意軟體潛在威脅」或「繼續前往不安全的網站（不建議）」連結。

上述的例子是針對瀏覽器上網的防護，如果所連線的網站沒有出現威脅警報，可是在此網站上所下載的檔案可能含有惡意程式碼，怎麼辦呢？不用擔心！Windows Server 2025的Defender防毒將會第一時間攔截，而攔截的完整訊息將顯示在「保護歷程記錄」頁面中，除了可以查看惡意檔案的存放路徑外，也可針對此檔案選擇「動作」設定，包含隔離、移除以及允許在裝置上。

Windows Update更新管理

還記得確保Windows運行安全的鐵三角嗎？分別是防毒、防火牆以及Windows Update，Windows Update不僅涉及到Windows的安全，也與Windows運行效能的表現密不可分。

關於Windows Update的管理，同樣也位於「設定」介面中，可以在「Windows Update」頁面中查看到目前已下載或正在進行安裝的更新。在「其他選項」中，則可以隨時進行暫停更新、查看更新記錄、設定進階選項。如果想要在官方推出最新更新的第一時間立即取得，可以在此開啟設定。

進入到「更新記錄」頁面中，如圖20所示，除了能夠查看到所有已安裝的更新外，也可以視狀況需求點選某一個更新程式的「解除安裝」來移除該更新。

接下來，在「進階選項」頁面中，如圖21所示，建議除了將「接收其他Microsoft產品的更新」及「當需要重新啟動才能完成更新時，通知我」兩項設定啟用外，也務必記得設定「使用時間」。

如此一來，不僅確保Windows Server與Microsoft相關應用程式隨時取得最新的更新程式外，還能避免在指定的工作期間因更新而自動重啟系統。

若想要提升Windows Update的效率，則開啟「進階選項」區域內的「傳遞最佳化」頁面，如圖22所示，先開啟「允許從其他電腦下載」設定，再選取「在我區域網路上的裝置」設定。如此一來，在相同區域網路的Windows Server 2025將可以就近完成更新下載。

最後，還可以進一步點選「傳遞最佳化」頁面中的「進階選項」，在此選擇依據「絕對頻寬」或「測量頻寬百分比」的方式，來控制Windows Update下載時的流量大小，以確保不會影響現行其他應用系統的連線效能。

如圖23所示，範例中的設定便是依據測量頻寬百分比，來限制背景與前景下載時的頻寬大小。

善用工作管理員

無論是Windows Client還是Windows Server，從過去以來最重要的效能診斷工具就是「工作管理員」，因為它可以即時地監看所有執行中的程式對於各項資源的使用狀況，包括CPU、記憶體、磁碟、網路等等。

Windows Server 2025內建的「工作管理員」工具，可說是Windows Server有史以來功能最完整的即時效能監視工具，一樣可以在工作列上按下滑鼠右鍵後點選【工作管理員】來開啟它。

在「處理程序」頁面中，如圖24所示，除了可查看所有執行中的程式對於CPU、記憶體、磁碟、網路資源的使用率外，還能進一步按下滑鼠右鍵來勾選所要顯示的欄位，例如額外添加命令列、電源用量、電源用量趨勢。

在「效能」頁面中，則可以完整查看CPU資源的使用狀態與詳細資訊，以及能夠透過滑鼠右鍵選單來選擇圖表的呈現方式，包括整體使用率、邏輯處理器以及NUMA節點。接著，可以繼續針對記憶體、磁碟以及乙太網路來查看完整狀態資訊。

在Windows服務管理的部分，也可以從「服務」頁面直接進行管理，而無須再從「伺服器管理員」或「系統管理工具」來開啟「服務」管理介面，因為這裡就可以針對任一服務執行啟動、停止、重新啟動，或是開啟服務設定。

關於效能即時監看工具的使用，除了「工作管理員」外，還有它的姊妹工具，也就是「資源監視器」，可以從「工作管理員」介面右上方的選單中來開啟。以「磁碟」監視為例，可針對選定的程式來查看關於它的磁碟活動，以追蹤它在磁碟讀取與寫入的效能表現，必要時還可以對它執行「結束處理程序」等操作。

伺服器管理員技巧

每當剛完成一台Windows Server 2025的安裝並完成首次登入時，預設優先自動開啟的就是「伺服器管理員」介面，因為透過此工具可以完成常見的操作與配置，並且還可進一步開啟大部分所需要的管理工具。

在「伺服器管理員」介面的右上方，可以從「工具」選單中開啟所需要的其他管理工具，例如資源監視器、效能監視器、工作排程器等等。至於在「管理」選單中，則可以新增角色及功能、移除角色及功能、新增伺服器、建立伺服器群組、伺服器管理員屬性。

如果不希望在登入Windows Server後自動開啟「伺服器管理員」，只要在開啟「伺服器管理員屬性」後，如圖25所示取消勾選「登入時不要自動啟動伺服器管理員」設定即可。此外，若想要修改伺服器管理員介面中的各項資料的重整時間（預設=10分鐘），也可以在此進行變更。

當有多台伺服器需要集中管理時，最好的做法當然就是先完成Active Directory網域服務的部署，不過若不想採用網域的集中控管功能，一樣可以在「伺服器管理員」介面中，透過「新增伺服器」功能進行簡易的集中控管。

如圖26所示，在「新增伺服器」頁面中，可以發現加入其他Windows Server的方法中，除了有Active Directory外，還有DNS以及文字檔（.txt）的匯入方式。也就是說，若在內網中既沒有Active Directory也沒有DNS，仍然可以預先建立好一個擁有所有Windows Server 2012 R2以上版本的主機IP清單，來完成新增伺服器的操作。

一旦完成所有相容的Windows Server新增，便可以在「所有伺服器」頁面中看到這些伺服器的名稱、IP位址、事件等資訊。若想要執行一些進階管理的操作，可透過滑鼠右鍵的功能選單來執行新增角色及功能、重新啟動伺服器、電腦管理、遠端桌面連線、Windows PowerShell、設定NIC小組、管理身分、啟動效能計數器、移除伺服器等操作。

在此以「新增角色及功能」為例，執行後將會開啟一個精靈設定頁面，來協助快速完成選定伺服器的角色與功能的安裝，而不需要先遠端桌面連線到目標伺服器，再來開啟「新增角色及功能」設定頁面。

Windows Admin Center

無論是經由遠端桌面還是伺服器管理員來連線管理Windows Server，肯定都沒有比直接透過網頁瀏覽器連線管理來得方便。其實早在Windows Server 2016版本時期，Microsoft便已經提供Windows Admin Center的網頁工具，它除了可以進行Windows Server的集中控管外，還能夠與Azure服務無縫整合，包括Azure備份、Azure Site Recovery以及Azure Monitor。

關於Windows Admin Center的下載，可以透過「伺服器管理員」介面開啟後的提示訊息連結，或是自行到以下的官方網址下載。

‧Windows Admin Center官方下載網址：https://www.microsoft.com/zh-tw/windows-server/windows-admin-center

完成下載並執行後，首先會提示是否要使用Microsoft Update來保持Windows Admin Center版本的最新狀態。接著，系統會提示可以在Windows Server上完成閘道伺服器類型的安裝，如此便可以啟用多名管理員的連線存取，並且從任何電腦的網頁瀏覽器進行連線管理，再按下〔下一步〕按鈕繼續。接著，在「正在安裝Windows Admin Center」頁面中，確認已勾選「允許Windows Admin Center修改此電腦的授信任主機設定」以及「Automatically update Windows Admin Center」選項設定，再按下〔下一步〕按鈕。

在「正在安裝Windows Admin Center」頁面中，可以決定所要使用的連接埠和SSL憑證。建議若公司已有申請專屬的Internet網域萬用憑證，可以在此選擇所安裝的SSL憑證，否則就必須改用系統產生的自我簽屬SSL憑證，然後按下〔安裝〕按鈕。

完成安裝後，便可以在「準備從電腦連線」頁面中查看到Windows Admin Center的連線網址。成功連線登入後，如圖27所示，在「所有連線」頁面中點選現行的Windows Server進行連線，或是新增更多的Windows Server到此清單中。

在點選進入到選定的Windows Server後，首先可以在「概觀」頁面中查看到此伺服器的各項基本資訊，包括電腦名稱、網域、作業系統、磁碟空間、處理器、運作時間、已登入的使用者數量、Microsoft Defender即時保護狀態、警示以及CPU、記憶體、乙太網路的效能狀態等等。此外，也可以對此伺服器進行重新啟動、關機、編輯電腦識別碼等操作。

除此之外，在「事件」頁面中，可以如同Windows Server的「事件檢視器」工具一樣，快速檢視各類的事件類型，包括System、Security、Application、Setup、ForwardedEvents以及各種應用程式及服務記錄檔。在「事件記錄篩選」部分，則可根據嚴重、錯誤、警告、資訊、詳細資訊、時間範圍、事件識別碼以及來源條件設定，迅速找到所要查看的事件記錄。

Windows Admin Center能夠協助管理的功能還不僅如此，可以從它左邊的功能選單中發現包括角色&功能、防火牆、事件、服務、封包監控、效能監視器、排定的工作、處理序、登錄、虛擬交換器、虛擬機器以及裝置等等，皆可以在此進行相關配置資訊的檢視與設定。值得注意的是，其中的「封包監控」功能可以結合延伸的Wireshark與PayloadParser模組，來開啟封包監視記錄的功能。

＜本文作者：顧武雄，Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。＞