分享
分享赚钱 收藏 举报 版权申诉 / 15

类型服务器管理手册.doc

  • 上传人:无敌
  • 文档编号:652834
  • 上传时间:2018-04-17
  • 格式:DOC
  • 页数:15
  • 大小:486.50KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    服务器管理手册.doc
    资源描述:

    1、Server 服务器管理与维护四川四川 .西域工作室西域工作室Server 服务器管理与维护(一)、服务器虚拟化与维护技术现在谈论服务器虚拟化,而未来将关注桌面和应用虚拟化。受服务器虚拟化技术在创建更紧凑、高度灵活和高性价比的服务器基础设施的应用激发,该技术正炙手可热。例如,Forrester Research的调查结果显示,1200 位全球企业回答者中的 75%的人知道服务器虚拟化技术,26%的人部署了这项技术,另外 8%的人将在明年试验这项技术。此外,60%部署这项技术的回答者计划扩展这项技术应用的事实也很能说明问题。随着公司开始熟悉这项技术,它带来的好处开始显现。所有这些活动将导致最终的

    2、新一代数据中心架构一个建立在虚拟化基础设施上的架构。但是,Foundation Capital 风险投资合伙人、曾经的 VMware ESX Server 产品经理 Ashmeet Sidana 说,目前只有 5%左右的企业服务器实现了虚拟化,而达到虚拟化技术成为通用架构和事实上的部署机制的程度仍需要多年时间。然而,不要一叶障目。服务器虚拟化并不是市场上唯一的虚拟化选择。他说,在今后几年里,我们肯定会在新一代数据中心中看到一些令人惊叹的虚拟化部署应用虚拟化例如,应该关注将在桌面虚拟化领域出现的神奇技术。Sidana 说:“现在有很多新兴厂商考虑如何将虚拟化技术应用于满足管理、部署、可用性、备份

    3、和修补需求。”Sidana 并不承认,或者至少没有公开承认已经找到了一家值得 Foundation Capital 投资的公司。相反,他提到很多属于“虚拟化桌面基础设施联盟 ”的公司作出的虚拟化开发努力。该联盟是 4 月份推出的由 VMware 领导的组织。目前,该组织成员包括 Altiris、Appstream、Ardence、Check Point、Citrix、Fujitsu、Fujitsu-Siemens、Hitachi、HP、IBM 、 Leostream、NEC、Platform、Softricity、Sun 和 Wyse 等公司。VMware 表示,联盟的目标是使 IT 管理员在

    4、数据中心托管和集中管理桌面虚拟机,同时从用户所在的位置为用户提供全面的桌面体验。无疑,新一代数据中心其他领域的虚拟化同服务器虚拟化所证明的一样大有希望。以应用虚拟化为例。由于它使应用程序独立于主机操作系统并相互独立,这项技术将为企业桌面环境带来多种好处。研究公司 Summit Strategies(最近被 Ovum 所收购)客户解决方案实践主管 Warren Wilson 说,同服务器虚拟化一样,应用虚拟化的一个重要好处是更低的总拥有成本。Wilson 可以滔滔不绝地说Server 服务器管理与维护出应用虚拟化的很多其他好处,如更好的系统稳定性、更少的崩溃、更长的正常运行时间。他说,所有这些好

    5、处将带来更高的工作人员生产力和更少、负担更轻的服务台运营。Wilson 补充说,你现在甚至就可以走上应用虚拟化之路。来自 ZeoSoft 的技术将一台手持 PDA变为可以与其他 PDA 互动的移动服务器,以对等方式为它们提供容器化应用程序(containerized applications)。他说:“这正是虚拟化技术向新领域的扩展。”从何处入手:那么,你应当从何处开始呢?你可以通过分析那些推销应用虚拟化软件的厂商入手。这些厂商包括 IBM(通过 2005 年收购 Meiosys)、Softricity (今年年初被微软所收购)和新兴厂商Trigence。每一家厂商都有自己的特点,但共同的思路

    6、是应用隔离,即虚拟化是使桌面基础设施更加灵活的关键元素。除了熟悉应用虚拟化之外,应当更多地从用户界面而非应用程序本身来了解传统的桌面软件厂商(如 Altiris 和 Citrix)是如何对待虚拟化技术的,以及其他厂商如何在操作系统层上处理虚拟化技术的。提供后一类虚拟化技术的两家厂商是 Sun 公司(提供 Solaris Containers)和新兴厂商SWsoft(提供 Virtuozzo 软件)。要善于在新公司向你推销他们的虚拟化技术时倾听他们说些什么你也许会在其中发现某些猎物。这些虚拟化技术中没有一种必须是相互排斥的。 虚拟服务器领域竞争厂商 VMware: 虚拟化市场的开拓者,迄今为止仍

    7、然是该市场的领头羊。从 2001 年开始进入服务器虚拟化市场,主要产品有 GSX Server 和 ESX Server。在 2006 年 6 月,VMware 公司发布了 VMware Infrastructure 3,该产品集成了完备的虚拟化、管理、资源优化、操作自动化等各项服务器虚拟化功能组件。 微软:目前产品为 Virtual Server 2005,免费提供给用户。计划在 20072008 年提供一款新的hypervisor,该产品将能够实现在单个物理服务器上运行多个操作系统。在该款产品发布的同时,也会发布一款新的虚拟化管理工具。 Novell:作为 Linux 发行商之一,在其 S

    8、uSE Enterprise Linux 10 之中集成了 Xen 的开源虚拟化技术。 Parallels:桌面虚拟化厂商。该公司计划在今年的第四季度进行其服务器虚拟化产品的 beta 测试。 Red Hat:计划在其 Red Hat Enterprise Linux 5 中增加对 Xen 的支持。 Server 服务器管理与维护Sun:Sun 公司的 Solaris 10 中集成的 Container 允许在一个单独的 Solaris 操作系统上运行多个独立的应用。并且在今年的年末,Sun 会对 Solaris 10 进行更新,以便提供对 Xen 的支持。 SWsoft:该公司的 Virtu

    9、ozzo 软件在操作系统之上进行虚拟化,因此可以在安装了单个操作系统的服务器之上运行多个独立的应用,有点类似于 Sun 的 Container。 Virtual Iron:Xen 是该虚拟化公司的基础技术,它允许客户构建虚拟资源池,并且根据应用需要进行调度。 XenSource:Xen 开发项目的领导厂商,提供 XenEnterprise。该产品是 Xen 的企业版,提供一系列的支持服务。 (二)、 服服 务务 器的器的 维护维护 管理管理一、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长

    10、度最好不少于 14位。 2、新建一个名为 Administrator 的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于 20 位的密码。3、将 Guest 账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。 4、开始-程序-管理工具-本地安全策略,选择计算机配置-Windows 设置-安全设置-账户策略 -账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为 30 分钟”,“复位锁定计数设为 30 分钟”。5、在安全设置 -本地策略-安全选项中将“不显示上次的用户名”设为启用 。6. 本地策略 -安全选项-对匿名连接的额外限制.选择 (不允许枚举 SAM 帐号和共享)二

    11、、网络服务安全管理1、禁止 C$、D$ 、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建 Dword 值,名称设为 AutoShareServer 值设为 0. 注册表不了解.不要随便更改.2、 解除 NetBios 与 TCP/IP 协议的绑定 右击网上邻居-属性- 右击本地连接-属性- 双击 Internet 协议-高级-Wins-禁用TCP/IP 上的 NETBIOS 3、关闭不需要的服务,以下为建议选项 开始-所有程序- 管理工具-

    12、服务Computer Browser:维护网络计算机更新,禁用 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Server 服务器管理与维护Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Re

    13、gistry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助Messenger:信使服务(windows2000)Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在。右击网上邻居-属性-Internet 协议(TCP/IP)属性-高级-选项-TCP/IP 筛选属性-TCP 端口添加你想要开的端口.默认开启的

    14、端口列表:FTP:20.21mail:25.110Web:80pcanywhere:5631远程桌面:3389 (3389 不要关闭,否则将无法远程连接)三、系统安全管理1.对于系统的 NTFS 磁盘权限设置,C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的 system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。2. Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程序就无法运行。3. 另外在 c:/Documents and

    15、Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了 C 盘给 administrators 权限,而在 All Users/Application Data 目录下会 出现 everyone 用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限.4. net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe ,at.exe,attrib.exe,cacls.exe 这些文件都设置只允许 administrators.system 访问.guests 禁止访问四、打开相应的审

    16、核策略开始-程序- 管理工具- 本地安全策略- 安全设置- 本地策略-审核策略注:windows2003 已经开启部分 .windows2000 没有开启.可以根据实际情况来设置.推荐的要审核的项目是: 登录事件 成功 失败 Server 服务器管理与维护账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 (三)、服务器硬件故障实例硬件故障是指服务器硬件出现异常而导致的各类错误。由于服务器构成比较复杂,因此在检查的时候必须认真、仔细。下面以一台 LH6000 为例说明。有一台 HP LH6000,配有 256M 内存,使用一

    17、个 PIII XEON 700 带 2M 高速缓存的处理器。开机后没有任何显示,但系统日志上提示了一条 CPU 电压为 0 伏的信息,系统指示灯三灯不停在闪烁(指示灯三灯闪烁是服务器的另一种报警方式,我会在文后说明) 。这种错误一般是处理器电压调节模块(VRM)出错或 CPU 出错或 CPU 与 CPU 板块接触不良,但也可能是 CPU 板块出错,这时情况就比较复杂了,必须经过认真慎重的思考。因为CPU 板块在整个服务器中,占有举足轻重的地位,如果它出错服务器是会报致命错误的,并且在系统日志中会提示致命错误,但报 CPU 电压错的情况也有 5%左右。我们立刻把CPU 调换在另一 CPU 插槽中

    18、,开机后依然是刚才的那种故障。所以在初步判断中,可以排除是 CPU 板块坏。这时,取出 CPU 仔细擦拭金手指,以及 CPU 板块中与 CPU 接触的地方后,开机依然无显示。相对处理器坏的情况来说处理器电压模块(VRM)出现故障的情况比较大。于是立即在另一台 LH 6000 中取下一个处理器电压模块,安装在此服务器中。开机后,服务器依然没有任何显示,系统日志上依然提示 CPU 电压为 0 伏的信息,系统指示灯三灯依然不停在闪烁。这时的情况就比较明显了。于是立即从另一台 LH6000 中取下一个 CPU 安装后,开机正常。在服务器的维修中,线索都会显得扑朔迷离,一般来说不可能一次就可以准确地判断

    19、出问题的所在。这样就要求相关人员要有信心及耐心。出现错误一般的流程是通过系统日志上的信息来解决,如果没有解决问题再找出其它因素,然后再看日志信息。总之,服务器出错后,必须一步一步解决,没有捷径可言。又如:有一台 HP LH 4 开机不显示,发现开机时系统日志没有任何信息,且系统指示Server 服务器管理与维护灯不亮。初步判断是电源方面出现了错误。经过仔细检查,发现服务器的电源是正常的,因此最大的可能就是服务器的电源管理板出现故障。更换电源管理板后,开机显示正常。但这时,新的问题来了:自检时,用 CTRL+M 不能检测到硬盘。硬盘在别的服务器上是正常的,因此立即清除此服务器的 CMOS,但依然

    20、不正常。我立刻上网找到此服务器的最新 BIOS,升级 BIOS 后也不能解决问题。又检查硬盘笼子和服务器里的数据线及电源线后依然出错。这时,一般情况会怀疑是服务器的 I/O 板(输入输出板块)有问题。但就在这个时候,我发现在 I/O 板上有一个非 HP 的旧式网卡,立即去除此网卡后服务器就一切正常。硬件故障并不单单指硬件有问题,它也指硬件之间不兼容。因为服务器的正常运作需要各部件之间的大力协调。建议大家在采购各元件时,都采用同一品牌原装的,并且要采用能发挥服务器性能的元件(上例中的旧式网卡即使正常也会严重影响服务器性能) ,这样才不会发生莫明其妙的故障。我曾遇到过一种情况:用户需要把他的 HP

    21、 LH6000 升级到双网卡,我建议他购买原装网卡,但当他看到 HP LH6000 的网卡是采用的 INTEL 82559 芯片后,断然决定不使用原装网卡而采用另一品牌也采用 INTEL 82559 的网卡。过了几天,他打电话给我说,他的新网卡不能使用网络冗余及数据校验,并怀疑服务器有问题。我带了一个 HP 网卡到用户那里,仔细检查了服务器的环境完全正常后,把 HP 网卡安装到机器上后一切正常。这个例子更加说明了,要发挥服务器的最大性能及功能,必须使用原品牌原装的配件。非原品牌非原装的配件,不能支持服务器的某些功能,严重的会影响到服务器的正常使用。一般来说中、高端的服务器报警系统都比较完善,除

    22、了系统日志外,还有指示灯。以HP LH6000 来说,指示灯的绿色灯常亮表示服务器正常;绿灯亮而黄色闪烁表示服务器有故障,但不是致命的;如果三灯闪烁(绿、黄、红三灯)就表示服务器有致命故障,服务器停止运行。相比较而言,指示灯只能提示比较笼统的故障,而系统日志就比较完全。在维修中,必须仔细察看这两种报警系统的信息。有一点必须注意的是系统日志是一个存储器,容量有限(LH 6000 能存 200 条信息) 。当容量不够时必须清空,否则服务器将报警,一般是服务器指示灯报非致命错误,但却不能再存任何信息。要避免硬件故障发生频率,服务器管理人员必须注意服务器的使用环境完全正常。比较重要的服务器必须在恒温、

    23、恒湿的环境;电压也要符合,不仅要采用 UPS,还必须接地线,必须是左零线、右火线,零地电压在 13 伏。在开、关服务器上必须符合正常的流程。工Server 服务器管理与维护作人员必须严格执行操作流程。一般情况来说,服务器管理人员对于硬件故障只要有丰富的经验都能很快找出故障所在,如果不能解决就必须迅速与服务器的售后服务中心联系。(四)服务器维护与内网安全策略几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备希望堵住来自 Internet 的不安全因素。然而, Intranet 内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。大多企业重视提高企业网

    24、的边界安全,暂且不提它们在这方面的投资多少,但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施,如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现内网与 Internet的安全隔离,然而,情况并非如此!企业中经常会有人私自以 Modem 拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。实践证明,很多成功防范

    25、企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。下面给出了应对企业内网安全挑战的 10 种策略。这 10 种策略即是内网的防御策略,同时也是一个提高大型企业网络安全的策略。 1、 注意内网安全与网络边界安全的不同 内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自 Internet 上的攻击,主要是防范来自公共的网络服务器如 HTTP 或 SMTP 的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台 Se

    26、rver,然后以此为基地,对 Internet 上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。2、 限制 VPN 的访问 虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显 VPN 用户是可以访问企业内网Server 服务器管理与维护的。因此要避免给每一位 VPN 用户访问内网的全部权限。这样可以利用登录控制权限列表来限制 VPN 用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。 3、 为合作企业网建立内网型的边界防护 合作企业

    27、网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护 MS-SQL,但是 Slammer 蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个 DMZ,并将他们所需要访问的资源放置在相应的 DMZ 中,不允许他们对内网其他资源的访问。4、 自动跟踪的安全策略 智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,

    28、安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。5、 关掉无用的网络服务器 大型企业网可能同时支持四到五个服务器传送 email,有的企业网还会出现几十个其他服务器监视 SMTP 端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个 window 文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议6、 首先保护重要资源若一个内网上连了千万台(例如 30000 台)机子,那么要期望保持每一台

    29、主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。7、 建立可靠的无线访问 Server 服务器管理与维护审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过 VPN 技术进行访问。 8、 建立安全过客访问 对于过

    30、客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet 访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。9、 创建虚拟边界防护主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的) ,还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的 R&D。因此要实现公司 R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现

    31、在也应该意识到建立网上不同商业用户群之间的边界防护。 10、 可靠的安全决策 网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺,例如不知道 RADIUS 和 TACACS 之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。(五)IIS6 服务器中的故障分析在用 IIS6 架网站的时候遇到不少问题,而这些问题有些在过去的 IIS5 里面就遇到过,有些是新出来的,俺忙活了一下午,做了很多次试验,结合以前的排错经验,做出了这个总结:问题 1:未启用父路径症状举例:Server.MapPath() 错误 ASP 0175 : 80004005 不允许的 Path 字符

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:服务器管理手册.doc
    链接地址:https://www.docduoduo.com/p-652834.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开