服务器服务器管理手册

Wi ndows Server 2003Standard Edition

服务器管理与

维护手册

四川.西域工作室

一 、服务器虚拟化与维护技术

现在谈论服务器虚拟化而未来将关注桌面和应用虚拟化。受服务器虚拟化技术在创建更紧凑、 高度灵活和高性价比的服务器基础设施的应用激发该技术正炙手可热。例如 Forrester Research的调查结果显示 1200位全球企业回答者中的75%的人知道服务器虚拟化技术 26%的人部署了这项技术另外8%的人将在明年试验这项技术。此外 60%部署这项技术的回答者计划扩展这项技术应用的事实也彳艮能说明问题。

随着公司开始熟悉这项技术 它带来的好处开始显现。所有这些活动将导致最终的新一代数据中心架构一一个建立在虚拟化基础设施上的架构。但是 Foundation Capital风险投资合伙人、 曾经的VMware ESX Server产品经理AshmeetSidana说 目前只有5%左右的企业服务器实现了虚拟化而达到虚拟化技术成为通用架构和事实上的部署机制的程度仍需要多年时间。

然而不要一叶障目。服务器虚拟化并不是市场上唯一的虚拟化选择。他说在今后几年里我们肯定会在新一代数据中心中看到一些令人惊叹的虚拟化部署

应用虚拟化

例如应该关注将在桌面虚拟化领域出现的神奇技术。 Sidana说现在有很多新兴厂商考虑如何将虚拟化技术应用于满足管理、部署、可用性、备份和修补需求。 ”

Sidana并不承认或者至少没有公开承认已经找到了一家值得 Foundation Capital投资的公司。相反他提到很多属于虚拟化桌面基础设施联盟”的公司作出的虚拟化开发努力。该联盟是 4月份推出的由VMware领导的组织。 目前该组织成员包括Altiris、Appstream、Ardence、 Check Point、 Citrix、Fujitsu、 Fujitsu-Siemens、 Hitachi、 HP、 RM、 Leostream、 NEC、 Platform、 Softricity、 Sun和Wyse等公司。V Mwa re表示联盟的目标是使I T管理员在数据中心托管和集中管理桌面虚拟机 同时从用户所在的位置为用户提供全面的桌面体验。

无疑新一代数据中心其他领域的虚拟化同服务器虚拟化所证明的一样大有希望。 以应用虚拟化为例。由于它使应用程序独立于主机操作系统并相互独立 这项技术将为企业桌面环境带来多种好处。研究公司Summit Strategies 最近被Ovum所收购客户解决方案实践主管Warren Wi lson说 同服务器虚拟化一样应用虚拟化的一个重要好处是更低的总拥有成本。 Wi lson可以滔滔不绝地说出应用虚拟化的很多其他好处如更好的系统稳定性、更少的崩溃、更长的正常运行时间。他说所有这些好处

将带来更高的工作人员生产力和更少、负担更轻的服务台运营。

W i lso n补充说你现在甚至就可以走上应用虚拟化之路。来自 ZeoSoft的技术将一台手持P DA变为可以与其他PDA互动的移动服务器 以对等方式为它们提供容器化应用程序containerizedappl ications 。他说这正是虚拟化技术向新领域的扩展。 ”

从何处入手

那么你应当从何处开始呢你可以通过分析那些推销应用虚拟化软件的厂商入手。这些厂商包括旧

M 通过2005年收购Meiosys 、 Softricity 今年年初被微软所收购和新兴厂商 Trigence。每一家厂商都有自己的特点 但共同的思路是应用隔离 即虚拟化是使桌面基础设施更加灵活的关键元素。

除了熟悉应用虚拟化之外应当更多地从用户界面而非应用程序本身来了解传统的桌面软件厂商如Altiris和Citrix是如何对待虚拟化技术的 以及其他厂商如何在操作系统层上处理虚拟化技术的。提供后一类虚拟化技术的两家厂商是 Sun公司提供Solaris Containers和新兴厂商SWsoft

提供Vi rtuozzo软件 。要善于在新公司向你推销他们的虚拟化技术时倾听他们说些什么-------------你也许会在其中发现某些猎物。这些虚拟化技术中没有一种必须是相互排斥的。

虚拟服务器领域竞争厂商

V Mwa re:虚拟化市场的开拓者迄今为止仍然是该市场的领头羊。从2001年开始进入服务器虚拟化市场主要产品有GSX Server和ESX Server。在2006年6月 VMware公司发布了VMware I nfrastructure 3,该产品集成了完备的虚拟化、管理、资源优化、操作自动化等各项服务器虚拟化功能组件。

微软 目前产品为Virtual Server 2005免费提供给用户。计划在2007〜2008年提供一款新的hypervisor,该产品将能够实现在单个物理服务器上运行多个操作系统。在该款产品发布的同时也会发布一款新的虚拟化管理工具。

Novel l :作为Linux发行商之一在其SuSE Enterprise Linux 10之中集成了Xen的开源虚拟化技术。

Paral lels 桌面虚拟化厂商。该公司计划在今年的第四季度进行其服务器虚拟化产品的 beta测试。

Red Hat:计划在其Red Hat Enterprise Linux 5中增加对Xen的支持。

Sun Sun公司的Solaris 10中集成的Container允许在一个单独的Solaris操作系统上运行多个独立的应用。并且在今年的年末 Sun会对Solaris 10进行更新 以便提供对Xen的支持。

SWs oft:该公司的V i rtuozzo软件在操作系统之上进行虚拟化 因此可以在安装了单个操作系统的服务器之上运行多个独立的应用有点类似于 Sun的Container。

Virtual Iron:Xen是该虚拟化公司的基础技术 它允许客户构建虚拟资源池 并且根据应用需要进行调度。

Xe nSo urce Xe n开发项目的领导厂商提供Xe n E nte rp rise。该产品是Xe n的企业版提供一系列的支持服务。

二 、服务器的维护管理

一、 设置和管理账户

1 、系统管理员账户最好少建更改默认的管理员帐户名Administrator 和描述密码最好采用数字加大小写字母加数字的上档键组合长度最好不少丁 14位。

2、新建一个名为Administrator的陷阱帐号为其设置最小的权限然后随便输入组合的最好不低丁20位的密码。

3、将Guest账户禁用并更改名称和描述然后输入一个复杂的密码然后禁用。

4、开始-程序-管理工具-本地安全策略选择计算机配置-W i n d ows设置-安全设置-账户策略-账户锁定策略将账户设为兰次登陆无效”锁定时间为30分钟”,

复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将不显示上次的用户名”设为启用。

6、本地策略-安全选项-对匿名连接的额外限制.选择不允许枚举SAM帐号和共享

二、 网络服务安全管理

1 、禁止C$、 D$、 ADMIN$一类的缺省共享

打开注册表lan manserver\parameters,在右边的窗口中新建Dword值名称设为AutoShareS e rve r值设为0.注册表不了解.不要随便更改.

2、 解除NetBios与TCP/IP协议的绑定

右击网上邻居-届性-右击本地连接-届性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不需要的服务 以下为建议选项

开始-所有程序-管理工具-服务

Computer Browser:维护网络计算机更新禁用

Distributed Fi le System:局域网管理共享文件不需要禁用

Distributed l inktracking cl ient:用丁局域网更新连接信息不需要禁用

Error reporting service:禁止发送错误报告

Microsoft Serch :提供快速的单词搜索不需要可禁用

NTLMSecuritysupportprovide: telnet服务和Microsoft Serch用的不需要禁用

PrintSpooler :如果没有打印机可禁用

Remote Registry:禁止远程修改注册表

Remote Desktop Help Session Manager :禁止远程协助

Messenger:信使服务(windows2000)

Task Scheduler:允许程序在指定时间运行(不用计划任务就禁用掉)

TCP/IP NetBIOS Helper Service:NetBIOS(NetBT) ”服务以及NetBIOS名称解析的支持

注新上架的服务器已经做过其他安全设置只开以下端口 需要开其他端口可以在。右击网上邻居-届性-Internet协议(TCP/IP )届性-高级-选项-TCP/IP筛选一届性-TCP端口一添加你想要开的端口.

默认开启的端口列表

FTP:20.21mai l :25.1 10

Web:80pcanywh ere:5631

远程桌面 3389(3389不要关闭否则将无法远程连接)

三、系统安全管理

1.对丁系统的NTFS磁盘权限设置,C盘只给ad min istrators和system权限其他的权限不给其他的盘也可以这样设置,这里给的system权限也不一定需要给只是由丁某些第三方应用程序是以服务形式启动的需要加上这个用户否则造成启动不了。

2.Windows目录要加上给users的默认权限否则ASP和ASPX等应用程序就无法运行。

3.另外在c:/Documents and Settings/这里相当重要后面的目录里的权限根本不会继承从前的设置如果仅仅只是设置了 C盘给administrators权限而在Al l Users/Appl ication Data目录下会出现everyone用户有完全控制权限这样入侵这可以跳转到这个目录写入脚本或只文件再结合其他漏洞来提升权限.

4. n et.exe , cmd.exe , tftp.exe, n etstat.exe , reg ed it.exe , at.exe , attri b. exe ,cacls.exe这些文件都设置只允许ad ministrators.system访问.guests禁止访问

四、打开相应的审核策略

开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略

注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.

推荐的要审核的项目是

登录事件成功失败

账户登录事件成功失败

系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用

失败

三 、服务器硬件故障实例

硬件故障是指服务器硬件出现异常而导致的各类错误。 由于服务器构成比较复杂 因此在检查的时候必须认真、仔细。下面以一台 LH6000为例说明。

有一台HP LH6000配有256M内存使用一个PI I IXEON700带2M高速缓存的处理

器。开机后没有任何显示但系统日志上提示了一条 CPU电压为0伏的信息系统指示灯三灯不停在闪烁指示灯三灯闪烁是服务器的另一种报警方式我会在文后说明 。这种错误一般是处理器电压调节模块VRM出错或CPU出错或CPU与CPU板块接触不良但也可能是CPU板块出错这时情况就比较复杂了 必须经过认真慎重的思考。因为CPU板块在整个服务器中 占有举足轻重的地位 如果它出错服务器是会报致命错误的 并且在系统日志中会提示致命错误但报 CPU电压错的情况也有5%左右。我们立刻把CPU调换在另一CPU插槽中开机后依然是刚才的那种故障。 所以在初步判断中 可以排除是CPU板块坏。

这时取出CPU仔细擦拭金手指 以及CPU板块中与CPU接触的地方后开机依然无显示。

相对处理器坏的情况来说处理器电压模块 VRM出现故障的情况比较大。于是立即在另一台LH6000中取下一个处理器电压模块安装在此服务器中。开机后服务器依然没有任何显示系统日志上依然提示 CPU电压为0伏的信息系统指示灯三灯依然不停在闪烁。这时的情况就比较明显了。于是立即从另一台 LH6000中取下一个CPU安装后开机正常。

在服务器的维修中线索都会显得扑朔迷离一般来说不可能一次就可以准确地判断出问题的所在。这样就要求相关人员要有信心及耐心。 出现错误一般的流程是通过系统日志上的信息来解决如果没有解决问题再找出其它因素然后再看日志信息。总之服务器出错后必须一步一步解决没有捷径可言。

又如有一台HPLH4开机不显示发现开机时系统日志没有任何信息且系统指示灯

不亮。初步判断是电源方面出现了错误。 经过仔细检查发现服务器的电源是正常的 因此最大的可能就是服务器的电源管理板出现故障。 更换电源管理板后开机显示正常。但这时新的问题来了 自检时用CTRL+M不能检测到硬盘。

硬盘在别的服务器上是正常的 因此立即清除此服务器的 CMOS,但依然不正常。我立

刻上网找到此服务器的最新BIOS升级BIOS后也不能解决问题。又检查硬盘笼子和服务器里的数据线及电源线后依然出错。这时一般情况会怀疑是服务器的 I/O板输入输出板块有问题。但就在这个时候我发现在I/O板上有一个非HP的旧式网卡立即去除此网卡后服务器就一切正常。

硬件故障并不单单指硬件有问题它也指硬件之间不兼容。因为服务器的正常运作需要各部件之间的大力协调。 建议大家在采购各元件时 都采用同一品牌原装的 并且要采用能发挥服务器性能的元件上例中的旧式网卡即使正常也会严重影响服务器性能 这样才不会发生莫明其妙的故障。

我曾遇到过一种情况 用户需要把他的HP LH6000升级到双网卡我建议他购买原装网卡但当他看到HP LH6000的网卡是采用的INTEL 82559芯片后断然决定不使用原装网卡而采用另一品牌也采用INTEL 82559的网卡。过了几天他打电话给我说他的新网卡不能使用网络冗余及数据校验并怀疑服务器有问题。我带了一个 HP网卡到用户那里仔细检查了服务器的环境完全正常后 把HP网卡安装到机器上后一切正常。这个例子更加说明了要发挥服务器的最大性能及功能 必须使用原品牌原装的配件。 非原品牌非原装的配件不能支持服务器的某些功能严重的会影响到服务器的正常使用。

一般来说中、高端的服务器报警系统都比较完善 除了系统日志外还有指示灯。 以HPLH6000来说指示灯的绿色灯常亮表示服务器正常 绿灯亮而黄色闪烁表示服务器有故障但不是致命的如果三灯闪烁绿、黄、红三灯就表示服务器有致命故障服务器停止运行。相比较而言指示灯只能提示比较笼统的故障而系统日志就比较完全。在维修中必须仔细察看这两种报警系统的信息。

有一点必须注意的是系统日志是一个存储器 容量有限

LH6000能存200条信息 。当容量不够时必须清空否则服务器将报警一般是服务器指示灯报非致命错误但却不能再存任何信息。

要避免硬件故障发生频率服务器管理人员必须注意服务器的使用环境完全正常。比较重要的服务器必须在恒温、恒湿的环境 电压也要符合不仅要采用 UPS,还必须接地线必须是左零线、右火线零地电压在 1~3伏。在开、关服务器上必须符合正常的流程。工作人员必须严格执行操作流程。

一般情况来说服务器管理人员对于硬件故障只要有丰富的经验都能很快找出故障所在 如果不能解决就必须迅速与服务器的售后服务中心联系。

四服务器维护与内网安全策略

几乎所有企业对于网络安全的重视程度一下子提高了 纷纷采购防火墙等设备希望堵住来自I nternet的不安全因素。然而 I ntranet内部的攻击和入侵却依然猖狂。事实证明公司内部的不安全因素远比外部的危害更恐怖。

大多企业重视提高企业网的边界安全 暂且不提它们在这方面的投资多少 但是大多数企业网络的核心内网还是非常脆弱的。 企业也对内部网络实施了相应保护措施 如安装动辄数万甚至数十万的网络防火墙、入侵检测软件等并希望以此实现内网与 Internet的安全隔离然而情况并非如此企业中经常会有人私自以 Modem拨号方式、手机或无线网卡等方式上网而这些机器通常又置于企业内网中 这种情况的存在给企业网络带来了巨大的潜在威胁从某种意义来讲企业耗费巨资配备的防火墙已失去意义。 这种接入方式的存在极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络 从而造成敏感数据泄密、传播病毒等严重后果。 实践证明很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。

下面给出了应对企业内网安全挑战的 10种策略。这10种策略即是内网的防御策略 同时也是一个提高大型企业网络安全的策略。

1 、 注意内网安全与网络边界安全的不同

内网安全的威胁不同于网络边界的威胁。 网络边界安全技术防范来自 Internet上的

攻击主要是防范来自公共的网络服务器如 HTTP或SMTP的攻击。 网络边界防范如

边界防火墙系统等减小了资深黑客仅仅只需接入互联网、 写程序就可访问企业网的几

率。 内网安全威胁主要源于企业内部。 恶性的黑客攻击事件一般都会先控制局域网络内

部的一台Server,然后以此为基地对I nternet上其他主机发起恶性攻击。因此应在边界展开黑客防

护措施 同时建立并加强内网防范策略。

2、 限制VPN的访问

虚拟专用网 VPN用户的访问对内网的安全造成了巨大的威胁。 因为它们将弱化

的桌面操作系统置于企业防火墙的防护之外。 很明显VPN用户是可以访问企业内网的。

因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别 即只需赋予他们所需要的访问权限级别即可如访问邮件服务器或其他可选择的网络资源的权限。

3、 为合作企业网建立内网型的边界防护

合作企业网也是造成内网安全问题的一大原因。 例如安全管理员虽然知道怎样利用实际技术来完固防火墙 保护MS-SQL,但是Slammer蠕虫仍能侵入内网 这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。 由此既然不能控制合作者的网络安全策略和活动那么就应该为每一个合作企业创建一个 DMZ,并将他们所需要访问的资源放置在相应的DMZ中不允许他们对内网其他资源的访问。

4、 自动跟踪的安全策略

智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。 它带来了商业活动中一大改革极大的超过了手动安全策略的功效。 商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更 因此安全策略也必须与相适应。 例如实时跟踪企业员工的雇佣和解雇、 实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之要做到确保每天的所有的活动都遵循安全策略。

5、 关掉无用的网络服务器

大型企业网可能同时支持四到五个服务器传送 e-mai l ,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。 若一个程序或程序中的逻辑单元 作为一个window文件服务器在运行但是又不具有文件服务器作用的 关掉该文件的共享协议

6、 首先保护重要资源

若一个内网上连了千万台 例如30000台机子那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。 大型企业网的安全考虑一般都有择优问题。 这样首先要对服务器做效益分析评估然后对内网的每一台网络服务器进行检查、 分类、修补和强化工作。必定找出重要的网络服务器例如实时跟踪客户的服务器并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产 并做好在内网的定位和权限限制工作。

7、 建立可靠的无线访问

审查网络为实现无线访问建立基础。 排除无意义的无线访问点 确保无线网络访问

的强制性和可利用性并提供安全的无线访问接口。将访问点置于边界防火墙之外 并允许用户通

过VPN技术进行访问。