‘windows server’ 分类下的所有文章
2015九月8

执行远程服务器命令PsExec

windows server 评论关闭

一、下载PsExec

二、命令如下:

>psexec \172.16.88.204 -u vss -p vssp cmd –打开cmd执行命令
>psexec \172.16.88.204 -u vss -p vssp -c my.bat
 

三、在下载的文件中还有其它命令,作用有:

 
(2)psservice 管理远程服务器的服务
psservice 远程机器ip start tlntsvr
 
 
(3)pssuspend 暂时停止远程服务器进程
 
(4)psinfo 获得操作系统信息,硬件信息和软件信息。
 
(5)pslist 查看进程。
比如要以任务管理器模式实时查看进程情况,并且刷新间隔为3秒可以打:
pslist -s -n 3 远程机器ip
 
(6)psuptime
psuptime是一个了解远程机器运行了多久的命令。
使用它只需要打:psuptime 远程机器ip
 
(7)psshutdown
psshutdown是一个远程关机命令。
比如我想让远程机器30秒后关闭并显示(要关机了,请保存文件)则打:
psshutdown -t 30 -s -m "要关机了,请保存文件" 远程机器ip
 
(8)psfile
psfile是一个显示机器上的会话和有什么文件被网络中的用户的打开的命令。
 
(9)psloggedon 是一个显示目前谁登陆的机器的命令。
psloggedon 远程机器ip
 
(10)psgetsid 获取账号sid信息的工具。
psgetsid 远程机器ip abc
 
(11)pskill 杀除进程的程序。
pskill 远程机器ip 999   或   pskill 远程机器ip srm
 
(12)psloglist 是一个查看系统事件记录的程序。
如果我想看远程机器的系统事件记录只用打:
psloglist 远程机器ip 123
比如我想看最近的10条error类型的记录可以打:
psloglist 远程机器ip -n 10 -f error
2015六月15

EXCEL连接SQLServer打开文件刷新

windows server 评论关闭
一,解决打开文件显示警告的事宜
 
点Excel最左上角的“花”,右下的“Excel选项”,左边的“信任中心”,右边的“信任中心设置”,左边的“外部数据”(External Content,倒数第2个),如果你不希望出现那个提示,右边两个都选第一个选项(自动更新数据)或者都选第3个选项(不更新,不提示)。
 
 
 
二,
 
1,在连接属性里记住密码
 
2,配置 Excel Services 身份验证设置
在数据连接的 Excel 工作簿中的“数据”选项卡上,单击“连接”。
在“工作簿连接”对话框中,选择要更新的数据连接,然后单击“属性”。
在“连接属性”对话框中的“定义”选项卡上,单击“身份验证设置”。
在“Excel Services 身份验证设置”对话框中,选择“无”选项,然后单击“确定”。
在“连接属性”对话框中,单击“确定”。
2015四月8

远程桌面无法使用剪贴板共享

windows server 评论关闭

1:打开任务管理器
2:找到结束进程rdpclip,找不到可以直接跳到下一步。
3:点击 开始→运行,在“打开”框中输入rdpclip,运行。

2014十月21

winrar制作升级包

windows server 评论关闭

@echo off

::set fdir=%WINDIR%\Microsoft.NET\Framework64

::if not exist %fdir% (
:: set fdir=%WINDIR%\Microsoft.NET\Framework
::)
::set msbuild=%fdir%\v4.0.30319\msbuild.exe
::%msbuild% website.publishproj /p:DeployOnBuild=true /p:PublishProfile=.\App_Data\PublishProfiles\发布.pubxml /p:VisualStudioVersion=11.0 /p:OutputPath=D:\deploy

::复制
ROBOCOPY M:\Luke\LengKu\Web N:\deploy\ccms\ccms /XO /MIR /XF web.config ConnMapping.xml release.bat website.publishproj JavaField.xml /XD Files ewebeditor extjs ExtLib icon images JScript Resources

::压缩并添加解压的文件路径,这样copy上去后直接点解压即可
del N:\deploy\ccms.exe
cd /d N:\deploy\ccms
“C:\Program Files\WinRAR\rar.exe” a -k -r -s -sfx -z”N:\deploy\DeployTools\winrarPath.ini” N:\deploy\ccms.exe ccms DB
::start N:\deploy
::打开teamview准备上传
“C:\Program Files (x86)\TeamViewer\Version9\teamviewer.exe” -i aa –Password bbbb -m fileTransfer

winrarPath.ini文件:
Path=E:\IISROOT\
Overwrite=1

2014十月3

cmd下用curl 向 https post json数据

windows server 评论关闭

1,下载包含ssl的curl: 地址:http://www.confusedbycode.com/curl/
2,json数据注意两点:1)用3个引号替换1个引号(因为cmd为自动去掉引号) 2)项与数据之间不要有空格
格式:
curl -X POST https://enjoyasp.net -d {“”"api_key”"”:”"”4c38d5a2d564d52a1390d2e9fce88ea1″”",”"”data”"”:{“”"item”"”:[{"""text""":"""This is a new message""","""type""":0}]}} -H “Content-Type:application/json” -k

3,curl使用方法:http://www.ruanyifeng.com/blog/2011/09/curl.html

2014七月30

teamcity自动生成与部署 持续化集成

windows server 评论关闭
持续化集成比较:
TFS自身:大而全,不灵活
cc.net:已经陈旧
teamcity:灵活简单 + Psake,完善的邮件通知,更多工具集成
2014六月24

Powersheel批量替换指定目录下文件中的指定字符串

windows server 评论关闭

遇到一个需求,替换某目录下每个文件中指定的多个字符串,用powershell解决

$fileList = Get-ChildItem  'N:\ps\ClassLibrary\' -recurse *.cs | %{$_.FullName}
Foreach($file in $fileList)
{
    (Get-Content $file) |
	Foreach-Object {
		$_ -replace 'bdOrderinfo_save','Orderinfo_save'-replace bdOrderinfo_sel','Orderinfo_sel'

		}  |
	Out-File $file

}
2013十一月13

IOMeter测试磁盘性能

windows server 评论关闭
一,下载:IOMeter http://www.iometer.org/
 
二,关键指标
IOPS(I/Os per second):即每秒输入输出次数。指的是系统在单位时间内能处理的最大的I/O频度;一般,OLTP应用涉及更多的频繁读写,更多的考虑IOPS;IOPS测试结果与很多测试参数和存储系统具体配置有关。IOPS还可以细分为100%顺序读(Sequential Read)IOPS、100%顺序写IOPS、100%随机读IOPS、100%随机写IOPS等,在同等情况下这四种IOPS中100%顺序读的IOPS最高。 
 
吞吐量(throughput):指的是单位时间内最大的I/O流量;每秒处理IO的大小,一些大量的顺序文件访问,更多考虑throughput指标。
 
三,IOOMeter界面使用
1,Topology:设置worker数,一般越多测试性能越好,设置好一个worker好,可通过标题栏进行复制,worker数会有一个顶点,到了之后,再增加worker,性能也不会有多大提升。
2,Disk Targets: Maximun Disk Size,为0时填充硬盘所有空间,此时可测出最真实数据,若不想填充全部,也要越大越好,几十上百个G。注意后面是扇区,一个扇区是512字节。
3,# of Outstanding I/O of Outstanding I/Os per target – 被选中worker的每个磁盘一次所允许的未处理的异步I/O的数量。越多测出的数字越大(到了一定量也不再随着增多而增大),它是用来给磁盘送数据的,设置越高,传数据越多。若是1的话,传一个块过去就不传了。
(注意:如果操作完成的非常快,磁盘实际看到的队列深度可能更少,默认值是1)举个例子:假设选中了一个Manager,选中8个Disk,指定# of Outstanding I/O of =16,磁盘被分布到咯咯worker(每个worker分到2个disk),每个worker对其下的每一个disk生成最大16个未处理I/O,那么整个系统中该Manager每次将生成最多128个未处理I/O(4 worker * 2disk/worker * 16未处理I/O/disk)。
   模拟测试多个应用向IO请求读写,默认是1。通常不用这个参数,除非是用在NAS/SAN上面。此参数和”Test Setup”面板上的Cycling Options有关。 
 
3,Access Specifications:设置数据。硬盘的读性能要比写性能好,顺读比随机好
1)检测最大IOPS:文件尺寸为512B,100%读取操作,随机率为0%
2)检测最大吞吐量:文件尺寸为64KB,100%读取操作,随机率为0%
3)检测SqlServer最大IOPS:文件尺寸为8k,100%读取操作,随机率为100%
4)文件尺寸从0.5KB到64KB不等,80%读取操作,随机率为100%,用于模拟文件服务器的性能
5)文件尺寸从0.5KB到512KB不等,100%读取操作,随机率为100%,用于模拟Web服务器的性能
 
4,Result Of Display:
1)start of Test – 显示从测试开始后所收集的数据的平均值或总和,iometer在多种参数下跑过的平均值和
2)Last Update – 显示从上一个更新开始后所收集的统计信息,只看这一次的结果不和前次比较;
3)Update Frequency:刷新频率,2秒一次。
4)average i/o response time:平均延迟时间
 
四、测试结果:

随机读8K测试结果
机器 IOPS每秒
我的电脑 100
183硬盘 1000
192硬盘阵列 2000
183fushion卡 100000
五、相关资料:
Windows 7 and Vista will automatically align a partition to 4k 

http://www.myce.com/review/corsair-neutron-gtx-240gb-ssd-review-63881/iometer-test-results-5/

Windows 7 and Vista will automatically align a partition to 4k boundaries during partition creation, Windows XP won’t. It is imperative that an SSD’s partition is aligned. Windows XP is also restricted to sector boundaries, while Windows 7 will use 4k boundaries if it can. The Corsair Neutron GTX is 4k boundary aware, and will use these boundaries if possible. Of course it will also remap LBAs for compatibility with the sector boundaries so that the drive can be used with Windows XP.IOMeter allows us to set the sector boundaries for conducting the tests, and I have therefore set the sector boundaries at 4K, which means the IOMeter tests are valid for Windows 7 and Windows Vista users. XP users will not be able to obtain such results.
 
64K is the EQL RAIDset stripe size, to that works best.

http://community.spiceworks.com/topic/315228-iometer-fills-up-the-disk

 
Iometer用户手册

https://community.emc.com/docs/DOC-24952

 
Iometer使用说明

http://support.huawei.com/ecommunity/bbs/10141935.html

 
2013九月25

windows复制

windows server 评论关闭

Windows Vista、Windows 7以及Windows Server 2008提供了强大的复制功能,可以进行数据复制与同步

 
将指定目录下指定类型的文件按原有目录结构存放至新位置
robocopy G:\教程\书籍\Dropbox\goodasong M:\test *.txt  /s 

同步文件夹:每次只复制新更改的,让源与目录保持一致
ROBOCOPY E:\TeamCity\buildAgent\work\BatchFiles\BUBRM.Web  J:\robot /XO /MIR
/XO: 排除较旧的文件,已同步的文件不再同步
/MIR: 镜像目录树,让源与目录保持一致,如源删除了则目录也要删除。

在robocopy命令后加上"/save:任务名",可以将当前操作保存为任务文件,通过使用"/job:任务名"就可以方便的进行调用
 

/s:除了空文件夹以外的所有子目录
/e :全部目录 
/xf:指定不执行复制操作的文件类型
/max:10000000 可以选择文件大小上限,其单位为byte。如果是"/min",限定了文件大小的下限。两个参数可以同时使用,限制出所需复制的文件大小的范围。
/maxage:5 将D:Document下修改时间在5天内的文件
如:robocopy D:\Document H:\Project /maxage:5 /minage:1
 
robocopy D:\Document H:\Project /mir
表示清理目标文件夹内有而源文件夹里没有的文件和文件夹。通过这个命令,能保证源文件夹和目标文件夹在结构与内容上完全相同。
 
/move:移动文件
/create:拷贝一个多级目录的目录树,或者说只需要它的结构,而不需要它的内容
参数"/xa:h"表示将具有隐藏属性的排除出欲复制的范围,与之相对应的是参数"/ia",表示只复制包括指定属性的文件。
可用的属性有;R只读、A存档、S系统、H隐藏等。
2013一月31

映射持久网络驱动器

windows server 评论关闭
net use x: \\172.16.88.204\soft-0509 密码 /user:administrator /persistent:yes
2012十一月19

server服务启动不了 错误5:拒绝被访问

windows server 评论关闭

解决方法:
a. 运行MSCONFIG
b. 在常规下选择 选择性启动
c. 然后清除Process System.ini File, Process Win.ini File和Load Startup Items 的复选框,但是保留使用原始Boot.ini。
d. 在服务下,先点隐藏所有windows 服务,然后选择 disable all.
e. 然后重新启动。观察问题是否依旧发生。

2012十月17

远程连接保持不断开注销

windows server 评论关闭

 开始–>运行–>gpedit.msc
       计算机配置->管理模板->Windows组件->终端服务->会话
       把"为断开的会话设置时间限制"改为"未被配置"。

       如果通过上面的操作,还会出现远程桌面连接断开过段时间之后,运行的软件自动关闭的话,就再进行以下操作:
       开始–>运行–>tscc.msc
       连接–>RDP-Tcp右键属性–>会话
       把这里面的替代用户设置的设置都改为从不,并且把从不勾选。

       需要说明的是:前述工作做完后,本人的远程服务器还是问题依旧,接下来:

       取消开机按ctl+alt+del,这一点大家都会吧。

       开始–>所有程序–>管理工具–>本地安全策略–>本地策略–>安全选项:microsoft网络服务器:当登录时间用完后自动注销用户,改为“已禁用”。microsoft网络服务器:在挂起会话之前所需的空闲时间,改为99999,实际上是禁止了此策略。

       最后,如果可能,到服务器上用administrator登录一次。

       还有,最关键的一步:当您登录远程服务器后,在退出的过程中,不要直接点击远程桌面程序的那个“×”,也不能点注销了。而是在远程服务器的桌面上,点“开始--关机--断开”,这一点十分重要。

Windows Server2003默认情况下允许远程终端连接的数量是2个用户,我们可以根据需要适当增加远程连接同时在线的用户数。
   单击“开始→运行”,输入“gpedit.msc”打开组策略编辑器窗口,依次定位到“计算机配置(computerconfiguration)→管理模板(administrative templates)→Windows 组件(windowscomponents)→终端服务(terminal services)”,再双击右侧的“限制连接数量(limit number ofconnections)”,再双击打开配置窗口(limit number of connectionsproperties),选择enabled 将其TS maximum connections allowed

2012二月10

远程桌面连接时总是会自动按下win键

windows server 评论关闭

在远程登录Windows server 2003的时候,会遇到这样的情况:按下L键就等于按下win+L,结果远程服务器 的屏幕就锁定了;按下D就等于按下win+D就显示远程服务器桌机了;按下F键就自动调出搜索界面……

解决方法:
第一种方法:按住win键同时连按三次“alt”键,问题也许解决。

第二种方法:在“运行”中输入osk打开windows自带的软键盘,然后鼠标点击软键盘上的win键,关闭软键盘

2011八月13

winserver2003负载均衡架设

windows server 评论关闭

方案:双网卡+单播+VLAN
多播很多路由设备不运行,会配置不成功!

双网卡的好处:
双网卡单播时,因为主机之间不能互相通信,将设置内网通讯的网卡,也就是群集设置中的心跳。同时,为群集子网上的每个主机使用两个网络适配器有助于让网络通信通过群集主机。传入客户端通信流过集线器,以便将其同时传递给所有主机,而传出通信则直接流到交换机端口,故在某些情况下,第二个网络适配器可以提高总体网络性能。

建议将两台web服务器单独划出到一个Vlan里,这样可以限制NLB单播模式时的广播流量

负载均衡,NLB:Network Load Balancing。

是提供相同服务的一系列服务器同时监听服务请求,并允许在同一时间运行多个应用程序实例。NLB的核心是位于网络适配器驱动和网络层之间的 WLBS.SYS的筛选器驱动。NLB把每个IP数据包分发到所有群集节点,并根据数据包的源地址、目标地址、传输层协议、端口、群集的配置参数以及算法做出由某个节点处理而其他节点丢弃此数据包的统一决定。

单个群集的最大节点数为32,如果还不能满足需要,可以使用Round-Robin Domain Name Service把请求映射到多个群集上(但也因此引入了单点故障DNS,除非DNS冗余)。

windowsserver2003的负载均衡是在端口级进行操作,如端口选择80代表只针对web服务实现负载均衡

命令:nlbmgr nlbmgr /help

参考:http://support.microsoft.com/kb/323437/zh-cn

网络负载平衡常见问题

http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/nlbfaq.mspx

http://blog.csdn.net/coofucoo/article/details/5296632

操作步骤:
准备:两台服务器,双网卡,一网卡对外,另一对内,若在局域网中可通过一网络直线两服务器,形式内部网


在实现网络负载平衡的每一台计算机上,只能安装TCP/IP协议,不要安装任何其他的协议(如IPX协议或者NetBEUI协议),在网络属性中,”网络负载平衡”也不能被选择,这可以从”网络连接属性”中查看。

  ①先进入第一台计算机,以管理员身份登录,从”管理工具”中运行”网络负载平衡管理器”,用鼠标右键单击”网络负载平衡群集”,从出现的菜单中选择”新建群集”,进入”群集参数”界面

  在”IP地址”后面输入规划的群集参数地址202.206.197.195,在子网掩码处使用默认值,在”完整Internet名称”后面输入cluster.heinfo.edu.cn(也可以是其他的名称,但输入的DNS名称必须与输入的IP地址相符)。

  如果允许远程控制,请选中”允许远程控制”,并在”远程密码”和”确认密码”处输入可以进行远程控制的密码

 ②点击”下一步”按钮,进入群集IP地址页面后再进入”端口规则”界面,点击”下一步”按钮,进入”连接”

 ③在”连接”界面的”主机”栏中输入当前计算机的名称w2003-1,然后点击”连接”按钮,将在”对配置一个新的群集可用的接口”框中显示出连接的计算机的网卡及IP地址。选择与群集IP地址同一网段的地址(用于对外提供网络应用的网卡),然后点击”下一步”按钮,进入设置”主机参数”界面,点击”完成”按钮,系统将自动开始网络负载平衡群集的配置。几分钟后,网络负载平衡群集配置完成。

④ 然后,在第一台计算机上,用鼠标右键单击新创建的群集,从出现的菜单中选择”添加主机到群集”。将出现”连接”界面,在”主机”中输入第二台计算机的计算机名称,点击”连接”按钮,将会在”对配置群集可用的接口”下面显示出连接的计算机上的网络配置。选择202.206.197.191的网卡,进入主机参数界面,点击”完成”按钮,即可返回网络负载平衡管理器

 

注:1,加节点两种方式:1,在有群集的机上进行“添加主机到群集”。2,在待入群集的机上,进行链接操作。

  2,在网络负载平衡中的每个节点上,管理员账号的用户名和密码最好一致。

   3,信息保存,使用该工具进行管理是首选的方法。依次单击“开始/所有程序/管理工具/网络负载平衡管理器”,可以打开“网络负载平衡管理器”窗口。遗憾的是,用户所连接到的群集和主机的名称不能在会话之间保留,因此每次启动“网络负载平衡管理器”时,左窗格中的群集列表均为空。不过用户可以将列表保存到一个文本文件中,并在以后启动该工具时加载这个文本文件。在“网络负载平衡管理器”窗口中依次执行“文件/保存主机列表/加载主机列表”命令来实现

注:操作过程中一些参数解释:

虚拟出的群集IP与群集MAC地址对应关系:02-bf-虚拟IP16进制(单播),03-bf-虚拟IP16进制(多播),01 – 00 – 5E -7F -虚拟IP后两位16进制(IGMP多播)

1,群集操作模式:

1)单网卡单播 —两台服务器不能互访,单播模式是指各节点的网络适配器被重新指定了一个虚拟MAC,由于所有绑定群集的网络适配器的MAC都相同,所以在单网卡的情况下,各节点之间是不能通讯的。

2)多播模式下,网络适配器在保留原有的MAC地址不变的同时,还分配了一个各节点共享的多播MAC地址。

所以,即使单网卡的节点之间也可以正常通讯,不过在多播模式中,NLB节点发送的针对群集IP地址MAC地址ARP请求的

ARP回复会将群集IP地址映射到多播MAC地址,而许多路由器或交换机会拒绝这一行为,当出现这种情况时,必须在路由器和交换机上手动

添加静态映射,将群集IP地址映射到群集的多播MAC地址上。

3)IGMP多播(只有在选中多播时,才可以选择此项),

在继承多播的优点之外,NLB每隔60秒发送一次IGMP信息,使多播数据包只能发送到这个正确的交换机端口,避免了交换机数据洪水的产生。不过要求交换机支持IGMP侦听,并且要求群集工作在多播模式下。

如果启用 IGMP 支持,则允许的多址广播 IP 地址将被限制为标准的 D 类范围,即 224.0.0.0 到 239.255.255.255。

2,端口规则筛选模式:多个主机:多主机同时工作,单一主机:一个主机工作,此主机挂掉后,下一个主机才开始工作,可设置优先级。

1):多个主机:

a)无相似性: 平均分配,客户端的服务请求会平均分配到群集内的每一部服务器。假设NLB群集内有2部服务器。当接到客户端的请求时,NLB会将第1个请求交由第1部服务器来处理,第2个请求交由第2部服务器来处理,第3个请求交由第1部服务器来处理,…依此类推。因为所有客户端联机会平均分配到每一部服务器,因此可以达到最佳的负载平衡。如果需要执行交易处理,为了能够共享session状态,则必须将session状态集中储存在state( 用一台机存session即可,web.config改下)或database server中,这种方式适用于大部分的应用程序。

注:为了使网络负载平衡可以正确处理 IP 片段,当为协议设置选择“UDP”或“二者”时应避免使用“无”。

b)单一相似性:相同IP固定同一服务器,客户机的服务请求会固定分配到群集内的某一部服务器。当接到客户机的请求时,NLB会根据客户机 的IP来决定交由哪一部服务器来处理,也就是一部服务器只会处理来自某些IP的请求。因为一个IP的服务请求只会固定由一个服务器来处理,因此没有session状态共享的问题,但可能会导致负载不平衡。这种方式适用于联机需支持 SSL 集多重联机的通讯协议 ( 例如FTP与PPTP等)

网络(类C):相同网段固定同一服务器,根据IP的Class C屏蔽来决定交由哪一部服务器来处理,也就是一部服务器只会处理来自某些网段C的

c)请求。这种方式可确保使用多重 Proxy 的客户端能导向到相同的服务器。

注:在NLB建立完成后,在集雄属性的端口规则中即可设置每台机负载量。

2):.单一主机:若选择此选项,该端口范围内的所有请求都将由一台主机来进行处理,此选项将配合后面的主机优先级来进行主机判定。

注:禁用此端口范围:一般这个选项会在端口例外中进行设置,也就是说,当我们指定了一个比较大的范围端口时,其中有一个或几个端口我们不需要 客户端用户访问到,这时我们将利用这个规则来进行设定,防止用户访问此端口请求。

3,优先级(单一主机标识符),在端口规则选择为单一主机时有效,在一单主机模式下,所有通讯由一台机完成,只有当此机故障时,

才会转由下一个优先级高的接管。它的范围在1-32之间。

注:维护, 使用“nlb display”命令,可以显示网络负载平衡最近产生的事件日志记录

2011四月23

HTTP 错误

HTTP 错误 400
400 请求出错
由于语法格式有误,服务器无法理解此请求。不作修改,客户程序就无法重复此请求。
HTTP 错误 401
401.1 未授权:登录失败
此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。
请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。
401.2 未授权:服务器的配置导致登录失败
此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。此错误通常由未发送正确的 WWW 验证表头字段所致。
请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。
401.3 未授权:由于资源中的 ACL 而未授权
此错误表明客户所传输的证书没有对服务器中特定资源的访问权限。此资源可能是客户机中的地址行所列出的网页或文件,也可能是处理客户机中的地址行所列出的文件所需服务器上的其他文件。
请记录试图访问的完整地址,并与 Web 服务器的管理员联系以确认您是否具有访问所请求资源的权限。
401.4 未授权:授权服务被筛选程序拒绝
此错误表明 Web 服务器已经安装了筛选程序,用以验证连接到服务器的用户。此筛选程序拒绝连接到此服务器的真品证书的访问。
请记录试图访问的完整地址,并与 Web 服务器的管理员联系以确认您是否具有访问所请求资源的权限。
401.5 未授权:ISAPI/CGI 应用程序的授权失败
此错误表明试图使用的 Web服务器中的地址已经安装了 ISAPI 或 CGI程序,在继续之前用以验证用户的证书。此程序拒绝用来连接到服务器的真品证书的访问。
请记录试图访问的完整地址,并与 Web服务器的管理员联系以确认您是否具有访问所请求资源的权限
HTTP 错误 403
403.1 禁止:禁止执行访问
如果从并不允许执行程序的目录中执行 CGI、ISAPI或其他执行程序就可能引起此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.2 禁止:禁止读取访问
如果没有可用的默认网页或未启用此目录的目录浏览,或者试图显示驻留在只标记为执行或脚本权限的目录中的HTML 页时就会导致此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.3 禁止:禁止写访问
如果试图上载或修改不允许写访问的目录中的文件,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.4 禁止:需要 SSL
此错误表明试图访问的网页受安全套接字层(SSL)的保护。要查看,必须在试图访问的地址前输入https:// 以启用 SSL。
如果问题依然存在,请与 Web服务器的管理员联系。
403.5 禁止:需要 SSL 128
此错误消息表明您试图访问的资源受 128位的安全套接字层(SSL)保护。要查看此资源,需要有支持此SSL 层的浏览器。
请确认浏览器是否支持 128 位 SSL安全性。如果支持,就与 Web服务器的管理员联系,并报告问题。
403.6 禁止:拒绝 IP 地址
如果服务器含有不允许访问此站点的 IP地址列表,并且您正使用的 IP地址在此列表中,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.7 禁止:需要用户证书
当试图访问的资源要求浏览器具有服务器可识别的用户安全套接字层(SSL)证书时就会导致此问题。可用来验证您是否为此资源的合法用户。
请与 Web服务器的管理员联系以获取有效的用户证书。
403.8 禁止:禁止站点访问
如果 Web服务器不为请求提供服务,或您没有连接到此站点的权限时,就会导致此问题。
请与 Web 服务器的管理员联系。
403.9 禁止访问:所连接的用户太多
如果 Web太忙并且由于流量过大而无法处理您的请求时就会导致此问题。请稍后再次连接。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.10 禁止访问:配置无效
此时 Web 服务器的配置存在问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.11 禁止访问:密码已更改
在身份验证的过程中如果用户输入错误的密码,就会导致此错误。请刷新网页并重试。
如果问题依然存在,请与 Web服务器的管理员联系。
403.12 禁止访问:映射程序拒绝访问
拒绝用户证书试图访问此 Web 站点。
请与站点管理员联系以建立用户证书权限。如果必要,也可以更改用户证书并重试。
HTTP 错误 404
404 找不到
Web 服务器找不到您所请求的文件或脚本。请检查URL 以确保路径正确。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 405
405 不允许此方法
对于请求所标识的资源,不允许使用请求行中所指定的方法。请确保为所请求的资源设置了正确的 MIME 类型。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 406
406 不可接受
根据此请求中所发送的“接受”标题,此请求所标识的资源只能生成内容特征为“不可接受”的响应实体。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 407
407 需要代理身份验证
在可为此请求提供服务之前,您必须验证此代理服务器。请登录到代理服务器,然后重试。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 412
412 前提条件失败
在服务器上测试前提条件时,部分请求标题字段中所给定的前提条件估计为FALSE。客户机将前提条件放置在当前资源 metainformation(标题字段数据)中,以防止所请求的方法被误用到其他资源。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 414
414 Request-URI 太长
Request-URL太长,服务器拒绝服务此请求。仅在下列条件下才有可能发生此条件:
客户机错误地将 POST 请求转换为具有较长的查询信息的 GET 请求。
客户机遇到了重定向问题(例如,指向自身的后缀的重定向前缀)。
服务器正遭受试图利用某些服务器(将固定长度的缓冲区用于读取或执行 Request-URI)中的安全性漏洞的客户干扰。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 500
500 服务器的内部错误
Web 服务器不能执行此请求。请稍后重试此请求。
如果问题依然存在,请与 Web服务器的管理员联系。
HTTP 错误 501
501 未实现
Web 服务器不支持实现此请求所需的功能。请检查URL 中的错误,如果问题依然存在,请与 Web服务器的管理员联系。
HTTP 错误 502
502 网关出错
当用作网关或代理时,服务器将从试图实现此请求时所访问的upstream 服务器中接收无效的响应。
如果问题依然存在,请与 Web服务器的管理员联系。

2011二月17

Win2003 防木马、权限设置、IIS服务器安全配置整理

windows server 评论关闭

一、系统的安装  

1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
  开始菜单?>控制面板?>添加或删除程序?>添加/删除Windows组件
  应用程序 ???ASP.NET(可选)
       |??启用网络 COM+ 访问(必选)
       |??Internet 信息服务(IIS)???Internet 信息服务管理器(必选) 
                   |??公用文件(必选)
                   |??万维网服务???Active Server pages(必选)
                              |??Internet 数据连接器(可选)
                              |??WebDAV 发布(可选)
                              |??万维网服务(必选)
                              |??在服务器端的包含文件(可选)
  然后点击确定?>下一步安装。(具体见本文附件1)

3、系统补丁的更新
  点击开始菜单?>所有程序?>Windows Update
  按照提示进行补丁的安装。

4、备份系统
  用GHOST备份系统。

5、安装常用的软件
  例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里–”NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口
修改注册表.
开始–运行–regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.

二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
  系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
  Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录

2、本地安全策略设置
  开始菜单?>管理工具?>本地安全策略
  A、本地策略??>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  B、本地策略??>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

  C、本地策略??>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举  启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户

3、禁用不必要的服务 开始-运行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
  Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
  Distributed File System: 局域网管理共享文件,不需要可禁用
  Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
  Error reporting service:禁止发送错误报告
  Microsoft Serch:提供快速的单词搜索,不需要可禁用
  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
  PrintSpooler:如果没有打印机可禁用
  Remote Registry:禁止远程修改注册表
  Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0

3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0

4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0

5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

8. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer \Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

9. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路
?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll

然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

检测工具:检测工具

2010十二月2

FTP权限

windows server 评论关闭

任务管理器,查看FTP的运行账号如xlight为System,则FTP的权限由此运行账号赋予。
对于在FTP上开的账号权限,若运行账号system没有此权限,则FTP账号也运行不了

2010十二月2

服务器权限控制

windows server 评论关闭

1,C盘windows保留user权限,以使应用程序池的用户network service发挥作用,
删除除C盘外所有的用户权限只给于administrators、system、createowner用户的完全控制权限,
2,www目录分别给予账号权限,匿名访问用户属于Guest组

3,对于IIS网站来说,需要两个账号,一个是匿名访问权限访问页面这些,别一个是执行asp.net的权限即应用程序池标识,只要这两个账号开起来就可保证运行。
匿名账号负责静态页面、asp等
应用程序池标识负责aspx

2010十二月1

内置组与账号

windows server 评论关闭

http://hi.baidu.com/xinsikao/blog/item/ab37960aca60ba35b0351d1e.html

操作系统需要使用一些资源,这些资源是需要有权限的,它内定了一些组及账号来做这些事
组:
1,Administrators组:管理配置计算机
2,powerusers的权限仅次于administrators组的限制,这个组的成员可以管理共享资源,可以管理其他组的成员,该组的成员修改计算机的 大部分设置。但是不能管理administrtors组的成员,不能更改ip,不能格式化硬盘
3,Users 组 “Users” 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。用户不能修改系统注册表设置,操作系统文件或程序文件。
4,guest,guest账号同样 也是Windows 2000/XP系统内建的用户,和users(受限用户)组中的账号拥有同样的访问能力,但是受到的限制更多。
5,authenticated users:包括在计算机上或活动目录中的所有通过身份验证的账户。用该组代替everyone组可以防止匿名访问。

authenticated users + guest + 匿名账号 = evenyone

6,creator owner:包括创建资源的账户。
Interactive(交互)用户组:一般是直接登录到计算机进行操作的用户,比如通过远程桌面,终端进行连接

账号:
1,System权限是比Administrator权限还高的系统最高权限,负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的
2,Network Service ,专用于为应用程序提供访问网络的足够权限,IIS应用程序池的默认用户是内置的Network Service账号。Network Service账号对本地计算机和网络资源只拥有最小访问权限。

《注:NetworkService属于Users组,而应用程序池用的账号是NetWorkSerice,既:网站的权限既是User组的权限》
3,Local Service账号 内置的Local Service账号无法像Network Service账号那样访问网络资源,但是具有与Network Service账号类似的本地资源访问权限
4,Local System 账号是内置的系统账号,所有系统进程都在 Local System 的安全环境中运行,Local System 账号是用于启动服务的默认账号,它继承了服务控制管理器的安全环境,Local System 账号运行的进程不能访问网络资源,如网络共享。

2010十月16

电脑各软件、操作系统等出问题如蓝屏时的调试-Windbg

windows server 评论关闭

出现错误时,会将程序的执行状态转储到dmp文件中,可通过Windbg进行分析

  • 设置符号文件的地址: 在WinDbg 的菜单中: File–> Symbol File Path 中,设置 :SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols
  • 以打开 minidump文件进行分析了 .  File–> Open Crash Dump ,
  • 在WinDbg 下面的命令行运行: !analyze -v 将得到详细的信息