在远程登录Windows server 2003的时候,会遇到这样的情况:按下L键就等于按下win+L,结果远程服务器 的屏幕就锁定了;按下D就等于按下win+D就显示远程服务器桌机了;按下F键就自动调出搜索界面……
解决方法:
第一种方法:按住win键同时连按三次“alt”键,问题也许解决。
第二种方法:在“运行”中输入osk打开windows自带的软键盘,然后鼠标点击软键盘上的win键,关闭软键盘
方案:双网卡+单播+VLAN
多播很多路由设备不运行,会配置不成功!
双网卡的好处:
双网卡单播时,因为主机之间不能互相通信,将设置内网通讯的网卡,也就是群集设置中的心跳。同时,为群集子网上的每个主机使用两个网络适配器有助于让网络通信通过群集主机。传入客户端通信流过集线器,以便将其同时传递给所有主机,而传出通信则直接流到交换机端口,故在某些情况下,第二个网络适配器可以提高总体网络性能。
建议将两台web服务器单独划出到一个Vlan里,这样可以限制NLB单播模式时的广播流量
负载均衡,NLB:Network Load Balancing。
是提供相同服务的一系列服务器同时监听服务请求,并允许在同一时间运行多个应用程序实例。NLB的核心是位于网络适配器驱动和网络层之间的 WLBS.SYS的筛选器驱动。NLB把每个IP数据包分发到所有群集节点,并根据数据包的源地址、目标地址、传输层协议、端口、群集的配置参数以及算法做出由某个节点处理而其他节点丢弃此数据包的统一决定。
单个群集的最大节点数为32,如果还不能满足需要,可以使用Round-Robin Domain Name Service把请求映射到多个群集上(但也因此引入了单点故障DNS,除非DNS冗余)。
windowsserver2003的负载均衡是在端口级进行操作,如端口选择80代表只针对web服务实现负载均衡
命令:nlbmgr nlbmgr /help
参考:http://support.microsoft.com/kb/323437/zh-cn
网络负载平衡常见问题
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/nlbfaq.mspx
http://blog.csdn.net/coofucoo/article/details/5296632
操作步骤:
准备:两台服务器,双网卡,一网卡对外,另一对内,若在局域网中可通过一网络直线两服务器,形式内部网
在实现网络负载平衡的每一台计算机上,只能安装TCP/IP协议,不要安装任何其他的协议(如IPX协议或者NetBEUI协议),在网络属性中,”网络负载平衡”也不能被选择,这可以从”网络连接属性”中查看。
①先进入第一台计算机,以管理员身份登录,从”管理工具”中运行”网络负载平衡管理器”,用鼠标右键单击”网络负载平衡群集”,从出现的菜单中选择”新建群集”,进入”群集参数”界面
在”IP地址”后面输入规划的群集参数地址202.206.197.195,在子网掩码处使用默认值,在”完整Internet名称”后面输入cluster.heinfo.edu.cn(也可以是其他的名称,但输入的DNS名称必须与输入的IP地址相符)。
如果允许远程控制,请选中”允许远程控制”,并在”远程密码”和”确认密码”处输入可以进行远程控制的密码
②点击”下一步”按钮,进入群集IP地址页面后再进入”端口规则”界面,点击”下一步”按钮,进入”连接”
③在”连接”界面的”主机”栏中输入当前计算机的名称w2003-1,然后点击”连接”按钮,将在”对配置一个新的群集可用的接口”框中显示出连接的计算机的网卡及IP地址。选择与群集IP地址同一网段的地址(用于对外提供网络应用的网卡),然后点击”下一步”按钮,进入设置”主机参数”界面,点击”完成”按钮,系统将自动开始网络负载平衡群集的配置。几分钟后,网络负载平衡群集配置完成。
④ 然后,在第一台计算机上,用鼠标右键单击新创建的群集,从出现的菜单中选择”添加主机到群集”。将出现”连接”界面,在”主机”中输入第二台计算机的计算机名称,点击”连接”按钮,将会在”对配置群集可用的接口”下面显示出连接的计算机上的网络配置。选择202.206.197.191的网卡,进入主机参数界面,点击”完成”按钮,即可返回网络负载平衡管理器
注:1,加节点两种方式:1,在有群集的机上进行“添加主机到群集”。2,在待入群集的机上,进行链接操作。
2,在网络负载平衡中的每个节点上,管理员账号的用户名和密码最好一致。
3,信息保存,使用该工具进行管理是首选的方法。依次单击“开始/所有程序/管理工具/网络负载平衡管理器”,可以打开“网络负载平衡管理器”窗口。遗憾的是,用户所连接到的群集和主机的名称不能在会话之间保留,因此每次启动“网络负载平衡管理器”时,左窗格中的群集列表均为空。不过用户可以将列表保存到一个文本文件中,并在以后启动该工具时加载这个文本文件。在“网络负载平衡管理器”窗口中依次执行“文件/保存主机列表/加载主机列表”命令来实现
注:操作过程中一些参数解释:
虚拟出的群集IP与群集MAC地址对应关系:02-bf-虚拟IP16进制(单播),03-bf-虚拟IP16进制(多播),01 – 00 – 5E -7F -虚拟IP后两位16进制(IGMP多播)
1,群集操作模式:
1)单网卡单播 —两台服务器不能互访,单播模式是指各节点的网络适配器被重新指定了一个虚拟MAC,由于所有绑定群集的网络适配器的MAC都相同,所以在单网卡的情况下,各节点之间是不能通讯的。
2)多播模式下,网络适配器在保留原有的MAC地址不变的同时,还分配了一个各节点共享的多播MAC地址。
所以,即使单网卡的节点之间也可以正常通讯,不过在多播模式中,NLB节点发送的针对群集IP地址MAC地址ARP请求的
ARP回复会将群集IP地址映射到多播MAC地址,而许多路由器或交换机会拒绝这一行为,当出现这种情况时,必须在路由器和交换机上手动
添加静态映射,将群集IP地址映射到群集的多播MAC地址上。
3)IGMP多播(只有在选中多播时,才可以选择此项),
在继承多播的优点之外,NLB每隔60秒发送一次IGMP信息,使多播数据包只能发送到这个正确的交换机端口,避免了交换机数据洪水的产生。不过要求交换机支持IGMP侦听,并且要求群集工作在多播模式下。
如果启用 IGMP 支持,则允许的多址广播 IP 地址将被限制为标准的 D 类范围,即 224.0.0.0 到 239.255.255.255。
2,端口规则筛选模式:多个主机:多主机同时工作,单一主机:一个主机工作,此主机挂掉后,下一个主机才开始工作,可设置优先级。
1):多个主机:
a)无相似性: 平均分配,客户端的服务请求会平均分配到群集内的每一部服务器。假设NLB群集内有2部服务器。当接到客户端的请求时,NLB会将第1个请求交由第1部服务器来处理,第2个请求交由第2部服务器来处理,第3个请求交由第1部服务器来处理,…依此类推。因为所有客户端联机会平均分配到每一部服务器,因此可以达到最佳的负载平衡。如果需要执行交易处理,为了能够共享session状态,则必须将session状态集中储存在state( 用一台机存session即可,web.config改下)或database server中,这种方式适用于大部分的应用程序。
注:为了使网络负载平衡可以正确处理 IP 片段,当为协议设置选择“UDP”或“二者”时应避免使用“无”。
b)单一相似性:相同IP固定同一服务器,客户机的服务请求会固定分配到群集内的某一部服务器。当接到客户机的请求时,NLB会根据客户机 的IP来决定交由哪一部服务器来处理,也就是一部服务器只会处理来自某些IP的请求。因为一个IP的服务请求只会固定由一个服务器来处理,因此没有session状态共享的问题,但可能会导致负载不平衡。这种方式适用于联机需支持 SSL 集多重联机的通讯协议 ( 例如FTP与PPTP等)
网络(类C):相同网段固定同一服务器,根据IP的Class C屏蔽来决定交由哪一部服务器来处理,也就是一部服务器只会处理来自某些网段C的
c)请求。这种方式可确保使用多重 Proxy 的客户端能导向到相同的服务器。
注:在NLB建立完成后,在集雄属性的端口规则中即可设置每台机负载量。
2):.单一主机:若选择此选项,该端口范围内的所有请求都将由一台主机来进行处理,此选项将配合后面的主机优先级来进行主机判定。
注:禁用此端口范围:一般这个选项会在端口例外中进行设置,也就是说,当我们指定了一个比较大的范围端口时,其中有一个或几个端口我们不需要 客户端用户访问到,这时我们将利用这个规则来进行设定,防止用户访问此端口请求。
3,优先级(单一主机标识符),在端口规则选择为单一主机时有效,在一单主机模式下,所有通讯由一台机完成,只有当此机故障时,
才会转由下一个优先级高的接管。它的范围在1-32之间。
注:维护, 使用“nlb display”命令,可以显示网络负载平衡最近产生的事件日志记录
IIS网站文件夹权限配置
1,文件夹读权限:开通IIS匿名访问账号、应用程序池对应账号的读权限,(一般为NET WORK SERVICE.)
2, 对于需要写入的文文件夹,如文件上传,开通程序池对应账号的写权限,上传目录的IIS执行权限设为“无”
3,其它权限不开。
注:若不开IIS匿名访问账号的读权限,会报401权限错误。
若不开程序池对应账号的读权限 会报Server Application Unavailable错误。
若对于写文件夹,不开程序池对应账号的写权限,将不能写入。
注:
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,用webdav的客户端(IE)可以打开ASP文件,就直接看到源代码并且修改。
IIS网站配置:如网站所在目录、用了FrameWork哪个版本等信息。
一、IIS的备份
1.在本地计算机上的 IIS 管理单元中,右键单击 Internet 信息服务下面的计算机图标。
2.选择“所有任务\备份/还原配置”选项。
3.点击“创建备份”按钮,在配置备份名称下输入你为备份起的名字
4.将“使用密码加密备份”勾选上(如果在做备份的时候,没有将“使用密码加密备份”勾选上,那么在重新安装系统后或者在另外一台计算机上还原时会提示”无效的签名”)
.输入密码,备份完成。
注:备份后的备份文件在C:\WINDOWS\system32\inetsrv\MetaBack\ (X代表你安装系统的盘符)。
二、还原到其他服务器上:
将备份文件.sc0和.md0 copy到系统C:\WINDOWS\system32\inetsrv\MetaBack\目录下,右键单击 Internet 信息服务下面的计算机图标,执行还原操作。
gofreeserve.com
2000 MB的主机空间,20个附加域名,在PHP中的sendmail,自动安装脚本,GZIP压缩,的MX管理,CNAME管理,80 GB的每月带宽,20个二级域名,网站建设者,文件管理器和基本的编辑器,票务支持系统,网络工具,MySQL查询分析器慢,库,20托管域名,。htaccess的,安全模式,视频教程,自定义错误页,99.9%的服务正常运行时间,PHP的MyAdmin,免费域名,GD库,的FTP,24 / 7技术支持,帐户统计,PHP版本 5.2.13
000webhost ? 1500M支持PHP可绑米免费虚拟主机
免费提供1500M空间,100G流量,FTP、Web方式上传管理文件,支持PHP5,提供2个MySQL数据库, cPanel管理面板,可一键安装WordPress、phpBB2、Drupal、Joomla等几种热门PHP程序,免费提供1个二级域名,可以绑定自己的域名,速度不错,无广告。
Zymic ? 6G容量可绑米免费PHP空间
Zymic免费空间,6G容量,每月50G流量限制,FTP、Web方式上传管理文件,支持PHP5,限制较多,有3个MySQL数据库,提供免费二级域名1个,可绑定无限个自己的域名,无广告。
SiteMix ? 日本1.5G可绑米免费PHP空间
SiteMix是一家日本免费空间服务网站, 1.5G存储空间,支持PHP,提供免费二级域名1个或绑定1个你自己的域名(仅支持顶级域名,二级域名不可以,可支持CN域名),FTP、Web方式上传管理文件,提供最新版WordPress免费博客(由于支持FTP、Web方式上传管理文件,你可以自己传插件和风格进行修改设置,非常方便!但原有文件无法修改。)中国国内速度飞快。
UcoZ ? 支持FTP且可绑米300M
Ucoz的免费自助建站系统功能非常强大,对中文支持也很好,但生成的网页却是英文,好在支持FTP、Web上传管理文件,你可以自己上传中文网页或其它文件,可以支持外链。UcoZ提供免费二级域名1个,还可以绑定你自己的域名。Ucoz不支持PHP、ASP等程序脚本,但免费提供了论坛、留言板、博客、网络相册、投票系统等常用程序,你可以自己选择安装。
Six6 ? 6G容量cPanel面板免费PHP空间
Six6免费空间,6G容量,无限月流量,简体中文版cPanel主机管理面板,支持FTP、Web方式上传管理文件,支持PHP5,不提供MySQL数据库。Six6免费PHP空间提供免费二级域名1个,可绑定1个域名(仅能在申请的时候绑定),无广告。
FreeWebHostingArea ? 1.5G容量可绑米免费PHP空间
FreeWebHostingArea免费PHP空间,500M存储空间,单个文件限10M以内,不限上传文件类型,每天5G流量限制,FTP、Web方式上传管理文件,支持PHP5、MySQL5、SSI,可自定义404、403错误,提供免费二级域名1个,或者绑定1个你自己的域名,无广告。一键安装WordPress、PhpBB等程序。FreeWebHostingArea免费空间旗下有多个网站,域名不一样、IP地址不一样,其它都一样,根据你的需要来选择。
Freehostia ? 250M可绑米免费PHP空间
Freehostia免费PHP空间,250M容量,每月6G流量限制,CPU使用不超过1.3%,FTP、Web方式上传管理文件,支持PHP、CGI,1个MySQL数据库(10M存储空间),提供免费二级域名,并可最多绑定5个自己的域名建立5个不同的网站,还提供3个支持POP3、IMAP的免费邮箱,Freehostia具有功能强大的简体中文管理面板,速度不错,无广告。
0fees提供300M国外高速免费php空间申请
ByetHost 和0fees系出同门的免费空间(000webhost),值得推荐。
0fees是美国的免费空间,速度不错,提供300M空间,每月10G流量限制,ftp、web方式上传管理文件,支持PHP5,提供3个MySQL数据库,无限个支持POP3的电子邮箱,可以添加6个二级域名,绑定6个域名,可建6个不同网站,VistaPanel管理面板。可一键安装WordPress、phpBB、PHPWind、Xoops、Drupal等30余种最新PHP程序。
ByetHost ? 250M可绑米国外免费PHP站
ByetHost提供250M空间,每月6G流量,ftp、web方式上传管理文件,支持PHP5,提供3个MySQL数据库,无限个支持POP3的电子邮箱,可以添加6个二级域名,绑定6个域名,可建6个不同网站,VistaPanel管理面板。可一键安装WordPress、phpBB、PHPWind、Xoops、Drupal等30余种最新PHP程序。
MegaByet免费1.6G可绑米国外空间
Megabyet免费PHP空间,cPanel面板,1600M容量,无流量限制,FTP、Web方式上传管理文件,支持PHP、CGI,3个MySQL数据库,2个FTP帐户,提供免费二级域名,并可最多绑定6个自己的域名建立6个不同的网站,还提供支持POP3、IMAP的免费邮箱,速度很好,无广告,推荐使用。
20x美国5G免费空间
20x.cc,5 GB空间、200 GB流量、可绑定50个域名、50个免费MySQL数据库、1电子邮件帐户、赠送免费CO.CC二级域名(自己可解析子域名)、可绑定自己的域名、中文Vistapanel控制面板、无强制广告、没有发帖限制、没有宣传限制、永久免费的PHP空间。
HTTP 错误 400
400 请求出错
由于语法格式有误,服务器无法理解此请求。不作修改,客户程序就无法重复此请求。
HTTP 错误 401
401.1 未授权:登录失败
此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。
请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。
401.2 未授权:服务器的配置导致登录失败
此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。此错误通常由未发送正确的 WWW 验证表头字段所致。
请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。
401.3 未授权:由于资源中的 ACL 而未授权
此错误表明客户所传输的证书没有对服务器中特定资源的访问权限。此资源可能是客户机中的地址行所列出的网页或文件,也可能是处理客户机中的地址行所列出的文件所需服务器上的其他文件。
请记录试图访问的完整地址,并与 Web 服务器的管理员联系以确认您是否具有访问所请求资源的权限。
401.4 未授权:授权服务被筛选程序拒绝
此错误表明 Web 服务器已经安装了筛选程序,用以验证连接到服务器的用户。此筛选程序拒绝连接到此服务器的真品证书的访问。
请记录试图访问的完整地址,并与 Web 服务器的管理员联系以确认您是否具有访问所请求资源的权限。
401.5 未授权:ISAPI/CGI 应用程序的授权失败
此错误表明试图使用的 Web服务器中的地址已经安装了 ISAPI 或 CGI程序,在继续之前用以验证用户的证书。此程序拒绝用来连接到服务器的真品证书的访问。
请记录试图访问的完整地址,并与 Web服务器的管理员联系以确认您是否具有访问所请求资源的权限
HTTP 错误 403
403.1 禁止:禁止执行访问
如果从并不允许执行程序的目录中执行 CGI、ISAPI或其他执行程序就可能引起此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.2 禁止:禁止读取访问
如果没有可用的默认网页或未启用此目录的目录浏览,或者试图显示驻留在只标记为执行或脚本权限的目录中的HTML 页时就会导致此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.3 禁止:禁止写访问
如果试图上载或修改不允许写访问的目录中的文件,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.4 禁止:需要 SSL
此错误表明试图访问的网页受安全套接字层(SSL)的保护。要查看,必须在试图访问的地址前输入https:// 以启用 SSL。
如果问题依然存在,请与 Web服务器的管理员联系。
403.5 禁止:需要 SSL 128
此错误消息表明您试图访问的资源受 128位的安全套接字层(SSL)保护。要查看此资源,需要有支持此SSL 层的浏览器。
请确认浏览器是否支持 128 位 SSL安全性。如果支持,就与 Web服务器的管理员联系,并报告问题。
403.6 禁止:拒绝 IP 地址
如果服务器含有不允许访问此站点的 IP地址列表,并且您正使用的 IP地址在此列表中,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.7 禁止:需要用户证书
当试图访问的资源要求浏览器具有服务器可识别的用户安全套接字层(SSL)证书时就会导致此问题。可用来验证您是否为此资源的合法用户。
请与 Web服务器的管理员联系以获取有效的用户证书。
403.8 禁止:禁止站点访问
如果 Web服务器不为请求提供服务,或您没有连接到此站点的权限时,就会导致此问题。
请与 Web 服务器的管理员联系。
403.9 禁止访问:所连接的用户太多
如果 Web太忙并且由于流量过大而无法处理您的请求时就会导致此问题。请稍后再次连接。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.10 禁止访问:配置无效
此时 Web 服务器的配置存在问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.11 禁止访问:密码已更改
在身份验证的过程中如果用户输入错误的密码,就会导致此错误。请刷新网页并重试。
如果问题依然存在,请与 Web服务器的管理员联系。
403.12 禁止访问:映射程序拒绝访问
拒绝用户证书试图访问此 Web 站点。
请与站点管理员联系以建立用户证书权限。如果必要,也可以更改用户证书并重试。
HTTP 错误 404
404 找不到
Web 服务器找不到您所请求的文件或脚本。请检查URL 以确保路径正确。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 405
405 不允许此方法
对于请求所标识的资源,不允许使用请求行中所指定的方法。请确保为所请求的资源设置了正确的 MIME 类型。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 406
406 不可接受
根据此请求中所发送的“接受”标题,此请求所标识的资源只能生成内容特征为“不可接受”的响应实体。
如果问题依然存在,请与服务器的管理员联系。
HTTP 错误 407
407 需要代理身份验证
在可为此请求提供服务之前,您必须验证此代理服务器。请登录到代理服务器,然后重试。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 412
412 前提条件失败
在服务器上测试前提条件时,部分请求标题字段中所给定的前提条件估计为FALSE。客户机将前提条件放置在当前资源 metainformation(标题字段数据)中,以防止所请求的方法被误用到其他资源。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 414
414 Request-URI 太长
Request-URL太长,服务器拒绝服务此请求。仅在下列条件下才有可能发生此条件:
客户机错误地将 POST 请求转换为具有较长的查询信息的 GET 请求。
客户机遇到了重定向问题(例如,指向自身的后缀的重定向前缀)。
服务器正遭受试图利用某些服务器(将固定长度的缓冲区用于读取或执行 Request-URI)中的安全性漏洞的客户干扰。
如果问题依然存在,请与 Web 服务器的管理员联系。
HTTP 错误 500
500 服务器的内部错误
Web 服务器不能执行此请求。请稍后重试此请求。
如果问题依然存在,请与 Web服务器的管理员联系。
HTTP 错误 501
501 未实现
Web 服务器不支持实现此请求所需的功能。请检查URL 中的错误,如果问题依然存在,请与 Web服务器的管理员联系。
HTTP 错误 502
502 网关出错
当用作网关或代理时,服务器将从试图实现此请求时所访问的upstream 服务器中接收无效的响应。
如果问题依然存在,请与 Web服务器的管理员联系。
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
开始菜单?>控制面板?>添加或删除程序?>添加/删除Windows组件
应用程序 ???ASP.NET(可选)
|??启用网络 COM+ 访问(必选)
|??Internet 信息服务(IIS)???Internet 信息服务管理器(必选)
|??公用文件(必选)
|??万维网服务???Active Server pages(必选)
|??Internet 数据连接器(可选)
|??WebDAV 发布(可选)
|??万维网服务(必选)
|??在服务器端的包含文件(可选)
然后点击确定?>下一步安装。(具体见本文附件1)
3、系统补丁的更新
点击开始菜单?>所有程序?>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统。
5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里–“NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口
修改注册表.
开始–运行–regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录
2、本地安全策略设置
开始菜单?>管理工具?>本地安全策略
A、本地策略??>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略??>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
C、本地策略??>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务 开始-运行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
8. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer \Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
9. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。
6、IIS权限设置的思路
?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
检测工具:检测工具
网站访问速度由:WEB服务器、网站程序及数据库、服务器带宽及性能决定。
1,WEB服务器设置:
gzip压缩
1) 打开Internet信息服务(IIS)管理器,右击”网站”->”属性”,选择”服务”。在”HTTP压缩”框中选中”压缩应用程序文件”和”压缩静态文件”,按需要设置”临时目录”和”临时目录的最大限制”;
2) 在Internet信息服务(IIS)管理器,右击”Web服务扩展”->”增加一个新的Web服务扩展…”,在”新建Web服务扩展”框中输 入扩展名”HTTP Compression”,添加”要求的文件”为C:\WINDOWS\system32\inetsrv\gzip.dll,其中Windows系统目 录根据安装可能有所不同,选中”设置扩展状态为允许”;
3) 使用文本编辑器打开C:\Windows\System32\inetsrv\MetaBase.xml(建议先备份),找到Location =”/LM/W3SVC/Filters/Compression/gzip用于设置gzip压缩,Location =”/LM/W3SVC/Filters/Compression/deflate”用于设置deflate压缩.设置的属性相同.在HcFileExtensions中增加您需要压缩的静态文件后缀名,如xml、css等; HcDynamicCompressionLevel和HcOnDemandCompLevel表示需要的压缩率,数字越小压缩率越低,这两个属性值一般推荐设置为9, 具有最佳性价比.
4) 编辑完毕后保存MetaBase.xml文件;如果文件无法保存,则可能IIS正在使用该文件。打开”开始”->”管理工具”->”服务”,停止”IIS Admin Service”后,即可保存;
5) 最后,重新启动IIS。可以到http://www.port80software.com/tools/compresscheck.asp?url=nxgao.com验证结果。
gzip说明:
HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或 CSS文件。压缩的最大好处就是降低了网络传输的数据量,从而提高客户端浏览器的访问速度。当然,同时也会增加一点点服务器的负担。Gzip是比较常见的一种HTTP压缩算法。
HTTP压缩工作原理
Web服务器处理HTTP压缩的工作原理如下:
1.Web服务器接收到浏览器的HTTP请求后,检查浏览器是否支持HTTP压缩;
在用户浏览器发送请求的HTTP头中, 带有”Accept-Encoding: gzip, deflate”参数则表明支持gzip和deflate两种压缩算法.
2.如果浏览器支持HTTP压缩,Web服务器检查请求文件的后缀名;
静态文件和动态文件后缀启动要所都需要在MetaBase.xml中设置.
静态文件需要设置: HcFileExtensions Metabase Property (单击跳转到MSDN说明)
动态文件需要设置: HcScriptFileExtensions Metabase Property (单击跳转到MSDN说明)
3.如果请求文件是HTML、CSS等静态文件并且文件后缀启用了压缩,则Web服务器到压缩缓冲目录中检查是否已经存在请求文件的最新压缩文件;
4.如果请求文件的压缩文件不存在,Web服务器向浏览器返回未压缩的请求文件,并在压缩缓冲目录中存放请求文件的压缩文件;
5.如果请求文件的最新压缩文件已经存在,则直接返回请求文件的压缩文件;
6.如果请求文件是ASPX等动态文件并且文件后缀启用了压缩,Web服务器动态压缩内容并返回浏览器,压缩内容不存放到压缩缓存目录中。
2,网站程序及数据库:
1)文件压缩,js,css等。
2)代码调优
3)数据库sql优化
3,服务器带宽及性能
任务管理器,查看FTP的运行账号如xlight为System,则FTP的权限由此运行账号赋予。
对于在FTP上开的账号权限,若运行账号system没有此权限,则FTP账号也运行不了
1,C盘windows保留user权限,以使应用程序池的用户network service发挥作用,
删除除C盘外所有的用户权限只给于administrators、system、createowner用户的完全控制权限,
2,www目录分别给予账号权限,匿名访问用户属于Guest组
3,对于IIS网站来说,需要两个账号,一个是匿名访问权限访问页面这些,别一个是执行asp.net的权限即应用程序池标识,只要这两个账号开起来就可保证运行。
匿名账号负责静态页面、asp等
应用程序池标识负责aspx
http://hi.baidu.com/xinsikao/blog/item/ab37960aca60ba35b0351d1e.html
操作系统需要使用一些资源,这些资源是需要有权限的,它内定了一些组及账号来做这些事
组:
1,Administrators组:管理配置计算机
2,powerusers的权限仅次于administrators组的限制,这个组的成员可以管理共享资源,可以管理其他组的成员,该组的成员修改计算机的 大部分设置。但是不能管理administrtors组的成员,不能更改ip,不能格式化硬盘
3,Users 组 “Users” 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。用户不能修改系统注册表设置,操作系统文件或程序文件。
4,guest,guest账号同样 也是Windows 2000/XP系统内建的用户,和users(受限用户)组中的账号拥有同样的访问能力,但是受到的限制更多。
5,authenticated users:包括在计算机上或活动目录中的所有通过身份验证的账户。用该组代替everyone组可以防止匿名访问。
authenticated users + guest + 匿名账号 = evenyone
6,creator owner:包括创建资源的账户。
Interactive(交互)用户组:一般是直接登录到计算机进行操作的用户,比如通过远程桌面,终端进行连接
账号:
1,System权限是比Administrator权限还高的系统最高权限,负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的
2,Network Service ,专用于为应用程序提供访问网络的足够权限,IIS应用程序池的默认用户是内置的Network Service账号。Network Service账号对本地计算机和网络资源只拥有最小访问权限。
《注:NetworkService属于Users组,而应用程序池用的账号是NetWorkSerice,既:网站的权限既是User组的权限》
3,Local Service账号 内置的Local Service账号无法像Network Service账号那样访问网络资源,但是具有与Network Service账号类似的本地资源访问权限
4,Local System 账号是内置的系统账号,所有系统进程都在 Local System 的安全环境中运行,Local System 账号是用于启动服务的默认账号,它继承了服务控制管理器的安全环境,Local System 账号运行的进程不能访问网络资源,如网络共享。
解析步骤:
1,得到中文域名的转码
2,将其添加到IIS的主机头即可。
注:1)因为操作系统的核心都是英文组成,DNS服务器的解析也是由英文代码交换,所以DNS服务器上并不支持直接的中文域名解析,所有中文域名的解析都需要转成punycode码,然后由DNS解析punycode码
2)目前,IE6.0以下不支持,以IE7.0、IE8.0、Firefox, Opera, Google Chrome, Safari等为代表的全球主流浏览器,已经实现对以“.CN”、“.中国”、“.公司”、“.网络”为结尾的中文域名的直接支持。
出现错误时,会将程序的执行状态转储到dmp文件中,可通过Windbg进行分析
perfmon:
1,开始运行:perfmon ,Ctrl+E:新增计数器集,右键增加计数器
2,计数器 性能对象:
Process:%Processor Time 如果该参数值持续超过95%,表明瓶颈是CPU。可以考虑增加一个处理器或换一个更快的处理器。
1,分区注意:
(1)一个挂载点? 为”/” ,自动分配boot,home等,挂载点 格式为ext3
(2)一个挂载点为”swap” 大小为内存的2倍
只要这两个挂载点即可,格式为swap
2, 若先装xp,之后安装的linux,在分区时注意的是不要将xp格掉或丢失其它盘的信息,一般下, hd1为c盘,hd5为d盘待,格式为fat或nfts
不要在关键盘上安装linux,要先空出一个盘来装linux
3, 装完linux后中,又装xp,会将linux的引导程序覆盖掉,造成开机直接进入xp,不能进入linux,解决方法:
(1)从光盘启动,在安装初始画面输入:linux rescue 进行修复区
(2)选择语言,网络等一直进入命令行,输入:
???????? chroot /mnt/sysimage
???????? grub -install /dev/hax? (可先用fdisk -l 确定linux在哪个盘上,从而确定x)
(3)之后若进入grub grub>? 输入:find /boot/grub/grub.conf 或find /boot/grub/menu.lst? 确定(hd0,1)
???? root (hd0,1)? (要有空格)
???? setup (hd0)?
???? quit 退出
???? reboot 重启
4,设置开机等待时间及显示开机画面的内容
/etc/grub.conf???????????? timeout = 10
5,linux下安装windows下软件:虚拟环境??WINE
1,bdf :查看磁盘容量使用情况。 clear: 清屏?? w :分组显示用户。
2,pwd:显示当前所在上当。
3,ls:显示目录信息。
ls -a: 显示所有文件,如隐藏文件
ll:显示目录权限。 等同于 ls -l
4,cd:回到用户目录
5,rmdir:删除空目录
6,chmod:更改文件/目录存取权限
7,chgrp:更改用户组别
8,mv:移动文件或重命名文件??? (当文件同是文件或同是目录时)
9,cp:复制???? cp-i: 覆盖前询问 cp -r dir1 dri2 拷目录
10,rm:删除文件??? rm -f :强制删除
rm -r:删除目录包括子目录
rm -i:删除前询问
11,mkdir:建立系统目录
12,ps:查看进程
13,who:查看谁在线上??? who -u??????? whoami:查看当前用户身份
14,pg:以页为单位查看文件内容 pg ..|more 一行一行显示
15,grep “zxs” /etc/user
16,r:重复上一次命令
17,ln -s /u1/huapin???????? hp:创建快捷方式
18,history:最近n条记录
19,alias v= “vi? ato4d.4gl”??? unalias v 取消别名
20,通配符:? 一个 * 任意多个? []指定的一个
ls a[123] a1,a2,a3??? ls a[1-9] a1,a2,….a9
21,ls |more 分屏显示
22,排序:sort -d (字典顺序)
23,./ 当前目录? ../? 父目录下?? /? 根目录
24,mkdir -m 755 4gl???????? chmod 755 a.txt????????? r:4,w:2,e:1
25,cd:回到用户目录? cd / 回到根目录 cd – 回到上次打开目录?????? cd ~用户名??? (home下用户目录)
26,/bin (binary) 常用命令???????? /boot? 启动程序?????? /dev 设备???????? /etc 配置文件
/sbin (system binary 系统管理程序)??? /home 用户集中地??? /lib 库文件
/mnt 挂临时文件,移动设备? /proc 系统信息?????? /root? 超级用户目录??? /tmp 临时文件??? /usr 存用户应用程序的文件
27,rpm -ivh ……??? i 使用rpm安装模式 v 显示安装过程??? h 进度以#显示
rpm -* 卸载
tar cvf? … 压缩?? c 创建 v 显示信息 f 必不可少
tar xvf …? 解压
28,ls;fd?? 连续执行多条命令,用分号隔开
29,查命令所在? whereis cp
30,who, w, whoami
31,. 重复上次操作
32,find /u1/asong -name “a*” -print? 搜索
33,bath编写??
(1) 文件以#!/bin/sh开头
(2) 编写unix命令
(3) chmod 777 myshell
(4)? 运行: ./myshell
34,设置文件所有者
chown -R hp[:tpic] .wine
35,设置文件权限
chmod -R 777 .wine
1, vi filename 编辑或建立档案
2,vi +18 filename 开启文本到第18行
3,enter 向下一行
backspace 向左移一个字元
spacebar 向右移动一个字元
4,ctrl + F 向前滚动一个屏幕
ctrl + D 向前滚动半个屏幕
ctrl + B 向后滚动一个屏幕
ctrl + U 向后滚动半个屏幕
ctrl + E 向下一行
ctrl + Y 向上一行
5,a 在游标右方插入字元
A 在行尾游标右方插入字元
i 在游标左方插入字元
I 在行首游标左方插入字元
o 在游标下方插入一行
O 在游标上方插入一行
x 删除字元
X 向前删除字元
dd 删除行 大:5,10d删除第5-10行
G 最后一行 21G 到第21行
/string 搜索字符串 ?string 向上 N:上一个 n:下一个
r: 以另一字元代替游标所在字元
R 连续修正字元,会一直处于输入模式
q! exit 但不save w:save wq: 保存退出
nyy 复制n行
u 撤消上次输入
D 删除自游标起到行尾的字元
d^ 删除自游标起到行首的字元
dw 删除一个单词
ndd: 删除自当前光标所在行以下的n行
s 删除游标所在之字元,并由命令模式进入输入模式
S 删除游标所在列,并由命令模式进行输入模式
h 左 l 右 j 下 k 上
J 删除下一行所有空格并提升一行。
ipconfig /flushdns
?1,本机:
runas /user:administrator a.exe
2,局域网:
runas /user:companydomain\domainadmin “mmc %windir%\system32\compmgmt.msc”
或
runas /user:user@domain.microsoft.com “notepad my_file.txt”
当提示时,键入帐户密码。
?原因:对就的目标没有赋给IIS访问权限。