Windows服务器管理和维护.ppt

服务器管理和维护,2011年11月,服务器管理和维护,一、服务器维护操作规范 二、服务器上线前的准备工作 三、磁盘管理 四、性能监视 五、IIS的管理及维护 六、备份和还原,一、服务器维护操作规范,服务器维护要求,维护应满足的条件 重装服务器的要求 服务器上禁止的操作 安全检查要求,维护应满足的条件,禁止空口令、弱口令、未打补丁的服务器接入网络 服务器口令只能由有权限访问的人员掌握 禁止在网吧等公共环境登录服务器,重装服务器的要求,重装服务器的情况 关机超过6周 关机期间发布了重大漏洞的补丁 服务器感染木马、病毒、蠕虫 服务器被入侵,服务器上禁止的操作,不允许安装程序开发环境或开发调试程序 不允许使用IE浏览外部网站 不允许收发EMAIL 不允许在服务器上玩游戏,安全检查要求,新装服务器必须符合安全规范的要求 必须经过安全部的安全检查 业务应用程序应在通过检查后安装,口令使用规范,保证口令的强度 口令长度不小于12位 口令应包含大小写字母、数字、特殊字符 不能使用容易记忆的密码 不能使用姓名、电话、生日等作为密码 一般口令应三个月更改一次 服务器发生入侵事件后，采用相同口令的服务器组应立即更改口令 员工离职或服务器归属发生变化，应及时更改密码,系统的授权,长期授权：长期对服务器有操作权限 短期授权：临时分配的权限 授权方式：提供帐号和口令 不允许对非本公司人员进行长期授权 短期授权不超过三周 服务器负责人应有短期授权的记录,网络访问控制,使用iptables 、IPSEC等手段 遵循最小特权原则 采用“不被允许的就是被禁止的”网络访问控制策略,服务器维护十大铁律,口令必须大于12位，符合规定的复杂度要求 不同服务器不能重复使用同一口令 口令至少三个月更改一次 必须启用IPSEC/iptables，不得停用 符合条件的必须安装winchk和Octopod等系统 补丁发布后，必须在规定时间重启服务器 不能在服务器上收发邮件、使用IE浏览无关的网站 新的应用安装前要通知安全部进行漏洞跟踪 新开设对外服务和后台管理不得使用同一端口 系统上线前，必须确保备份策略有效并正常执行,二、服务器上线前的准备工作,服务器上线前的准备工作,根据项目需求对服务器硬盘进行分区 分区方式 各分区大小 将附件(web2003sec.exe)上传至服务器D盘根目录下 执行web2003sec.exe，路径设置为D盘根目录 执行解压目录中的sec.bat，待半自动操作完毕后，再执行全手动操作，最后删除d:web2003sec目录 将服务器提交给网络安全部进行安全检查,SEC.bat操作流程说明,修改d:web2003sec2003ipcIpSecurity.ini TCP 23=NONE 5631=00;8;8;0/ UDP 5632=00;8;8;0/ 69=NONE Important：应用Ipsecurity前必须仔细检查配置是否正确,Ipsecurity案例,某个阳光明媚的午后，项目组联系johnny ，要求增加WEB服务器访问数据库服务器0的1433端口的权限。Johnny打开数据库服务器上的ipsecurity.ini文件，看到1433端口已经配置了允许部分服务器的访问权限，修改ipsecurity对johnny来说已经驾轻就熟，他立即对文件做了修改，修改后的部分内容如下： TCP 1433=,3,1 应用该策略后，本来正常的2个网站都无法打开 问题出在哪儿呢？,SEC.bat操作流程说明,应用Ipsec策略 开启添加/删除WINDOWS组件控制面板 提示是否下载Serv-U 安装包 自动用记事本打开Serv-U 许可证文本文件 提示是否安装winchk安全工具包 自动弹出SQL Server客户端网络实用配置选项 自动创建IIS日志记录文件夹 自动创建WEB默认站点文件夹 自动创建Serv-U日志记录文件夹 自动创建和拷贝IPSEC工具包 自动创建和拷贝数据备份工具包 自动创建和拷贝IIS站点备份上传工具包,自动删除匿名终端用户 提示是否安装WINRAR 3.5程序包 自动导入关闭共享设置注册表 自动导入本地安全设置注册表 自动安装OCTOPOD客户端程序 自动开启服务器本地安全策略控制面板 自动删除系统默认共享设置 自动关闭非必用系统服务 自动删除前期操作工具包,全手动操作流程说明,设置网卡属性，设置DNS 调整自动更新，数据执行保护（DEP），关闭远程桌面 确认Pcanywhere设置是否正确 设置IIS日志记录路径 设置IIS映射 启用IIS父路径 OCTOPOD中新增服务器 OCTOPOD探测 时间同步，安装GINA，开启远程日志收集，修改管理员帐号名，修改管理员密码，安装远程桌面(I,II,III期)，安装Netsnmp 服务器重启 服务器补丁检查 提交给网络安全部安全检查,服务器前期操作视频,SEC.bat操作流程说明,cd d:web2003sec2003ipc 进入d:web2003sec2003ipc子目录 d:web2003sec2003ipcipsecurity.exe 运行ipsec配置程序，根据ipsecurity.ini的配置自动生成ipsec策略 cd 返回上一级目录，当前目录为d:web2003sec rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,2 运行 添加/删除组件 explorer ftp:/down:down8/ServUSetup1.exe 下载Serv-U notepad d:web2003seckey.txt 打开Serv-U注册码文件,SEC.bat操作流程说明,wrar350sc.exe 安装WinRAR regedit /s stopshare.reg 导入关闭共享的注册表文件 regedit /s anquan.reg 导入安全策略的注册表文件 sshdnew.exe 安装OCTOPOD copy .chelue.inf %SystemRoot%securitytemplates!chelue.inf 复制本地安全策略模板 %SystemRoot%system32secpol.msc /s 打开 本地安全策略,SEC.bat操作流程说明,net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete net share g$ /delete net share admin$ /delete net share out /delete 删除默认共享 net stop dnscache net stop RemoteRegistry net stop Spooler net stop messenger net stop LmHosts net stop WinHttpAutoProxySvc net stop Dhcp net stop ipfiltermon net stop seclogon 停止不必要的服务,SEC.bat操作流程说明,rmdir /s %systemroot%system32inetsrviisadmpwd /q rmdir /s %systemroot%system32inetsrviisadmin /q rmdir /s c:inetpub /q 删除默认IIS目录 del d:WEB2003sec.exe /q rmdir /s d:/WEB2003sec /q rmdir /s d:/WEB2003sec /q 删除前期安装包,三、 磁盘管理,基本磁盘和动态磁盘,基本磁盘（Basic Disk）是经常使用的磁盘类型，在默认安装情况下，系统就使用基本磁盘。基本磁盘通过分区（Partition）管理磁盘空间，分区可以包含主分区和扩展分区，而在扩展分区中又可以划分出一个或多个逻辑分区，通过这样的方式组织磁盘资源，而物理硬盘上没有划分为分区的空间是不能使用的。 动态磁盘是在Windows 2000 中开始引入的一种磁盘管理方式，利用动态磁盘可以实现很多基本磁盘不能或不容易实现的功能。在动态磁盘上，不使用分区划分容量，而是使用卷（Volume）来描述动态磁盘上的每一个空间划分。与分区的作用相同，卷也要赋予一个盘符，并且也要经过格式化之后才能使用,磁盘分区方式,主分区 扩展分区 逻辑驱动器（逻辑分区）,磁盘分区方式,一个硬盘可以有一个主分区，一个扩展分区，也可以只有一个主分区没有扩展分区。逻辑分区可以若干。 硬盘的容量主分区的容量扩展分区的容量 扩展分区的容量各个逻辑驱动器（逻辑分区）的容量之和 逻辑分区只能从扩展分区上操作,磁盘阵列卷,磁盘阵列卷：RAID(Redudant Array of Indepandent Disks,独立磁盘冗余阵列) 是为防止硬盘故障而导致数据丢失,采用一组廉价磁盘构成一个独立的存储设备使用.RAID保护数据的主要方法就是数据冗余存储,将数据同时保存到多个硬盘上,提高数据的可用性.RAID技术分成多种等级,每种针对不同的应用需求.实现形式有采用硬件完成，将RAID集成在服务器上,也可由软件实现。磁盘阵列从RAID0RAID6共分成7种基本级别。 比较常用的为RAID0 RAID1 RAID1+0 RAID5,动态磁盘卷的五种类型,简单卷 Simple Volume 跨区卷 Spanned Volume 镜像卷 Mirrored Volume 带区卷 Striped Volume 带奇偶校验的带区卷 RAID-5 Volume,简单卷,简单卷是物理磁盘的一部分，但它工作时就好像是物理上的一个独立单元。简单卷是相当于 Windows NT 4.0 及更早版本中的主分区的动态存储。当您只有一个动态磁盘时，简单卷是您可以创建的唯一卷。通过将卷扩展到相同或不同磁盘上的未分配空间上可以增加现有简单卷的大小。,跨区卷,可以将来自多个硬盘（最少2个，最多32个）中的空间置于一个跨区卷中，用户在使用的时候感觉不到是在使用多个硬盘。但向跨区卷中写入数据必须先将同一跨区卷中的第一个硬盘中的空间写满，才能再向同一个跨区卷中的下一个磁盘空间中写入数据，每块硬盘用来组成跨区卷的空间不必相同，图4-2 为跨区卷示意图。,带区卷,可以将来自多个硬盘（最少2个，最多32个）中的相同空间组合成一个卷。向带区卷中写入数据时，数据按照64KB分成一块，这些大小为64KB的数据块被分散存放于组成带区卷的各个硬盘空间中。该卷具有很高的文件读写效率，但不支持容错功能。若某个成员发生故障，则整个带区卷的数据会丢失。带区卷中的成员，要求其容量必须相同，并且来自不同的物理硬盘。带区卷示意图如图4-3 所示。,镜像卷,是将同一份数据做两个相同的拷贝，并且每一份拷贝存放在不同的硬盘中。当向其中一个卷作修改（写入或删除）时，另一个卷也完成相同的操作。当一个硬盘出故障时，仍可从另一个硬盘中读取数据，因而有很好的容错能力。镜像卷可读性能好，但是磁盘利用率很低（50%）。图4-4所示为镜像卷示意图。,RAID-5卷,RAID-5是一种容错卷，并且数据和奇偶校验值在三个或更多的物理磁盘上呈间歇的带区分布如果物理磁盘的某一部分出现故障，则可在其余的数据和奇偶检验值基础上重新创建出现故障的那部分数据在大多数活动由读数据组成的计算机环境中，RAID-5卷是解决数据冗余的一个很好的方案。,卷与分区的主要区别,更改磁盘容量方式不同 卷：在不重新启动计算机的情况下可更改磁盘容量大小，而且不会丢失数据。 分区：一旦创建，就无法更改容量大小，除非借助于特殊的磁盘工具软件，如PQMagic等 磁盘空间的限制大小不同 卷：可被扩展到磁盘中包括不连续的磁盘空间，还可以创建跨磁盘的卷集，将几个磁盘合为一个大卷集 分区：必须是同一磁盘上的连续的空间才可分为一个区，分区最大的容量也就是磁盘的容量,卷与分区的主要区别,卷或分区个数不同 卷：在一个磁盘上可创建的卷集个数没有限制 分区：一个磁盘上只能分最多四个区 磁盘配置信息存放位置不同 卷：磁盘配置信息是存放在磁盘上的，如果是RAID容错系统会被复制到其他动态磁盘上，可以移动到其他计算机上继续使用 分区：如果使用硬件RAID系统，相关信息保存在RAID卡中，RAID磁盘移动到其他计算机上会丢失信息,从基本磁盘转换为动态磁盘,安装好Windows 2003之后，可以将基本磁盘转换到动态磁盘。根据原有磁盘上的分区类型，在转换到动态磁盘的时候，会转化为不同的动态磁盘卷，同时磁盘上的数据不会丢失。,四、Windows性能监视,使用事件查看器维护系统日志 使用“任务管理器”监视系统资源 使用“性能监视器”监视系统性能 使用警报 优化性能,日志是进行系统分析的重要手段 维护日志 系统日志、应用日志、安全日志 应用访问日志 Web日志、Email日志、FTP日志等 服务器要有详细的记录维护情况的日志 与维护有关的日志要保存3个月以上 定期查看日志，发异常要及时报告,使用事件查看器维护系统日志,使用事件查看器维护系统日志,通过条件筛选关注特定的日志内容,使用事件查看器维护系统日志,使用事件查看器维护系统日志,监视程序 监视进程 监视性能,使用“任务管理器”监视系统资源,在“系统监视器”中，对象是计算机系统的主要组件或子系统 实例是相同类型的多个对象 计数器： 从对象的不同方面收集数据 在对象上不停地收集数据 跟踪所有实例的统计数据 可以在“系统监视器”中指定显示哪些计数器,使用“系统监视器”监视应用性能,优化性能,性能优化过程 检查内存性能 检查处理器性能 检查磁盘性能 检查网络性能,标识不可接受的性能区域,采取纠正操作,分析监视数据,性能优化过程,建立基线来标识趋势 使用计数器检查内存 监视每秒的页面数目 监视 Available Bytes 检查分页文件 频繁分页表明了内存不足 检查分页文件大小 使用计数器监视分页文件大小,检查内存性能,使用计数器检查处理器性能 检查工作站的使用值 使用值高表明系统正在有效处理较重的工作负荷 收集更多的数据 检查服务器的使用值 使用值较高服务器将无法承受 使用值较高说明产生了瓶颈,检查处理器性能,监视 PhysicalDisk 和 LogicalDisk 对象 使用计数器检查磁盘性能： 报告逻辑卷标上未分配磁盘空间占总可用空间的百分比 度量 I/O 操作 表明数据移动的速度 表明按字节传输数据的速度 表明每秒完成的读写次数,检查磁盘性能,检查网络性能,使用性能监视器： 使用性能监视器能够监视服务器上网络对象的性能 使用计数器检查成员服务器的网络活动，包括输出数据包队列的长度和溢出 使用网络监视器： 使用网络监视器可以监视网络数据流 使用 “网络监视器”驱动程序和“网络监视器”工具,五、 IIS的管理及维护,S安装的注意事项,尽可能不安装不需要IIS组件，能较大程度的保证IIS的安全 一个基本的web站点，通常只需要3个组件就能正常工作 删除原有的默认站点 手工删除如下目录： C:inetpub C:WINNTsystem32inetsrviisadmin C:WINNTsystem32inetsrviisadmpwd,网站属性,在【网站】标签中，可以对网站的一般属性进行设置 网站标识 IP 地址 TCP 端口 SSL 端口 高级,网站属性,2、连接 无限 限制到 连接超时 启用保持 HTTP 激活 3、启用日志记录 D:LogFiles,性能属性,在性能标签中，可以对网络总带宽和Web服务连接的总数进行限制，这样会有利于网络连接和Web服务器性能的稳定。为了限制带宽，IIS将安装数据包计划程序。默认的最大带宽为1024K，连接数为1000个。,主目录属性,主目录的位置可以有三种来源：计算机上的目录、另一计算机上的共享位置、重定向到 URL。对于前两种来说，其设置基本相同，都要进行权限和应用程序的设置。 1、本地路径 脚本资源访问 读取 写入 目录浏览 记录访问 索引资源,应用程序设置,无 纯脚本 脚本和可执行程序 【应用程序设置 】中的【应用程序配置】有三种设置：映射、选项、调试。,文档属性,1、启用默认文档 所谓默认文档就是当 浏览器请求不包括页 面名称时显示的文档， 当浏览Web站点时会 自动连接到主页上。 用户可以选择启用或 不启用。 2、启用文档页脚,重定向到 URL,当选中【重定向到 URL】后，在其中输入URL地址即可。另外，用户还可选择将客户端重定向到输入URL地址还是该地址下的目录，并可以选择是否对该站点资源进行永久重定向。,目录安全性属性,目录安全性属性中包括【身份验证和访问控制】、【IP地址及域名限制】、【安全通信】三个属性页。,身份验证和访问方法,启用匿名访问 集成Windows身份验证 摘要式身份验证 基本身份验证 .NET Passport身份验证 IP地址及域名限制 安全通信,IIS的安全配置,删除默认目录（C:inetpub、C:WINNTsystem32inetsrviisadmin、C:WINNTsystem32inetsrviisadmpwd） 删除默认站点 删除危险的IIS组件 删除不必要的应用程序映射 （保留.as