服务器管理手册.doc

四川.西域工作室（一）、服务器虚拟化与维护技术现在谈论服务器虚拟化，而未来将关注桌面和应用虚拟化。受服务器虚拟化技术在创建更紧凑、高度灵活和高性价比的服务器基础设施的应用激发，该技术正炙手可热。例如，Forrester Research的调查结果显示，1200位全球企业回答者中的75%的人知道服务器虚拟化技术，26%的人部署了这项技术，另外8%的人将在明年试验这项技术。此外，60%部署这项技术的回答者计划扩展这项技术应用的事实也很能说明问题。随着公司开始熟悉这项技术，它带来的好处开始显现。所有这些活动将导致最终的新一代数据中心架构一个建立在虚拟化基础设施上的架构。但是，Foundation Capital风险投资合伙人、曾经的VMware ESX Server产品经理Ashmeet Sidana说，目前只有5%左右的企业服务器实现了虚拟化，而达到虚拟化技术成为通用架构和事实上的部署机制的程度仍需要多年时间。然而，不要一叶障目。服务器虚拟化并不是市场上唯一的虚拟化选择。他说，在今后几年里，我们肯定会在新一代数据中心中看到一些令人惊叹的虚拟化部署应用虚拟化例如，应该关注将在桌面虚拟化领域出现的神奇技术。Sidana说：“现在有很多新兴厂商考虑如何将虚拟化技术应用于满足管理、部署、可用性、备份和修补需求。”Sidana并不承认，或者至少没有公开承认已经找到了一家值得Foundation Capital投资的公司。相反，他提到很多属于“虚拟化桌面基础设施联盟”的公司作出的虚拟化开发努力。该联盟是4月份推出的由VMware领导的组织。目前，该组织成员包括Altiris、Appstream、Ardence、Check Point、Citrix、Fujitsu、Fujitsu-Siemens、Hitachi、HP、IBM、Leostream、NEC、Platform、Softricity、Sun和Wyse等公司。VMware表示，联盟的目标是使IT管理员在数据中心托管和集中管理桌面虚拟机，同时从用户所在的位置为用户提供全面的桌面体验。无疑，新一代数据中心其他领域的虚拟化同服务器虚拟化所证明的一样大有希望。以应用虚拟化为例。由于它使应用程序独立于主机操作系统并相互独立，这项技术将为企业桌面环境带来多种好处。研究公司Summit Strategies（最近被Ovum所收购）客户解决方案实践主管Warren Wilson说，同服务器虚拟化一样，应用虚拟化的一个重要好处是更低的总拥有成本。Wilson可以滔滔不绝地说出应用虚拟化的很多其他好处，如更好的系统稳定性、更少的崩溃、更长的正常运行时间。他说，所有这些好处将带来更高的工作人员生产力和更少、负担更轻的服务台运营。Wilson补充说，你现在甚至就可以走上应用虚拟化之路。来自ZeoSoft的技术将一台手持PDA变为可以与其他PDA互动的移动服务器，以对等方式为它们提供容器化应用程序（containerized applications）。他说：“这正是虚拟化技术向新领域的扩展。”从何处入手：那么，你应当从何处开始呢？你可以通过分析那些推销应用虚拟化软件的厂商入手。这些厂商包括IBM（通过2005年收购Meiosys）、Softricity（今年年初被微软所收购）和新兴厂商Trigence。每一家厂商都有自己的特点，但共同的思路是应用隔离，即虚拟化是使桌面基础设施更加灵活的关键元素。除了熟悉应用虚拟化之外，应当更多地从用户界面而非应用程序本身来了解传统的桌面软件厂商（如Altiris和Citrix）是如何对待虚拟化技术的，以及其他厂商如何在操作系统层上处理虚拟化技术的。提供后一类虚拟化技术的两家厂商是Sun公司（提供Solaris Containers）和新兴厂商SWsoft（提供Virtuozzo软件）。要善于在新公司向你推销他们的虚拟化技术时倾听他们说些什么你也许会在其中发现某些猎物。这些虚拟化技术中没有一种必须是相互排斥的。 虚拟服务器领域竞争厂商 VMware: 虚拟化市场的开拓者，迄今为止仍然是该市场的领头羊。从2001年开始进入服务器虚拟化市场，主要产品有GSX Server和ESX Server。在2006年6月，VMware公司发布了VMware Infrastructure 3，该产品集成了完备的虚拟化、管理、资源优化、操作自动化等各项服务器虚拟化功能组件。 微软：目前产品为Virtual Server 2005，免费提供给用户。计划在20072008年提供一款新的hypervisor，该产品将能够实现在单个物理服务器上运行多个操作系统。在该款产品发布的同时，也会发布一款新的虚拟化管理工具。 Novell：作为Linux发行商之一，在其SuSE Enterprise Linux 10之中集成了Xen的开源虚拟化技术。 Parallels：桌面虚拟化厂商。该公司计划在今年的第四季度进行其服务器虚拟化产品的beta测试。 Red Hat：计划在其Red Hat Enterprise Linux 5中增加对Xen的支持。 Sun：Sun公司的Solaris 10中集成的Container允许在一个单独的Solaris操作系统上运行多个独立的应用。并且在今年的年末，Sun会对Solaris 10进行更新，以便提供对Xen的支持。 SWsoft：该公司的Virtuozzo软件在操作系统之上进行虚拟化，因此可以在安装了单个操作系统的服务器之上运行多个独立的应用，有点类似于Sun的Container。 Virtual Iron：Xen是该虚拟化公司的基础技术，它允许客户构建虚拟资源池，并且根据应用需要进行调度。 XenSource：Xen开发项目的领导厂商，提供XenEnterprise。该产品是Xen的企业版，提供一系列的支持服务。 （二）、服务器的维护管理一、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。 4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)二、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 开始-所有程序-管理工具-服务 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Messenger:信使服务(windows2000) Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉) TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选属性-TCP端口添加你想要开的端口. 默认开启的端口列表： FTP:20.21 mail:25.110 Web:80 pcanywhere:5631 远程桌面：3389 (3389不要关闭，否则将无法远程连接)三、系统安全管理1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。3. 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe这些文件都设置只允许administrators.system访问.guests禁止访问四、打开相应的审核策略开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.推荐的要审核的项目是： 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 （三）、服务器硬件故障实例硬件故障是指服务器硬件出现异常而导致的各类错误。由于服务器构成比较复杂，因此在检查的时候必须认真、仔细。下面以一台LH6000为例说明。有一台HP LH6000，配有256M内存，使用一个PIII XEON 700带2M高速缓存的处理器。开机后没有任何显示，但系统日志上提示了一条CPU电压为0伏的信息，系统指示灯三灯不停在闪烁（指示灯三灯闪烁是服务器的另一种报警方式，我会在文后说明）。这种错误一般是处理器电压调节模块（VRM）出错或CPU出错或CPU与CPU板块接触不良，但也可能是CPU板块出错，这时情况就比较复杂了，必须经过认真慎重的思考。因为CPU板块在整个服务器中，占有举足轻重的地位，如果它出错服务器是会报致命错误的，并且在系统日志中会提示致命错误，但报CPU电压错的情况也有5%左右。我们立刻把CPU调换在另一CPU插槽中，开机后依然是刚才的那种故障。所以在初步判断中，可以排除是CPU板块坏。这时，取出CPU仔细擦拭金手指，以及CPU板块中与CPU接触的地方后，开机依然无显示。相对处理器坏的情况来说处理器电压模块（VRM）出现故障的情况比较大。于是立即在另一台LH 6000中取下一个处理器电压模块，安装在此服务器中。开机后，服务器依然没有任何显示，系统日志上依然提示CPU电压为0伏的信息，系统指示灯三灯依然不停在闪烁。这时的情况就比较明显了。于是立即从另一台LH6000中取下一个CPU安装后，开机正常。在服务器的维修中，线索都会显得扑朔迷离，一般来说不可能一次就可以准确地判断出问题的所在。这样就要求相关人员要有信心及耐心。出现错误一般的流程是通过系统日志上的信息来解决，如果没有解决问题再找出其它因素，然后再看日志信息。总之，服务器出错后，必须一步一步解决，没有捷径可言。又如：有一台HP LH 4开机不显示，发现开机时系统日志没有任何信息，且系统指示灯不亮。初步判断是电源方面出现了错误。经过仔细检查，发现服务器的电源是正常的，因此最大的可能就是服务器的电源管理板出现故障。更换电源管理板后，开机显示正常。但这时，新的问题来了：自检时，用CTRL+M不能检测到硬盘。硬盘在别的服务器上是正常的，因此立即清除此服务器的CMOS，但依然不正常。我立刻上网找到此服务器的最新BIOS，升级BIOS后也不能解决问题。又检查硬盘笼子和服务器里的数据线及电源线后依然出错。这时，一般情况会怀疑是服务器的I/O板（输入输出板块）有问题。但就在这个时候，我发现在I/O板上有一个非HP的旧式网卡，立即去除此网卡后服务器就一切正常。硬件故障并不单单指硬件有问题，它也指硬件之间不兼容。因为服务器的正常运作需要各部件之间的大力协调。建议大家在采购各元件时，都采用同一品牌原装的，并且要采用能发挥服务器性能的元件（上例中的旧式网卡即使正常也会严重影响服务器性能），这样才不会发生莫明其妙的故障。我曾遇到过一种情况：用户需要把他的HP LH6000升级到双网卡，我建议他购买原装网卡，但当他看到HP LH6000的网卡是采用的INTEL 82559芯片后，断然决定不使用原装网卡而采用另一品牌也采用INTEL 82559的网卡。过了几天，他打电话给我说，他的新网卡不能使用网络冗余及数据校验，并怀疑服务器有问题。我带了一个HP网卡到用户那里，仔细检查了服务器的环境完全正常后，把HP网卡安装到机器上后一切正常。这个例子更加说明了，要发挥服务器的最大性能及功能，必须使用原品牌原装的配件。非原品牌非原装的配件，不能支持服务器的某些功能，严重的会影响到服务器的正常使用。一般来说中、高端的服务器报警系统都比较完善，除了系统日志外，还有指示灯。以HP LH6000来说，指示灯的绿色灯常亮表示服务器正常；绿灯亮而黄色闪烁表示服务器有故障，但不是致命的；如果三灯闪烁（绿、黄、红三灯）就表示服务器有致命故障，服务器停止运行。相比较而言，指示灯只能提示比较笼统的故障，而系统日志就比较完全。在维修中，必须仔细察看这两种报警系统的信息。有一点必须注意的是系统日志是一个存储器，容量有限（LH 6000能存200条信息）。当容量不够时必须清空，否则服务器将报警，一般是服务器指示灯报非致命错误，但却不能再存任何信息。要避免硬件故障发生频率，服务器管理人员必须注意服务器的使用环境完全正常。比较重要的服务器必须在恒温、恒湿的环境；电压也要符合，不仅要采用UPS，还必须接地线，必须是左零线、右火线，零地电压在13伏。在开、关服务器上必须符合正常的流程。工作人员必须严格执行操作流程。一般情况来说，服务器管理人员对于硬件故障只要有丰富的经验都能很快找出故障所在，如果不能解决就必须迅速与服务器的售后服务中心联系。（四）服务器维护与内网安全策略几乎所有企业对于网络安全的重视程度一下子提高了，纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而，Intranet内部的攻击和入侵却依然猖狂。事实证明，公司内部的不安全因素远比外部的危害更恐怖。大多企业重视提高企业网的边界安全，暂且不提它们在这方面的投资多少，但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施，如：安装动辄数万甚至数十万的网络防火墙、入侵检测软件等，并希望以此实现内网与Internet的安全隔离，然而，情况并非如此！企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在，极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等严重后果。实践证明，很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略，同时也是一个提高大型企业网络安全的策略。1、 注意内网安全与网络边界安全的不同内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范（如边界防火墙系统等）减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。2、 限制VPN的访问虚拟专用网（VPN）用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。3、 为合作企业网建立内网型的边界防护合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。4、 自动跟踪的安全策略智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。5、 关掉无用的网络服务器大型企业网可能同时支持四到五个服务器传送email，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序（或程序中的逻辑单元）作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议6、 首先保护重要资源若一个内网上连了千万台（例如30000台）机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器（例如实时跟踪客户的服务器）并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。7、 建立可靠的无线访问审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。8、 建立安全过客访问对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。9、 创建虚拟边界防护主机是被攻击的主要对象。与其努力使所有主机不遭攻击（这是不可能的），还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。10、 可靠的安全决策网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺，例如不知道RADIUS和TACACS之间的不同，或不知道代理网关和分组过滤防火墙之间的不同等等，但是他们作为公司的合作者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。另外，在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。（五）IIS6服务器中的故障分析在用IIS6架网站的时候遇到不少问题，而这些问题有些在过去的IIS5里面就遇到过，有些是新出来的，俺忙活了一下午，做了很多次试验，结合以前的排错经验，做出了这个总结：问题1：未启用父路径症状举例：Server.MapPath() 错误 ASP 0175 : 80004005 不允许的 Path 字符 /0709/dqyllhsub/news/OpenDatabase.asp，行 4 在 MapPath 的 Path 参数中不允许字符。原因分析：许多Web页面里要用到诸如./格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。解决方法：在IIS中 属性-主目录-配置-选项中。把”启用父路径“前面打上勾。确认刷新。 问题2：ASP的Web扩展配置不当（同样适用于ASP.NET、CGI）症状举例：HTTP 错误 404 - 文件或目录未找到。原因分析：在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。解决方法：在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”。问题3：身份认证配置不当症状举例：HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。原因分析：IIS 支持以下几种 Web 身份验证方法：匿名身份验证：IIS 创建 IUSR_计算机名称 帐户（其中 计算机名称 是正在运行 IIS 的服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。基本身份验证 ：使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证，用户必须输入凭据，而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。Windows 集成身份验证：Windows 集成身份验证比基本身份验证安全，而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成的 Windows 身份验证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果尝试失败，就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证，则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机，则他在访问此域中的网络计算机时不必再次进行身份验证。摘要身份验证 ：摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成 Windows 身份验证使用的机制），其中的密码是以加密形式发送的。.NET Passport 身份验证 ：Microsoft .NET Passport 是一项用户身份验证服务，它允许单一签入安全性，可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全。启用了 .NET Passport 的站点会依靠 .NET Passport 中央服务器来对用户进行身份验证。但是，该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点。解决方法：根据需要配置不同的身份认证（一般为匿名身份认证，这是大多数站点使用的认证方法）。认证选项在IIS的属性-安全性-身份验证和访问控制下配置。问题4：IP限制配置不当症状举例：HTTP 错误 403.6 - 禁止访问：客户端的 IP 地址被拒绝。原因分析：IIS提供了IP限制的机制，你可以通过配置来限制某些IP不能访问站点，或者限制仅仅只有某些IP可以访问站点，而如果客户端在被你阻止的IP范围内，或者不在你允许的范围内，则会出现错误提示。解决方法：进入IIS的属性-安全性-IP地址和域名限制。如果要限制某些IP地址的访问，需要选择授权访问，点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。问题5：IUSR账号被禁用症状举例：HTTP 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。原因分析：由于用户匿名访问使用的账号是IUSR_机器名，因此如果此账号被禁用，将造成用户无法访问。解决办法：控制面板-管理工具-计算机管理-本地用户和组，将IUSR_机器名账号启用。问题6：NTFS权限设置不当症状举例：HTTP 错误 401.3 - 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。原因分析：Web客户端的用户隶属于user组，因此，如果该文件的NTFS权限不足（例如没有读权限），则会导致页面无法访问。解决办法：进入该文件夹的安全选项卡，配置user的权限，至少要给读权限。关于NTFS权限设置这里不再馈述。问题7：IWAM账号不同步症状举例：HTTP 500 - 内部服务器错误原因分析：IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用，账号密码被三方分别保存，并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效，导致IWAM账号所用密码不统一。解决办法：如果存在AD，选择开始-程序-管理工具-Active Directory用户和计算机。为IWAM账号设置密码。运行c:InetpubAdminScriptsadsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码运行cscript c:inetpubadminscriptssynciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码问题8：MIME设置问题导致某些类型文件无法下载（以ISO为例）症状举例：HTTP 错误 404 - 文件或目录未找到。原因分析：IIS6.0取消了对某些MIME类型的支持，例如ISO，致使客户端下载出错。解决方法：在IIS中 属性-HTTP头-MIME类型-新建。在随后的对话框中，扩展名填入.ISO，MIME类型是application。另外，防火墙阻止，ODBC配置错误，Web服务器性能限制，线程限制等因素也是造成IIS服务器无法访问的可能原因，这里就不再一一馈述了。希望此帖能解决大家的大部分问题Windows Server 2000 2003 DNS服务器区域类型Windows 2000的DNS服务器中有两种类型的搜索区域：“正向搜索区域”和“反向搜索区域”。其中“正向搜索区域”用来处理正向解析，即把主机名解析为IP地址；而“反向搜索区域”用来处理反向解析，即把IP地址解析为主机名。无论是“正向搜索区域”还是“反向搜索区域”都有三种区域类型，分别为：“标准主要区域”、“标准辅助区域”和