Windows 2000 终端服务器建议配置步骤.doc

Windows 2000 终端服务器建议配置步骤如何配置一个高效、安全的终端服务器，是系统管理员的一件大事，Windows 2000服务器可以作为一个独立的终端服务器，应用于中小规模的环境，作为域控制器在较大规模地环境下应用，服务器本身作为一个域控制器，或者作为某个域下的一个成员服务器，对于这两种不同的应用规模，对服务器的规划、配置将采用不同的方法。作为终端服务器，在中小型规模的应用，比较常见的是作为一个独立服务器。这里就对于中小规模的应用，给予一些服务器的配置建议。 以下作为一个步骤的方式，对服务器进行规划和配置，按照这个步骤，你将可以得到一个配置相对合理的，使用比较安全的服务器了。一、 服务器的选择： 处理器、内存和总线结构：Win2000终端服务器需要PII或更高级的处理器，Win2000终端服务器本身需要70M至100MB的内存空间，每增加一个终端用户一般需要增加12MB至30MB的内存空间，这要根据用户所运行的软件大小、软件数量及所用数据量的大小决定。用户数与内存和CPU数基本上是线性的关系。终端数对服务器CPU、内存和网络带宽要求(windows应用)终端服务器处理器的个数与用户数用户数处理器0-20Single 800 MHz Pentium-III20-50Dual 1GHz Pentium-III50个以上建议配置多台服务器终端服务器用户数与内存关系用户数内存10256 MB30512 MB501 GB用户数与终端服务器的带宽要求 (ICA 和 RDP 协议)用户数带宽2-460Kbps-80Kbps (ISDN)75-1001.5 Mbps-2.0 Mbps (T1)100-50010 Mbps (Ethernet LAN)500-200040 Mbps (T3/Fast Ethernet)终端数对服务器CPU、内存和网络带宽要求(UNIX应用)终端服务器用户数与内存关系用户数带宽1-510Kbps-60Kbps (ISDN)10-500.1Mbps-0.5 Mbps (T1)50-2002 Mbps (Ethernet LAN)200-100010 Mbps (T3/Fast Ethernet)对于普通的终端服务器模式1025个用户的，建议配置512兆内存，PIII800的CPU的高档PC，当然如果采用专用的服务器，效果更好了，25个用户以上的，服务器尽量配置双CPU的专用服务器，比如可以采用HP、浪潮的服务器，内存的计算是，Windows 2000操作系统启动占用了100兆内存左右，每个终端用户按20兆的内存空间来计算，总的消耗的内存可以达到物理内存的1.21.5倍，比如按照以上方法的内存为600兆，而服务器采用512兆内存，基本也可以满足需求。考虑到服务器资源冗余和稳定性，根据我们在很多行业内的应用经验，目前我们都建议采用以下配置方式：CPU PIII 800，内存1G，可以连接30台终端。有时服务器已经达到了比较高的配置了，所带的终端的数目也不多，但就是速度比较慢，此时一个很可能的原因是由于网络引起的，服务器的网卡、交换机的不匹配，都有可能引起服务器的速度异常，一些应用软件的某个操作会引起服务器的CPU地占用率达到100，这一般是由于应用程序存在某种BUG引起。对于服务器的硬件引起的异常可以采用Windows 2000本身提供的性能查看器进行监控和分析，一些比较常用的计数器和对应的阀值见本文的附表（该表为微软的性能监视器的帮助中提供）。二、 硬盘的规划：目前的硬盘的容量在扩大，速度、性能在提高，而价格却在下降，对于硬盘，建议配置大一些，对于30个以上的中小规模的应用，可以采用品牌服务器，选择SCSI硬盘，推荐采用大于10G的硬盘，比如一个20G的硬盘，便可以分成3个逻辑分区C、D、E了，大小为8G、10G和2G，其中C盘为系统盘，安装了操作系统，程序，用户的应用软件，D盘设置成的数据盘，每个用户都有自己固定的目录，E盘为放临时文件用，硬盘一定要采用NTFS的格式，才能支持2000的一些高级特性，比如活动目录、安全性、磁盘配额、压缩属性等。三、 安装操作系统时，安装尽可能少的组件，比如IIS服务、附件和工具中没有用的工具和游戏、脚本调试器、网络服务等都可以不安装，当然终端服务和终端服务授权是一定要安装的.四、 如果硬盘空间比较小，可以点击驱动器的图标，点击右键，属性中有一栏“压缩驱动器以节约磁盘空间”选上，应用一把，应用于所有的文件和子文件夹，采用压缩驱动器的方法存储，可以节省出一倍的磁盘空间，并且对服务器的速度的影响并不大，在硬盘空间不够时，可以推荐使用，当然了，如果空间不是瓶颈，那就没有必要压缩了。五、 现在可以将用户的数据文件移动到D盘去了，在做这项工作之前，最好仅仅是超级用户有登陆过，其他的用户未登陆过，具体的做法是：用超级用户登陆，运行regedit注册表编辑器，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionProfileList下的一个项ProfilesDirectory，原来的值为 %SystemDrive%Documents and Settings，将%SystemDrive%改成D：，如果你需要采用每个用户都有一个固定的驱动器名，比如g：，都固定的指向每个用户自己的私人目录，则需要将Documents and Settings改为一个没有空格的目录名称，比如将ProfilesDirectory项的值改为D:Doc_and_seting，现在，便将以后登陆的用户的“我的文档”、“配置文件”等都移动到了D盘了，此时用一个新建的用户试登陆一次，便会自动在D盘建立一个对应注册表中的主文件夹了，当然该用户目前还是无法登陆的，还需要将原c: Documents and Settings的All Users、Default User拷贝到D盘的Documents and Settings目录下，Default User目录是隐含属性的，需要在文件夹选项中，显示隐含文件的选项选上，按照原C盘的Documents and Settings目录设置的权限，对D盘的Documents and Settings目录设置权限。记住，如果需要移动Documents and Settings，尽量在除超级用户外，其他用户都没有登陆的情况下来更改，更改后，C：Documents and Settings也不能删除，因为超级用户的设置还在里面，新建一个用户，加入到超级用户组中，用该帐号登陆到系统中，将C：Documents and SettingsAdministrator目录删除掉，再用超级用户登陆一次，你便可以发现，超级用户的设置也移动到了D盘了，重新启动机器一次，删除C: Documents and Settings目录，到此，便将用户的数据目录放置在其他的驱动器中，便于管理。六、 设置磁盘配额，可以给用户设置C盘100兆，D盘200兆，E盘没有限制。七、 设置磁盘的安全性，在Windows 2000操作系统中，对于驱动器，缺省的Everyone都可以完全控制的，现在可以设置C盘，D盘添加Administrator、system为完全控制，将Everyone写入权限删除。虽然C盘没有写权限，但是可以执行在C盘中的程序和应用软件，对D的根没有写权限，但具体的用户对Documents and Settings下的私人目录的权限是不受影响的。甚至可以将C盘的Everyone的全部权限都删除，具体的根据你的需求了，E盘作为一个临时文件存储区，对任何用户都可读可写，可以不作任何地限制，当然了，每个用户自己的重要的数据便不要保存在E盘了。八、 剪切去D:Documents and SettingsAll Users开始菜单程序管理工具 下的所有内容，粘贴到D:Documents and SettingsAdministrator开始菜单程序管理工具 目录下，以后开始菜单中的管理工具一项，只用超级用户可以看到，其他的用户无法看到其中的项目了。九、 安装输入法，比较常见的五笔字型输入法，紫光拼音输入法等。删除去一些肯定不用的输入法，比如内码输入法，郑码输入法之类的。十、 配置一个标准的用户：大家知道，在Windows 2000操作系统中，如果添加了一种输入法，仅仅是具体添加的用户可以使用该输入法，而其他的用户如果需要使用，还要另外再添加，用户想在状态栏的右边显示时钟，也需要每个用户自己添加显示时钟属性，是否有办法使得新的用户登陆，缺省的便已经添加进来了呢，可以的，采用一个普通的用户登陆一次，并且添加上所需要的输入法，也把任务栏的时钟显示添加进来(添加的方法为在任务栏上，鼠标点击右键，选择属性项，添加显示时钟)，那么在D: Documents and Settings目录下，便有一个与登陆用户名一样的目录，该目录便是该用户的私人目录，进入该目录，用该目录下NTUSER.DAT文件，替换掉D: Documents and SettingsDefault User目录下的NTUSER.DAT文件，记住NTUSER.DAT文件是一个隐含文件。以后的所有用户登陆上来，便按照配置的缺省用户地设置了，没有必要为每个用户都添加输入法、时钟显示属性了。十一、 安装常用的应用软件，像office 2000、notes、Acrobat Reader等比较常用的应用软件。十二、 设置终端连接的属性：Windows 2000提供了终端服务，终端可以通过RDP、ICA协议与服务器相连，在缺省的情况下，终端与服务器之间建立了一条连接，该连接对应服务器上一组运行的进程，直到终端用户注销了，才将对应的进程删除，如果仅仅是“中断”和用直接关电源的方式强行关终端，那么在服务器上的进程不会删除，在服务器上占用了大量的资源，也即在服务器上有大量的死进程，这些进程的存在带来了两个问题，一个是在服务器上占用的大量的CPU、内存资源，另外是增加了不安全的隐患，因为这些进程一直存在服务器上，下次终端用户如果也用相同的用户帐号登陆，那么将直接进入到断开的位置，如果由于系统管理员的疏忽，可能会存在有多个用户共用一个帐号的情况，那么便有可能发生安全隐患，比如用户登陆到服务器上，运行金融、财务的软件，这些软件进入时每个人还有自己的软件帐号，如果使用者没有退出这些软件便强行关机了，那么下个使用相同的登陆帐号的用户，一登陆到服务器上，便直接进入上个用户的金融、财务软件的界面，这是非常危险的，当然如果每个用户都有自己的帐号，安全上是没有什么，但也会占用资源，解决的方法是恰当地设置终端连接的属性。用系统管理员的身份登陆，运行开始程序管理工具终端服务配置，点击连接，将出现RDP、ICA连接，双击您终端采用的连接方式的条目，出现如下的对话框，选择会话属性。如下图对应设置的意思是：如果一个断开的连接达到了15分钟，将自动注销该终端连接，如果一台终端有30分钟没有任何地操作，也自动注销该终端连接。十三、 通过组策略设置，在关机一栏中，如果是终端用户，那么只有注销一项，删除断开项，终端用户便没办法使用正常的断开功能了，通过限制用户使用正常的断开功能，只有注销帐户，可以大大的减少由于用户采用断开而滞留在服务器上的一些死进程，减少服务器资源的消耗。设置Regedit.exe regedt32.exe command.exe cmd.exe mmc.exe poledit.exe等敏感程序的执行权限，可以删除去Everyone的所有权限，添加Administrator、System的完全控制的权限。十四、 设置控制面板的设置权限，具体的方法是找到C:WINNT目录下控制面板的文件，也即扩展名为CPL的文件，设置这些文件为只有Administrator、System，有完全控制的权限，其他的用户没有权限，普通的用户以后便没有办法来运行控制面板中的所有的项目了，同样的浏览器的选项普通用户也没有办法更改，那么普通用户想通过更改Proxy服务器来访问Internet是没有办法的，只有超级用户帮助普通用户预先设置好Proxy服务器的地址，普通用户才能通过Proxy去访问Internet了，当然了控制面板的限制可以通过组策略来限制。注意，如果没有在缺省用户中，便将输入法添加完毕，需要普通用户可以添加输入法，那么不应该限制intl.cpl的权限，如果允许普通用户去设置IE中的Internet选项，那么不应该限制inetcpl.cpl文件的权限。十五、 可以设置每个用户的私人目录为一个固定的驱动器盘符，比如G:，可以在D:Documents and SettingsAll Users开始菜单程序启动下添加一个bat脚本文件，该文件的内容为subst g: % USERPROFILE%，那么所有的用户都有一个相同的G驱动器了，每个用户的G驱动器指向了每个用户自己的私人目录，通过这种方法，对于一些比较特殊的应用软件的安装特别有效，Subst 应用程序不支持目录名