清扬网络综合管理系统的网域SQL Server安装模式的安装.doc

清扬网络综合管理系统的网域SQL Server安装模式的安装与系统配置说明1.安装准备：清点硬件，记录参数2.安装管理平台2.1插入加密狗，安装管理平台2.2验证,能够孵化客户端3.切换至SQL数据库3.1切换数据库后，重起管理平台。3.2验证,客户端与管理平台通信正常4.采用AD域控制器，实现客户端自动分发4.1获取开机脚本种子，配置AD域控制器的开机脚本4.2验证，计算机开机重起后实现客户端的自动分发。5.大规模网络环境下，推荐各种系统运行参数5.1定制清扬客户端的登记信息，方便管理员集中统一登记5.2推荐的缺省统一管理策略5.3推荐的系统参数配置图表 1 清扬网络综合管理系统域SQL安装模式下的硬件环境需求图表 2 固定管理平台IP地址，孵化出客户端。图表 3 管理平台安装完成，能够自动孵化出qyRegTool.exe客户端程序图表 4 运行qyRegTool.exe填表确定，实现清扬客户端的自动分发图表 5 定制配置，可设置清扬客户端登记表的资产编号个数为0图表 6 定制配置，实现可开放/隐蔽资产编号的弹性计算机登记表图表 7 AD域环境下，管理员集中登记客户端信息，实现用户信息与计算机信息绑定图表 8 推荐的全网统一的管理策略图表 9 配置单机管理策略图表 10 推荐的客户端与管理平台之间的通信参数1.安装准备：清点硬件，记录参数本章节为安装前准备阶段。目的是清点安装需要的硬件环境，记录环境参数，梳理后面章节中具体的安装步骤。清扬网络综合管理产品的域SQL安装模式，涉及到硬件环境有管理平台、客户端、数据库和AD域控制器。客户端就是网络环境中的各个工作用机。图表 1 清扬网络综合管理系统域SQL安装模式下的硬件环境需求模块名称硬件单位数量软件管理端专用服务器台1操作系统：2000/xp/2003任选使用权限：administrator/密码网络参数：需固定内网IP地址能够连通所有内网计算机安全检查：ghost,杀毒软件,口令专用客户端工作用机台数操作系统：98/Me/NT/2000/xp/2003数据库SQL Server台1操作系统：2000/2003 server使用权限：administrator/密码网络参数：需固定内网IP地址 能够连通管理端计算机安全检查：ghost,杀毒软件,口令专用域控制器2000/2003域控制器台1操作系统：2000/2003 server使用权限：administrator/密码网络参数：需固定内网IP地址 能够连通管理端计算机安全检查：ghost,杀毒软件,口令专用按照上述的硬件环境要求，记录各个硬件相应的用户名、密码以及IP地址等环境参数后，将开始产品安装部署。清扬网络综合管理产品的域SQL安装模式包括3个基本步骤：安装管理平台、切换数据库、域架构下分发客户端。下面对这3个基本步骤分别进行介绍。2.安装管理平台2.1插入加密狗，安装管理平台将加密狗插入并口。将安装光盘放入光驱自动播放（或者，运行setup目录下的setup.exe程序），按照提示自动安装清扬网络综合管理产品。2.2验证,能够孵化客户端安装成功后，打开产品界面配置/选项，弹出如下图所示的对话框，其中，第一行“管理中心IP”，应为管理平台的自身的固定的IP地址。第二行“请输入客户端孵化目录”中，填入相应的文件夹。图表 2 固定管理平台IP地址，孵化出客户端。在该文件夹下面能够得到新生成的qyRegTool.exe等客户端程序。图表 3 管理平台安装完成，能够自动孵化出qyRegTool.exe客户端程序至此，管理平台IP地址不能更换。如果日后发生硬件故障，更换硬件后，也要保持该IP地址不变。注意：对于DHCP环境，只需要管理平台的IP地址固定即可。客户端的IP地址仍然可以使用DHCP动态分配。3.切换至SQL数据库在切换至SQL Server数据库之前，清扬网络综合管理产品采用的是Microsoft Access。在上述“2.安装管理平台”的章节中，安装产品过程中，已经自动安装了该Microsoft Access。缺省状态下，清扬网络综合管理系统的数据库为Microsoft Access，在大规模网络中，需要将缺省的数据库切换为SQL Server数据库。3.1切换数据库后，重起管理平台。数据库的安装，配置和切换等过程，这里不再赘述。可以在产品界面下打开帮助/使用指南，参看附录二，有SQL Server数据库的安装；SQL Server数据库的配置和切换数据库。数据库切换后，需要重新启动管理平台，这样才能够将Access数据库工作环境真正切换为SQL Server工作环境。3.2验证,客户端与管理平台通信正常管理平台重起后，在客户端上运行孵化出来的qyRegTool.exe客户端程序，注册登记。图表 4 运行qyRegTool.exe填表确定，实现清扬客户端的自动分发打开产品界面查看/系统状态窗，在缺省的“通信状态”选项下，能够看到客户端与管理平台的正常通信过程。表明数据库切换完成。4.采用AD域控制器，实现客户端自动分发（工作组的网络忽略此步骤）4.1获取开机脚本种子，配置AD域控制器的开机脚本对于AD网域的网络环境，孵化客户端软件，就近选择一台计算机用qyRegTool.exe程序进行登记注册测试。然后在该计算机中，找到系统目录下,system32子目录中的qwmsvr.exe，把该qwmsvr.exe拷贝出来更改名称为qwmsvr1.exe,这就是域控制器下的开机脚本的种子。域开机脚本配置过程，这里不再赘述。可以在产品界面下打开帮助/使用指南，参看附录三，域模式自动分发客户端。4.2验证，计算机开机重起后实现客户端的自动分发。选择另外一台计算机，重新开机。这是，域环境下的开机脚本应该生效。打开管理/计算机管理/计算机列表，看到新加入的该计算机。打开产品界面查看/系统状态窗，在缺省的“通信状态”选项下，能够看到该计算机与管理平台的正常通信过程。表明域控制器开机脚本配置完成。5.大规模网络环境下，推荐各种系统运行参数5.1定制清扬客户端的登记信息，方便管理员集中统一登记打开配置/定制配置，将资产编号个数设置为0。图表 5 定制配置，可设置清扬客户端登记表的资产编号个数为0这时，运行qyRegTool.exe客户端程序后，资产编号就不再出现。下图表6跟前面的图4不同，区别在于本表中没有了资产编号这一项。图表 6 定制配置，实现可开放/隐蔽资产编号的弹性计算机登记表采用AD域控制器脚本实现客户端的自动分发，跟工作组采用计算机各自分散登记进行自动安装不同，打开管理/计算机管理/计算机列表，并没有计算机的单位、部门、使用人等用户信息。如何把计算机信息与用户信息进行绑定？在域网络架构下，可以采用管理员集中登记方法。打开管理/计算机管理/计算机列表，选中一台计算机，右键用户信息编辑审核，得到如下的登记表。图表 7 AD域环境下，管理员集中登记客户端信息，实现用户信息与计算机信息绑定由管理员集中统一地逐个填入后，就形成了全网的用户信息与计算机信息的绑定。5.2推荐的缺省统一管理策略大网管理的管理策略分为统一管理策略和单机管理策略。统一管理策略是全网的大多数用户的全局性策略，该策略涉及到系统资源占用等问题。单机策略是少量的例外的管理策略，对系统资源占用没有太多影响。下面就给出统一管理策略的推荐建议。统一管理策略是在产品界面的配置/统一管理策略配置下打开。下面图中有几项是推荐的统一管理策略，并有相应的推荐说明。图表 8 推荐的全网统一的管理策略说明：软驱管理、光驱管理、USB管理和拨号管理：不做推荐。这四项的禁用或者启用策略的变化，对网络资源占用不大，所以根据各自单位的管理要求采用相应的管理策略。系统日志审计：推荐“禁止使用”。往往一台计算机的系统日志多不胜多，频繁的传送对网络资源占用较大。所以统一策略是“禁止使用”，具体到一台计算机，可以用单机策略来指定“允许使用”。打印审计：不做推荐。其禁用或者启用策略的变化，对网络资源占用不大，所以根据各自单位的管理要求采用相应的管理策略。NetStat审计：推荐“禁止使用”。往往一台计算机的各种端口连接多不胜多，频繁的传送对网络资源占用较大。所以统一策略是“禁止使用”，具体到一台计算机，可以用单机策略来指定“允许使用”。进程模块审计：推荐“禁止使用”。往往一台计算机的进程模块信息多不胜多，频繁的传送对网络资源占用较大。所以统一策略是“禁止使用”，具体到一台计算机，可以用单机策略来指定“允许使用”。上面是推荐的统一管理策略。单机管理策略是少数生效的单独策略。在统一策略和单机策略同时存在的情况下，单机策略的优先级高于统一策略，即执行单机策略。关于单机策略，打开管理/计算机管理/计算机列表，选中某一个计算机记录，右键配置单机管理策略，得到如下：图表 9 配置单机管理策略一旦配置了单机管理策略，在管理/单机管理策略列表中将记录该计算机的单机管理策略。5.3推荐的系统参数配置上面提到了统一管理策略和单机管理策略。这些策略需要管理平台和客户端的通信进行下达策略和提交结果。这个通信的频率周期能够在系统中统一进行设定。由于通信参数的设置会影响到网络资源的占用，用户可以根据网络状况，经过运行一段时间的观察，选择出比较合适的参数。这里，针对大网管理，给出一组推荐的系统参数配置和相应的推荐说明。图表 10 推荐的客户端与管理平台之间的通信参数说明：先打开查看/系统状态窗，下面的参数可以在系统状态窗中表现出来。客户端下载配置间隔：管理员修改和调整各种管理策略，策略必须到达客户端才能够生效。该参数就是策略被客户端读取的时间。对应着“系统状态窗”的“下载配置 OK”。大网建议在：300S600S。客户端取实时操作指令间隔：跟远程桌面等实时性强的功能相关的策略。对应着“系统状态窗”的“取实时操作指令 OK”。这个参数建议在20S60S。客户端上传网络配置间隔：跟远程设置和锁定IP、子网掩码、网关、DNS等网络配置的锁定生效时间和刷新时间相关。对应着“系统状态窗”的“上传远程桌面管理-网络连接OK”。这个参数建议在300S。客户端上传系统日志间隔：系统日志多并且信息变化少，所以，在单机允许策略下，也不需要那么频繁。建议在3600S或更长。客户端上传操作系统用户信息间隔：操作系统用户信息量虽然少但是信息变化更少，所以，不需要那么频繁进行信息报告。建议在3600S或更长。客户端上传NetStat间隔：NetStat多信息变化也多，容易占取大量的网络资源，在单机允许的策略下，对指定计算机读取NetStat信息可以频繁些，但是，一旦不进行单机的跟踪和观察，立即把单机策略设置为禁止使用，并把系统参数调整到3600S。客户端上传进程信息间隔：关联到禁止QQ或者禁止跟工作无关软件等功能的生效时间，对应着“系统状态窗”的“上传进程信息-进程OK”。这个参数建议在300S。客户端上传进程调用模块间隔：进程调用模块信息量及其多，非常容易占取大量的网络资源，在单机允许的策略下，对指定计算机读取进程模块信息可以到300S，但是，一旦不进行单机的跟踪和观察，立即把单机策略设置为禁止使用