用友T3新一代实施重点.docx

新一代实施重点1、 新一代产品网络接入方式和带宽要求答：服务器端：独享带宽，上行/下行均达到带宽建议要求推荐并发人数最低带宽最优带宽网络接入方式1-5人2M4M专线（可以咨询当地提供商）5-10人3M6M专线（可以咨询当地提供商）10-20人5M10MVPN网络/光纤等20-50人10M20MVPN网络/光纤等1-50人100M局域网客户端：共享带宽，上行/下行均达到带宽建议要求推荐并发人数最低带宽最优带宽网络接入方式1-5人2M4MADSL5-10人3M6MADSL10-20人5M10M专线（可以咨询当地提供商）20-50人10M20M专线（可以咨询当地提供商）1-50人100M局域网2、 新一代产品硬件配置支持的最大并发数答：服务器端：根据客户公司规模而定，灵活配置推荐并发人数配置项推荐配置备注1-5人CPU至少两路双核。如：Intel(R) Core(TM) 2 Duo CPU E7200 2.53GHz内存4G磁盘使用普通的SCSI或SATA（7200RPM及以上）即可5-10人CPU至强四核。如：Intel(R) Xeon(R) CPU E5504 2.0GHz内存4G磁盘建议配置SAS（10000RPM）10-20人CPU至强四核。如：Intel(R) Xeon(R) CPU E5504 2.0GHz内存8G磁盘建议配置SAS（10000RPM）20-50人CPU至强八核。如：Intel(R) Xeon(R) CPU E5520 2.0GHz * 2个内存8G磁盘建议配置SAS（10000RPM/15000RPM），建议最好做磁盘阵列（磁盘数量两块及以上）客户端：配置项推荐配置备注CPU至少两路双核。如：Intel(R) Core(TM) 2 Duo CPU T6670 2.20GHz内存2G磁盘使用普通的SCSI或SATA（5400RPM及以上）即可3、 新一代产品软件环境配置要求答：部署类型配置项软件版本备注客户端操作系统及补丁Windows XP + Sp3Windows vista （business）Windows2003Server+sp2(标准版、企业版)（包括R2及以上版本补丁) WindowsServer2003 （X64） + Sp2(及以上版本补丁) Windows7（professional,enterprise，ultimate） Windows7 （X64）（professional,enterprise，ultimate） Windows 2008 Server+ SP1(及以上版本补丁)（standard，enterprise，datacente）Windows 2008 Server+ SP1(及以上版本补丁) （X64）（standard，enterprise，datacente）Windows 2008 Server R2（standard，enterprise，datacente）Windows 2008 Server R2（X64）（standard，enterprise，datacente）IE（浏览器）IE7.0简体中文、英文、繁体版IE8.0简体中文、英文、繁体版推荐使用IE8服务器操作系统及补丁Windows XP +SP3 x86（仅支持单机模式）Windows 7 (Professional, Enterprise,Ultimate) x86,x64 （仅支持单机模式）Windows 2003 Server + Sp2(及以上版本补丁)（标准版和企业版）Windows Server 2003 （X64） + Sp2(及以上版本补丁) Windows 2008 Server R2（X64）（standard，enterprise，datacente）由于目前有很多个人修改过发布的盗版操作系统，为保证产品正常运行请安装微软官方发布的操作系统。运行库NETFramework2.0 + Service Pack 2(简体中文) WebServerIIS5.1(winxp)IIS6.0(win2003)IIS7.5(win7,win2008r2)数据库MSSQL2005 Express + Service Pack 3MSSQLServer2005 + Service Pack 2 （企业版）SQLServer2008 R2(Express、Standard、Enterprise) IE（浏览器）IE7.0简体中文、英文、繁体版IE8.0简体中文、英文、繁体版推荐使用IE84、 新一代产品推荐组合方案答：软件环境：组合推荐：操作系统包括32位和64位1、单机应用建议：Windows7 professional +SqlExpress2005SP3+IE8+.net2.0sp2+IIS7.5 2、服务器应用建议： Windows2003R2enterpriseSp2+Sql2005enterpriseSP2+IE8+.net2.0sp2+IIS6.0 硬件环境：组合推荐： 1、客户端建议：推荐配置：Intel(R) Core(TM) 2 Duo CPU T6670 2.20GHz +硬盘60G+内存2G 2、服务器建议：推荐配置1：Intel(R) Xeon(R) CPU E5504 2.0GHz +硬盘SAS 120G+内存DDR800 4G 推荐配置2：Intel(R) Xeon(R) CPU E5520 2.0GHz * 2个+硬盘SCSI120G+内存DDR800 8G（10站点以上）推荐配置3：Intel(R) Xeon(R) CPU E5520 2.0GHz * 2个+2个硬盘SCSI320G +磁盘矩阵+内存8G（20站点以上）5、 数据库相关设置答：a) 服务器身份验证 安装数据库时需要设置用SQLServer身份验证模式，并设置SA登陆密码。登陆数据库后设置服务器的身份验证方式为SQLSERVER+Windows混合模式，登陆审核为失败和成功方式。 b) SA账户设置强密码登陆数据库后点击安全性-登陆名-SA-勾选“强制实施密码策略”-输入新密码-确定c) 去掉多余的登录名只保留下面的登录账户或把其他账户都停止掉停止的操作如下：d) 启动SQLSERVER服务服务和连接的外围应用配置器，查看服务是否启动e) 设置SQL远程连接f) 启动SQL网络TCP/IP连接SQL Server 配置管理器-SQL Server2005网络配置-MSSQLSERVER的协议-TCP/IP-启动SQL Server 配置管理器-SQL Server2005网络配置-MSSQLSERVER的协议-Named Pipes-启动SQL Server 配置管理器-SQL Server2005网络配置-MSSQLSERVER的协议-VIA-禁用g) 修改数据库占用内存最大容量6、 操作系统相关设置答：a) 服务器系统盘要经常备份强烈建议定期使用GHOST备份软件对操作系统进行备份。暴露在互联网上的机器很容易被病毒和木马控制，采用备份系统的方式可以一定程度上减少系统重装成本。推荐用”一键GHOST 2010版”进行备份，备份成功别忘了把备份镜像文件拷贝出来单独建目录存放。b) 要为所有Windows帐户设定强密码，关闭guest账户右键点击一个用户，点“设置密码”即可设定右键点“我的电脑”选择“管理”，在管理界面中，选中“用户”我们一定要为所有系统登陆帐户设定强密码（数字+字母，6位以上），关闭除administrator、用户自定义的账户、Internet 来宾帐户、ASPNET账户外的其他账户，相关的管理界面如下:c) 禁掉除系统管理员（Administrator）、 internet 来宾账户、ASPNET、用户 自定义账号外的其他账号，去掉远程连接创建的账户。d) Windows防火墙安全设置，关闭除80,1433端口外的其他端口在防火墙设置中，我们尽量禁止所有不必要的端口。这里所说的防火墙，是ADSL的出口防火墙，它的设定界面因具体ADSL设备的不同而千差万别，但ADSL提供商一般都配备这样的防火墙，可能集成在ADSL猫中，也可能是软防火墙，还可能集成在路由器中。相关详细事宜可以咨询ADSL提供商的服务人员或路由器厂商。我们的系统一般都是通过http协议的80端口来对外提供服务的，所以我们可以在防火墙中把除了80端口、1433端口以外的其他所有端口，都加入到防火墙端口禁止列表中。如果我们是用其他端口(例如8080)提供Web服务，那么我们就仅仅在防火墙中留下该端口，而禁止其他一切端口。如果我们确实需要保留某些其他端口，让服务器附带提供其他的服务，那么我们也可以在防火墙设定中，解除相关端口的屏蔽，但是通常我们尽量为特定的服务设置强密码，以最大程度的避免系统暴露出漏洞，例如远程桌面的端口3389、FTP的端口21、以及https的端口433。e) 确保操作系统不存在高危漏洞 尽量保持服务器系统的更新，这样会对暴露在外网的主机很有好处。我们应该确保开启系统的自动更新功能，以及定期人工检查系统更新，以确保安装了最新的操作系统安全补丁。可使用360安全卫士中的系统漏洞扫描来修复系统漏洞。f) 定期进行全盘杀毒由于平时在安装第三方软件或系统本身存在漏斗被木马程序利用破坏系统，可定期对系统进行全盘杀毒，杀毒成功后建议重新再运行杀毒软件直至病毒被清理干净。g) 关闭系统默认共享关闭不用的共享目录，只保留IPC$共享。通过脚本：net share C$/delnet share d$/delnet share ipc$/delnet share admin$ /del通过修改注册表：删除IPC$共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous=dword:00000001删除admin$共享修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters增加AutoShareWks子键（REG_DWORD），键值为0。清除默认磁盘共享 C$、D$等 修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，增加AutoShareServer子键（REG_DWORD），键值为0。h) 关闭文件及打印机共享i) 定期安装产品补丁可登陆畅捷通支持网站/，输入您的服务名和密码进入后，选择补丁下载，查询产品名称，安装最新产品补丁（补丁中含有最新的环境问题的解决）j) 调整优化性能k) 设置虚拟内存页面文件的大小开始菜单-计算机（我的电脑）-右键属性-高级-性能-设置-高级-虚拟内存-更改-选择可用空间最大的硬盘分区-单选自定义大小-初始大小和最大值设置成物理内存的两倍-点击设置-确定l) 检查产品有关的系统服务是否正常1、 MSSQLSERVER服务2、 Distributed Transaction Coordinator服务3、 Ufida_T_LocalDBService_XXX(产品名称缩写) 服务4、 World Wide Web Publishing Service服务 7、 Internet信息服务(IIS)管理器相关设置答：IIS配置：IISsetting工具，位于安装路径根目录下，通过该工具可自动进行IIS相关设置，如果遇到IIS相关问题也请在手动配置后重新执行此工具。进入IIS：开始菜单-运行-“inetmgr”进行Internet信息服务 基本问题检查点如下，以企管通产品为例：a) 检查应用程序池是否启动 b) 检查默认站点是否启动，端口号 c) 检查默认站点-YYTPRO的属性 如上图所示，若第4部的internet来宾账户的用户名和密码被修改，将导致客户端登陆产品时弹出用户名和密码输入框，解决办法是重置此用户名和密码。1、获取 IUSR 帐户密码C:InetpubAdminScriptsadsutil.vbs的631行的True改成False代码如下= If (UCase(IIsSchemaObject.Syntax) = STRING) Then If (IsSecureProperty(ObjectParameter,MachineName) = False) Then 就是修改的这里，631行 ValueDisplay = ValueDisplay & & * & Else ValueDisplay = ValueDisplay & & ValueList & End If ElseIf (UCase(IIsSchemaObject.Syntax) = BINARY) Then=2、打开CMD运行窗口，执行cscript.exe adsutil.vbs get w3svc/anonymoususerpass命令，此时将明文显示IUSR账户密码3、将用户名和密码输入到“身份验证方法”对话框。重新注册IIS，命令如下：打开CMD，输入C:WindowsMicrosoft.NETFrameworkv2.0.50727aspnet_regiis.exe i若YYTPRO属性页中没有ASP.NET分页，请重新装ASP.NET程序并重新注册IIS。d) 检查WEB服务扩展中Active Server Pages、ASP.NET v2.0.50727、HttpCompression等是否允许8、 IE相关设置答：IE配置：客户端环境设置工具，位于安装路径Websitecomponentscheckenvclient.exe 登录产品成功，若第一次使用产品，请点击登陆页左上角的浏览器设置工具，下载并安装，安装后配置产品登陆页IP地址。如下图所示 a) 配置网页的自动检查网页的较新版本b) IE7禁用仿冒网站检查c) 设置portal站点为信任站点d) 设置安全级别e) 去除IE友好提示9、 域名解析软件介绍a) 第三方软件-花生壳花生壳软件是一款能将动态公网IP地址与固定域名进行绑定的软件，绑定成功后用户输入域名就能访问而不用每次输入不同的公网IP地址访问。使用步骤：1、 下载花生壳动态域名6.0客户端下载地址：/peanuthull/download_ddns.php2、 域名申请：花生壳域名的申请，和普通网站的会员登记很类似，首先是免费申请一个用户，然后，在这个用户的基础上申请免费或收费的域名。对于常规应用来说，免费域名是不太规则的形如这样的域名，每隔30天需要从新申请一次。如果企业希望域名比较正规，那么也可以申请收费的域名，包括这种这样正式的域名，这种域名同样也可以绑定到动态IP的服务器上。b) IP直通用友IP直通由两部分构成，一部分是客户端，运行在用户的主机上。另一部分是服务器，由IP直通服务提供商负责运行。所谓的IP直通，就是实现固定域名到动态IP地址之间的解析。用户每次上网得到新的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到IP直通服务器，更新域名解析数据库。Internet上的其他人要访问这个域名的时候，IP直通服务器会返回正确的IP地址给他。使用用友IP直通服务后，用户能够实现:1) 在办公室或者家里搭建网站、FTP、Mail等服务器；2) 出差在外或分支机构访问公司OA、CRM、ERP系统；3) 利用ADSL等宽带连接搭建视频监控、视频会议系统；4) 利用ADSL等宽带连接实现VPN接入10、 网络部署ADSL+路由器的设置方法步骤一: 设置ADSL登录账户购买ADSL时由服务提供商提供 步骤二: DMZ主机设置步骤三: 虚拟服务器设置说明：步骤三和步骤二在实际测试时仅设置其中一个步骤即可。为确保稳定建议都设置一下。11、 创建IIS重启任务计划原因：由于客户环境等不确定因素，导致产品使用几天就出现问题。可以创建一个任务调度，每天在空闲时重启一次IIS操作步骤：1.开始-运行，输入 services.msc，打开Windows服务窗口，找到Task Scheduler服务，确认此服务启动类型为自动，且已经启动。如果未启动，则启动它。2.在服务器计算机上任一位置创建一个iisreset.bat文件，文件内容如下： echo off%systemroot%system32iisreset /restart3.依次打开控制面板-任务计划-添加任务计划，如下图所示：点击下一步：点击按钮，选择已经创建好的iisreset.bat文件，则任务计划向导进入此步骤：选择执行任务方式为：每天，点击按钮，出现如下步骤界面：在此步骤中，设置起始时间为系统空闲时间，如此界面中选择凌晨2点为IIS重启时间。继续点击按钮，进入启用调试权限用户，如图：点击，创建完成。以上为创建一个调度过程。说明： 如果想编辑已经建立的调度计划，则仅需要依次打开控制面板-任务计划，则可以看到已经创建的调度。12、 环境软件的安装顺序原因：由于IIS，.NET,数据库安装顺序不正确，导致产品安装后登陆页报错。正确的安装顺序是IIS.net数据库，同时若客户服务器事先安装了上述软件也应该检查相关设置后再进行产品安装，如IIS组件安装不全，.net运行异常，数据库服务或SA账户未启动等原因造成产品安装后出现的问题。解决方法：1、在控制面板性能维护管理工具Internet信息服务，展开默认网站查看有没有YWTPRO，如果没有说命没有加载需要执行第二步操作，如有显示请参考第三步操作。2、默认网站右键新建虚拟目录，别名为YWTPRO，点击下一步，输入业务通的安装路径（例如：C:Program FilesufidaUFSmartYWTPROWebsite），再点击下一步，选中读取、运行脚本、浏览，再点击下一步完成。 在默认网站的下面找新增的YWTPRO，右键属性，打开ASP.NET的页签，在第一行ASP.NET版本中指定一下（例如：指定2.0.50727），指定之后确定。3、在开始运行中输入cmd，输入一下命令重新注册IIS：C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_regiis.exe i注册之后重新运行业务通即可。（有的机器需要重启IIS）如不便于做上述操作时也可将软件卸载后重新安装，确保软件的安装在IIS的安装之后也可解决上述问题。13、 登陆产品时出现输入用户名和密码窗口原因：出现此问题需先检查服务器配置后检查客户端配置，服务器配置重点检查IIS中产品虚拟目录属性中是否启动匿名访问，匿名访问账户和密码是否正确配置，账户是否启动等。解决方法：在我的电脑右击管理服务与应用程序- Internet信息服务-默认网址和 产品网站中的目录与安全性页签-身份与验证方法 编辑看匿名访问是否勾上。 如果勾上看默认网站和产品网站中的匿名帐户是不是一致。如果不一致的话比如默认网站中的匿名是IUSR_001，通过命令获取 IUSR_001 帐户密码 在运行中输入 （可以把C:InetpubAdminScriptsadsutil.vbs 这个文件拷贝到C:Documents and SettingsAdministrator路径下）cscript.exe adsutil.vbs get w3svc/anonymoususerpassC:InetpubAdminScriptsadsutil.vbs的631行的True改成False代码如下= If (UCase(IIsSchemaObject.Syntax) = STRING) Then If (IsSecureProperty(ObjectParameter,MachineName) = False) Then 就是修改的这里，631行通过命令得到密码后 把产品网站的匿名改成IUSR_001，密码和得到的IUSR_001一致客户端IE设置：14、 登陆产品时一直处于“正在进行环境配置，请稍后”原因：客户端第一次访问服务器时需要从服务器上下载页面相关信息，当IIS存在异常错误，导致页面无法跳转到登陆页时将停留在此页面长时间未响应，此时可以通过修改登陆页地址后缀，把htm改成aspx，查看具体错误内容。解决方案：1、将登陆页地址后缀改为aspx，例如/YYTPRO/login.htm请改为/YYTPRO/login.aspx2、去除IE设置中页面友好提示3、检测IIS配置，请在开始-运行-输入”inetmgr”开始-运行-输入”iisreset”,重启IIS后并重新刷新页面即可。15、 登陆页输入操作员和密码点击登陆无反应原因：IE浏览器存在cookie缓存，信息校验失败。多数情况是产品升级后，IE缓存未清除，页面插件未正常加载，运行库运行异常。操作步骤：第一步：点击IE的右键属性内容中清除SSL状态第二步：在开始运行输入iisreset，重新启动IIS后重新登录。2、如果上述方案还不能解决，在添加和删除程序中删除Framework2.0，再重新安装 下 16、 登陆页报HTTP500错误原因：造成HTTP500的错误原因很多，主要和系统组件关系，DTC服务，IIS内嵌账户设置有关系。若下面方法未能解决，请考虑更换操作系统。解决方法：请运行此文件夹中的IIS500.bat，之后再重新测试。写一个BAT文件，内容如下：echo offecho 正在执行操作，请稍等. regsvr32 %windir%/system32/vbscript.dllmsdtc -resetlognet start msdtcnet user IUSR_%COMPUTERNAME% 111net user IWAM_%COMPUTERNAME% 111%SystemDrive% cd %SystemDrive%InetpubAdminScriptscscript.exe adsutil.vbs set w3svc/wamuserpass 111cscript.exe adsutil.vbs set w3svc/anonymoususerpass 111cscript.exe synciwam.vbs -viisreset%SystemDrive%cd