WIN2000服务器的安装方法.doc

WIN2000服务器的安装方法 刚才一位朋友问到不会建立2000的服务器那么我就简单的给你介绍一下好了！ 下面通过从光盘或软盘启动计算机安装一个全新的 Windows 2000 Server ，如果用户需要升级现有的先备份有关资料，然后将Windows NT 4.0 迁移到 Windows 2000 Server（有关内容本文不详述）。 启动安装程序后，就开始将必须得安装文件复制到磁盘中，然后显示出现一系列的对话框，用于设置系统相关的重要信息。 步骤1 为 Windows 2000 Server 选择或创建一个分区 在系统复制完安装文件并重新启动后，出现一个对话框要求创建或指定一个用于安装 Windows 2000 Server 的磁盘分区，用户可以在磁盘中未分区的可用空间上创建分区，也可以指定一个现有的分区，还可以删除一个或几个现有的分区然后创建一个新的分区。由于安装 Windows 2000 Server 的文件需要至少 1 GB 的可用磁盘空间，这在系统需求中已说明了，所以建议要创建或指定的分区大小应大于最小需求，分区的大小为 2-5 GB 就可以了。之后，选择文件系统。如果用户是从WIN98用户升级，则可以使用当前的文件系统；然而，也可以更改为 NTFS，它是推荐的 Windows 2000 文件系统。 步骤2 选择区域设置 在地区设置对话框中，遵循指导来自定义语言、选择正确的时间区域和辅助功能设置。还可将 Windows 2000 设置为使用多种语言和地区选项。 步骤3 设置个人化软件 在个人化软件对话框，键入用户的姓名，还可键入单位（可选）。 步骤4 选择许可协议方式 在授权模式对话框，选择客户端的授权模式，可以是每客户或每服务器方式。对于新的安装，系统要求用户选择客户端的授权模式，如果是升级安装，客户许可协议方式将根据已有设置自动设定。如果用户无法确定授权方式，则选择每服务器方式，因为用户可以随时将每服务器方式转换为每客户 方式，但注意只能进行一次转换，且这种转换是不可逆的。 步骤5 输入计算机名称 对于大多数语言来说，建议不超过 15 个字符。对于需要更多存储空间的语言，例如中文、日文或韩文，建议不超过 7 个字符。 建议在计算机名中只使用 Internet 标准的字符。这些标准字符包括数字 0 到 9、A 到 Z 的大写字母和小写字母以及连字符 (-)。如果网络上使用了 Microsoft DNS 服务，那么还可以使用范围更广的字符，包括 Unicode 字符和其他非标准字符，例如 & 符等。使用非标准字符可能会影响与网络上的非 Microsoft 软件的互操作性。 计算机名的最大长度为 63 字节。如果名称超过 15 个字节（大多数语言是 15 个字符，有些语言是 7 个字符），安装 Windows 2000 以前的计算机只靠该名称的前 15 个字符来识别此计算机。此外，对于长于 15 个字节的名称，需要额外的配置步骤。 如果此计算机是某个域的一部分，则选择的计算机名必须不同于域内的其他任何计算机。如果此计算机是某个域的一部分，且包含多个操作系统，那么每个操作系统使用的计算机名必须各不相同。 步骤6 设置管理员帐户密码 在管理员密码对话框中，键入最多不超过 127 个英文字符的密码。为了具有最高的系统安全性，密码至少要 7 个字符（非强制性），并应采用大写字母、小写字母和数字以及其他字符（例如 *、? 或 $）的混合形式。 在确认密码对话框，再次键入密码。 由于管理员帐户在 Windows 2000 中的特殊性，出于对系统安全性的考虑，用户要格外重视这个帐户。安装程序在计算机上创建了一个称作 Administrator 的用户帐户，它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此 Administrator 帐户。出于安全考虑，建议为 Administrator 帐户指定密码。将管理员密码设置为空，表明该帐户没有密码。在确认密码框内输入的密码必须与管理员密码中输入的密码完全一致。一定要谨记并保护好用户的密码。 在安装完成之后，为了获得最好的安全性，要更改 Administrator 帐户名（但不能删除它）并始终为该帐户设置一个安全性高的密码。 作者： 众达计算机学校 2006-6-20 10:26 回复此发言 - 2 WIN2000服务器的安装方法 步骤7 选择 Windows 2000 组件 在Windows 2000 组件对话框，选择系统运行所需组件。对于 TCP/IP 网络用户通常需要的组件包括 DHCP、DNS 和 WINS。要选取这些组件，可在安装过程中，在Windows 2000 组件对话框内，选择网络服务，并单击详细资料，然后选择所需的一个或多个组件。 如果在完成安装后，确定还需要其他组件，可以在以后添加这些必要的组件。要这样做，请在运行完安装程序之后，单击开始，指向设置，然后单击控制面板，在控制面板上，双击添加/删除程序。在添加/删除程序中，单击添加/删除 Windows 组件。 步骤8 设置日期和时间 在日期和时间设置对话框中设置正确日期、时间和时区。如果想让系统自动调整夏时制，请选中根据夏时制自动调整时钟复选框。 步骤9 设置网络选项 如果允许 Windows 2000 安装程序分配或获取 IP 地址，则在网络设置对话框中，单击典型设置。 Windows 2000 安装程序将检查域中是否有 DHCP 服务器。如果域内有 DHCP 服务器，则该服务器会提供 IP 地址。如果域内没有 DHCP 服务器，自动专用 IP 寻址 (APIPA) 功能会自动为这台计算机分配一个 IP 地址。 如果希望为计算机指定静态 IP 地址及 DNS 和 WINS 的设置则执行以下步骤 1.在网络设置对话框，单击自定义设置。 2.在网络组件对话框内，单击Internet 协议 (TCP/IP)。 3.在Internet 协议 (TCP/IP) 属性对话框内，单击使用下面的 IP 地址。 4.在IP 地址和子网掩码内，键入适当的数字（如果需要，还可指定默认网关）。 5.在使用下面的 DNS 服务器地址下，键入首选的 DNS 服务器地址和备用的 DNS 服务器地址（可选）。如果本服务器是首选或备用 DNS 服务器，则要键入在上一步已分配好相同的 IP 地址。 6.如果要使用 WINS 服务器，可单击高级，然后单击高级 TCP/IP 设置对话框的WINS选项卡，添加一个或多个 WINS 服务器的 IP 地址。如果本服务器是 WINS 服务器，则键入第 5 步为本机分配好的 IP 地址。 步骤10 指定工作组名或域名 在此用户需要选择本机是属于工作组还是将本机加入到一个域中，并指定工作组名或域名。 在安装向导完成 Windows 2000 Server 的安装后，计算机重新启动。至此用户已经完成了 Windows 2000 Server 的基本安装。下面进一步配置 Windows 2000 Server。 系统重新启动后，以管理员身份登录，屏幕上将出现配置服务器程序，利用它用户可以轻松地进行进一步的服务器配置。用户也可以通过单击开始，指向程序，再指向管理工具，然后单击配置服务器，启动配置服务器程序。下面介绍以下配置服务器所提供的配置选项的详细信息。 Active Directory 设置用户帐户、组帐户及其策略、域、服务器角色、权限，还可以帮助维护系统的安全性、跟踪用户信息。 文件系统 设置和管理共享文件夹及其他共享网络资源。 打印服务器 设置和管理打印机、打印机队列以及其他与打印相关的元素。 对于Web/Media 服务器还需完成下列几项工作： 创建管理 Internet 或企业内部网中的 Web 站点、多媒体站点、FTP 站点和其他功能。要使用这些服务，必须在 Windows 2000 Server 内安装相应的组件。 网络 选择、设置网络协议、远程访问和路由选择，包括DNS和DHCP服务 应用程序服务器 对消息队列、组件服务和跨网络的分布式应用程序的相关支持，也包括终端服务。 高级 Windows 2000 Resource Kit 支持工具和可选组件，例如远程安装、终端服务器、证书授权及在基本安装过程中未安装的组件。 注意：如果用户不想在每次登陆时都启动 Windows 2000 配置服务器，则运行 Regedit.exe 将 HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionSetupWelcomesrvwiz 的值改为 0 即可。 WIN2000服务器安全配置 2 三、 安全配置WIN2000 SERVER 即使正确的安装了WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。 1端口：端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。 2IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点，现在大家跟着我一起来： 首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:Inetpub； 其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除（罪恶之源呀，忘/scripts/.%c1%1c./winnt/system32/cmd.exe了？我们虽然已经把Inetpub从系统盘挪出来了，但是还是小心为上），如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给） 第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida想知道这些故事？去查以前的漏洞列表吧。什么？找不到在哪里删？在IIS管理器中右击主机-属性-WWW服务编辑-主目录配置-应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。 为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。 最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。 3账号安全： Win2000的账号安全是另一个重点，首先，Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共