WebFtMail服务器的日常管理与维护手册

1、服务器日常管理手册前言服务器日常管理手册终于跟大家见面了。这里面凝聚着 E 动人的心血和对广大客户的关爱。在多年的服务过程中，通过长期的观察与总结，我们发现，仅仅靠我们的服务是不够的，因为我们的服务属于亡羊补牢式的服务。要想让客户服务器能稳定正常运行，关键还是要少出故障。 这就显示出客户的日常维护的重要性。 在目前广大客户技术水平参差不齐的情况下，我们考虑，提供一个服务器日常管理的范本，将我们多年服务器管理的经验拿出来与大家分享，让更多的新 IT 从业人员少走弯路，减少不必要的错误。我们能体会到客户的迫切心情和对 E 动的殷切希望，我们也一直努力提高我们的技术水平与服务能力。 我们知道，仅仅靠

2、一个管理手册解决不了所有问题， 但这是 E 动人为提高客户技术水平所做的努力。 我们欢迎有更多的客户能加入到我们这行列， 把自己好的管理经验与大家一起分享， 共同为创造一个更加稳定和谐的网络环境而努力。中国 E动网12月26 日Web Ftp Mail服务器的日常管理与维护一、设置和管理账户二、网络服务安全管理三、系统安全管理四、打开相应的审核策略五、 IIS 的安装与配置六、 Serv-U 的基本设置七、用 WebEasyMail架构 Web邮件服务器一、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的

3、上档键组合，长度最好不少于14 位。2、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于 20 位的密码。3、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。4、开始 - 程序 - 管理工具 - 本地安全策略，选择计算机配置-Windows 设置 - 安全设置 - 账户策略- 账户锁定策略，将账户设为“三次登陆无效” ，“锁定时间为 30 分钟”，“复位锁定计数设为 30 分钟”。5、在安全设置 - 本地策略 - 安全选项中将“不显示上次的用户名”设为启用。6. 本地策略 - 安全选项 - 对匿名连接的额外限制

4、. 选择 ( 不允许枚举 SAM 帐号和共享 )二、网络服务安全管理1、禁止 C$、D$、 ADMIN$一类的缺省共享打开注册表， HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，在右边的窗口中新建 Dword 值，名称设为 AutoShareServer 值设为 0. 注册表不了解 . 不要随便更改 .2、 解除 NetBios 与 TCP/IP 协议的绑定右击网上邻居 - 属性 - 右击本地连接 - 属性 - 双击 Internet协议 - 高级 -Wins- 禁用 TCP/IP上的 NETB

5、IOS3、关闭不需要的服务，以下为建议选项开始 - 所有程序 - 管理工具 - 服务Computer Browser:维护网络计算机更新，禁用Distributed File System:局域网管理共享文件，不需要禁用Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error reporting service：禁止发送错误报告Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服务和 Microsoft Serch用的，不需要禁用PrintSpooler：如果没有

6、打印机可禁用Remote Registry：禁止远程修改注册表Remote Desktop Help Session Manager ：禁止远程协助 Messenger: 信使服务 (windows2000)Task Scheduler:允许程序在指定时间运行( 不用计划任务就禁用掉 )TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居 - 属性 -Internet 协议（ TCP/IP）属性 - 高级 - 选项 -TCP/I

7、P 筛选属性 -TCP 端口添加你想要开的端口 .默认开启的端口列表：FTP:mail:Web:80pcanywhere:5631远程桌面： 3389 (3389 不要关闭，否则将无法远程连接)三、系统安全管理1. 对于系统的 NTFS磁盘权限设置 ,C 盘只给 administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的 system 权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。2. Windows目录要加上给 users 的默认权限，否则 ASP和 ASPX等应用程序就无法运行。3. 另外在 c:

8、/Documents and Settings/ 这里相当重要，后面的目录里的权限根本不会继承 从前 的设 置， 如果仅仅 只是 设置 了C 盘给administrators权 限， 而 在AllUsers/Application Data目录下会出现 everyone 用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.4. ，这些文件都设置只允许访问 .guests 禁止访问四、打开相应的审核策略开始 - 程序 - 管理工具 - 本地安全策略 - 安全设置 - 本地策略 - 审核策略注 :windows2003 已经开启部分 .windows200

9、0 没有开启 . 可以根据实际情况来设置 .推荐的要审核的项目是：登录事件成功 失败账户登录事件成功 失败系统事件成功 失败策略更改成功 失败对象访问失败目录服务访问失败特权使用失败五、 IIS 的安装与配置安装过程 在控制面板里依次选择“添加或删除程序”的“添加 / 删除 Windows 组件”；双击“应用程序服务器”， 再双击“ Internet 信息服务 (IIS) ”，选中“万维网服务”（注：此选项下还可进一步作选项筛选，请根据自己需要选用，如下图所示），点确定即安装完成。 ( 一个方便的方法 : 选中其他的组件会自动选上)的配置WEB服务默认随系统启动，最初安装完成是只支持静态内容的

10、（即不能正常显示基于 ASP的网页内容），因此首先要做的就是打开其动态内容支持功能。依次选择“开始”“程序”“管理工具”“inter信息服务管理器”，在打开的IIS 管理窗口左面点“ web 服务扩展”；将鼠标所在的项“以及“ Active Server Pages”项启用（点允许）即可。右击网站 - 新建 - 网站 . 按向导操作输入网站描述：这里可以随便填. 一般为了方便查找 . 填写网站的域名网站 IP 地址：服务器只有一个IP 地址这里可以选 ( 全部未分配 ), 如果选了 IP. 在更换服务器 IP 时. 这里的 IP 也要进行更换 . 所以为方便 . 这里也不选 .网站 TCP端口

11、 ( 默认值 :80)(T)：: 默认为 80. 有特殊需要也可以更改为其他没有用的端口( 如 81). 但访问时要在域名端口号此网站的主机头（默认：无） ：服务器做虚拟主机或者服务器上有多个站点时。主机头填写该站点的域名。只有一个站点可以不填（注：主机头是唯一的。不可以和其他主机头重复）路径：单击浏览。找到网站程序所放的目录。允许下列权限：默认权限即可。这样一个站点就初步建好了。添加主机头：右击刚建的站点（）属性文档选项卡添加添加上默认的首页文件名：默认的首面文件通常有： 网站选项卡新建站点的一个基本设置在这里可能更改。选择高级：可以给网站添加多个域名。IP 地址：默认端口： 80主机头值：

12、需要添加的域名( 如： 注：添加的域名不可重复。更改 IIS 日志的路径右键单击“默认Web站点属性 - 网站 - 在启用日志记录下点击属性建议 :IIS 日志默认是放在 C:WINDOWSsystem32LogFiles 下. 服务器运行一段时间后 . 日志会特别大 . 造成 C盘空间不足 . 建议把路径改在其他盘符2、性能选项卡：对于做虚拟主机想限制各个站点带宽的。这项很有用。3、主目录选项卡：本地路径 - 浏览：网站程序的路径。配置选项选项卡：会话超时： session 的存活时间启用父路径： windows 默认没有勾选这个选项。在 asp 程序中使用“ ./ ”，请请复选框选中4、目

13、录安全性选卡如果你的网站访问需要用户名和密码。可以检查一下，是否启用了匿名访问，并检查一下上面的用户名： 如上图就是： IUSR_EDONG-FU5JINJ65这个用户对网站程序有没有访问的权限。5、IIS 设置进行备份有多种方法可以用来完成此项工作。在 Internet 信息服务管理器控制台（ IIS 插件）中所设置的属性和值都被储存在文件中，缺省情况下，这个文件位于“C:inetsrv”目录中。在 IIS中，你可以从内置的IIS 插件中来备份元数据。如果需要进行此工作，请选择桌面上的计算机图标然后单击右健。然后再选择“备份/ 恢复配置”。然后你就可以选择备份现有元数据设置或者恢复以前的版本

14、。与此相同的选项在 MetaEdit中也可找到。当你以这种方式保存了元数据时，你的备份将以.md0 文件的格式储存在 C:winntsystem32instrvmetaback文件夹中。当你执行备份时， 文件将使用你所指定的名称，如。如果你使用相同的文件名创建了多个备份，他们将使用数字逐渐递增的扩展名，如，等等。 在你的元数据严重损坏的情况下，你将不能启动 IIS 。此时，你也不能从 IIS 插件或 metaedit 中执行恢复操作。如果真的发生了类似情况，你就可以通过从备份文件夹中选用最合适的 .md0（ .md1 等等）元数据备份文件来替换。如果你的备份文件没有错误， IIS 将会立刻启动

15、。制作元数据的备份还有其它两个意义。你可以使用 xcopy，scopy 或其它复制程序来简单地复制文件。你应该先停止 Internet 服务，以保证你的元数据是最新的并且不在使用状态中。最后，我们还提供了两个脚本和它们位于Inetpub/IISSamples/sdk/admin（如果你在IIS上安装了IIS SDK ）文件夹中或在IISResource Kit/Utility/ADSI Admin Scripts文件夹（如果你安装了IIS Resource Kit）中。这些 .vbs 脚本使用了一个ADSI命令，它是专门为创建元数据备份而提供的。6、利用 WIS (Web Injection

16、Scanner)工具对整个网站进行SQL Injection脆弱性扫描.7、如果需要加装支持，的安装目录网站匿名用户一定要有读的权限。8、为了防止跨站浏览，建议每个网站，使用不同的来宾账号进行访问。设置方法：A、右击我的电脑 - 管理 - 本地用户和组 - 右击（新建用户 , 如：webuser，密码为：edonguser ）,设置为 guests 组。B、为您的网站目录添加相应的权限。 如您的网站目录在： D:hostsedong 。右击 edong 文件夹，找到安全选项卡，设置权限为：administrator 完全控制。System 完全控制，webuser除完全控制外其他权限都给。C、

17、打开 IIS 管理器 , 右击需要设置的网站属性选择“目录安全性”选项卡“身份验证和访问控制”编辑 - 启用匿名访问 - 用户名输入： webuser 密码输入： edonguser六 . Serv-U 的基本设置1. 建立 FTP服务器服务端(1) 、比如本机 IP 地址为“，已建立好域名“的相关 DNS记录。(2) 、打开Serv-U 管理器 . 如下图的“ Serv - U Administrator”，右击Domain（ NewDomain）。此向导可以帮你轻松地完成基本设置，因为建议使用它。直接选“ Next”（下一步）。如下图3) 、请随着安装向导按以下步骤来进行操作： Domai

18、n IP address （IP 地址）：输入“。 Domain name（域名）：输入“。(3)Domain Port number(端口 ): 默认为 21. 如果想改端口也可以选其他的.(4)Domain type : 默认选就行了 . 这样备份方便 . 只要把安装目录下的 : 文件 COPY一下就可以了 . Install as system server（安装成一个系统服务器吗） ：选“ Yes”。 Allow anonymous access （接受匿名登录吗）：选 NO.因为服务器不能允许匿名登录 Lock anonymous users in to their home dir

19、ectory （将用户锁定在刚才选定的主目录中吗）：即是否将上步的主目录设为用户的根目录；一般选“ Yes”。 Create named account （建立其他帐号吗）：此处询问是否建立普通登录用户帐号；一般选“ Yes”。 Account login name （用户登录名）：普通用户帐号名，比如输入“ edong”。 Password（密码）：设定用户密码。由于此处是用明文（而不是）显示所输入的密码，因此只输一次。 Home directory （主目录）：输入（或选择）此用户的主目录。 Lock anonymous users in to their home directory（将

20、用户锁定在主目录中吗） ：选“ Yes”。 Account admin privilege （帐号管理特权）：一般使用它的默认值“ No privilege ”（普通帐号）。最后选“ Finish ”（结束）即完成设置。如下图：(4) 、基本权限。比如在左边的面板中选中“ edong”用户，则在右边的面板中出现如下图的设置窗口。选“ Dir Access ”（目录存取权限） ，即可设置此用户在它的主目录（即“Path”）是否对文件拥有 “Read”（读）、Write（写）、“Append”（写和添加）、“Delete ”（删除）、“ Execute ”（执行） ；是否对目录拥有“ List ”

21、（显示文件和目录的列表）、“Create ”（建立新目录） 和“ Remove”（修改目录，包括删除，移动，更名）；及“ Inherit ” （以上权限是否包括它下面的目录树）等等。注 : “Execute ”（执行）不要选 . 会有很大的安全隐患 .2. Serv-U管理器A、“ Local Server”（本地服务器）属性1、Local Server （本地服务器）：此处可设置是否自动开启 FTP服务以及手动开启或停止 FTP服务等。2、License （许可证）：3、Settings （设置）： General/Max. speed ：可设置最大传输速率（ kb/s ）。 General

22、/Max. no. of users：可设置连接到本服务器的最多用户数。 General 的其他项目均与保持服务器的安全性有关。4、Activity （活动状态） Users（用户）：显示当前登录的用户 IP 地址等资料及当前工作状态； 建议选中“ Auto reload ”（自动刷新）。如果选中某个用户，单击右键，再选癒 ill User”，即可将它从服务器中踢出去。 Blocked IPs （被挡住的 IP ）：此处用来暂时禁止某些 IP 访问本系统。单击工具栏的“”即可增加即可增加被暂时禁止的 IP 地址及禁止登录的总时间（从增加之后开始计算）。列表中可以看见被禁止的 IP 地址及其对应

23、的计算机的完整的域名和离解禁尚有多少时间（以秒为单位）等等。在列表中单击右键即可以选择删除已禁止的IP 地址。 Session Log（系统日志）：记录所有登录（或试图登录）到本机的操作痕迹及错误信息等。B、“ Domains”（域名）属性1、（即选中的 FTP服务器名）：此处可修改相应域名、IP 地址及端口号等。2、Settings （设置）：及完全允许或禁止登录的IP 地址等。 General/Max no. of Users（最大用户数）：此处可以设置允许同时登录到本FTP服务器的最大用户数。 IP Access/Deny access （拒绝）：此处可设置仅仅拒绝登录到本 FTP服务器

24、的计算机的 IP 地址列表。 IP Access/Allow access （允许）：此处可设置仅仅允许登录到本 FTP 服务器的计算机的 IP 地址列表。 IP Access/Rule （规则）：此处可输入指定的 IP 地址或 IP 地址的范围。接受如“之类的单个IP 地址；接受如“之类的 IP 地址范围；接受如“之类的通配符；接受如“之类的单个字符的限制等多种格式。“Add”为添加，“ Remove”为删除。 Message（信息）：此处可改变一些提示性显示信息，如“ Signon messagefile ”（开始广播）、“ Server offline ”（服务器未工作）、“ No an

25、onymos access”（不接受匿名登录）等等。3、Activity（活动状态）： Users（用户）：显示登录到本服务器的用户及其状态； 建议选中“ Auto reload ”（自动刷新）。 Domain Log（系统日志）：记录所有登录（或试图登录）到本服务器的操作痕迹及错误信息等。C、 Serv-U 用户属性之“ Account ”（帐号）一、 Account （帐号）选项。如下图：二、各项说明和应用实例1、Disable account（禁用帐号）：如果选中它，则此帐号将无法使用。2、User name（用户名）：此处显示并可改变该用户的登录名3、Group(s) （组）：如果有建

26、立组，则此处可通过选择组来更多的目录。这些组中目录的属性由建立组时确定，用户在“ Dir Access ”中不能修改！4、Password（密码）：此项为“ <>”（加密）说明有密码，为保密，因此内容不予显示。如果为空白，则不需密码；如有输入任何密码均显示“<>”。5、Homedirectory（主目录）：此处原则上为用户登录后的主目录；实际用户登录的根目录将由“ General ”属性中的“ Lock user in home directory”来决定。6、Notes（备注）：此项用来标注一些说明性的文字。七、用 WebEasyMail 架构 Web邮件服务器1.

27、安装 .在下载源程序后 . 一路回车 . 安装没有什么难度2. Web 邮件服务器的配置与设置（1）WebEasyMail服务，如图所示，它的服务包括 DNS配置和启动或停止 WebEasyMail 服务程序。右击状态栏的 , 选择 - 服务 , DNS 的 IP 地址与服务器的 DNS IP 地址相同 . 如想修改. 选中修改复选框就可以进行修改 .（ 2）高级管理设置用户高级选项中， 可以启动用户自动清理功能， 规定 100 天未登陆系统， 禁用帐户； 100天帐户禁用，删除帐户。从而避免一些用户占用资源。 邮件高级选项中，可以启动邮件自动清理功能，规定移动超过 100 天的邮件至 Adm

28、in 等其他用户，删除所有超过 200 天的邮件。邮件监控功能，如果启动，可以抄送 Admin 等其他用户，但一般不作此设置。 Web高级选项中可以规定附件的大小，我们可以规定附件总长度为 5120K（ 5M）或更大。并且可以启动密码保护功能，设置休眠时间为 10 分钟。（ 3）备份在系统备份中，可以查看以前备份的详细内容，也可以删除以前的备份；备份时可选取立即备份或更新式备份备份以前所有内容， 也可设置以一天为基准的增量式备份或不备份在在事件查看中， 我们选取以时间命名的事件文件查看就可以看到如图所示的Web邮件服务器的活动事件记录。邮件服务器出问题 . 最主要的是查看活动日志 .（ 4）、系统设置用户管理我们可以设置如 edonguser的用户即日起帐户禁用或进行对此用户的修改、删除；有多个域 , 可以在域里面做选择。点图中的空白处增加帐户；选中 edonguser( 也可双击用户) 在高级中我们可以设置 POP3代理的接收服务器、端口号、用户名、密码以及该用户的多下载 POP3代理；也可设置该用户的邮件拒收、自动回复、自动转发功能以及其邮箱大小为 10M。默