Windows服務器管理和維護.ppt

《Windows服務器管理和維護.ppt》由會員分享，可在線閱讀，更多相關(guān)《Windows服務器管理和維護.ppt（70頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、服務器管理和維護,,2011年11月,,服務器管理和維護,一、服務器維護操作規(guī)范 二、服務器上線前的準備工作 三、磁盤管理 四、性能監(jiān)視 五、IIS的管理及維護 六、備份和還原,一、服務器維護操作規(guī)范,服務器維護要求,維護應滿足的條件 重裝服務器的要求 服務器上禁止的操作 安全檢查要求,維護應滿足的條件,禁止空口令、弱口令、未打補丁的服務器接入網(wǎng)絡 服務器口令只能由有權(quán)限訪問的人員掌握 禁止在網(wǎng)吧等公共環(huán)境登錄服務器,重裝服務器的要求,重裝服務器的情況 關(guān)機超過6周 關(guān)機期間發(fā)布了重大漏洞的補丁 服務器感染木馬、病毒、蠕蟲 服務器被入侵,服務器上禁止的操作,不允許安裝程序開發(fā)環(huán)境或開發(fā)調(diào)試程序

2、 不允許使用IE瀏覽外部網(wǎng)站 不允許收發(fā)EMAIL 不允許在服務器上玩游戲,安全檢查要求,新裝服務器必須符合安全規(guī)范的要求 必須經(jīng)過安全部的安全檢查 業(yè)務應用程序應在通過檢查后安裝,口令使用規(guī)范,保證口令的強度 口令長度不小于12位 口令應包含大小寫字母、數(shù)字、特殊字符 不能使用容易記憶的密碼 不能使用姓名、電話、生日等作為密碼 一般口令應三個月更改一次 服務器發(fā)生入侵事件后，采用相同口令的服務器組應立即更改口令 員工離職或服務器歸屬發(fā)生變化，應及時更改密碼,系統(tǒng)的授權(quán),長期授權(quán)：長期對服務器有操作權(quán)限 短期授權(quán)：臨時分配的權(quán)限 授權(quán)方式：提供帳號和口令 不允許對非本公司人員進行長期授權(quán) 短期

3、授權(quán)不超過三周 服務器負責人應有短期授權(quán)的記錄,網(wǎng)絡訪問控制,使用iptables 、IPSEC等手段 遵循最小特權(quán)原則 采用“不被允許的就是被禁止的”網(wǎng)絡訪問控制策略,服務器維護十大鐵律,口令必須大于12位，符合規(guī)定的復雜度要求 不同服務器不能重復使用同一口令 口令至少三個月更改一次 必須啟用IPSEC/iptables，不得停用 符合條件的必須安裝winchk和Octopod等系統(tǒng) 補丁發(fā)布后，必須在規(guī)定時間重啟服務器 不能在服務器上收發(fā)郵件、使用IE瀏覽無關(guān)的網(wǎng)站 新的應用安裝前要通知安全部進行漏洞跟蹤 新開設(shè)對外服務和后臺管理不得使用同一端口 系統(tǒng)上線前，必須確保備份策略有效并正常執(zhí)行

4、,二、服務器上線前的準備工作,服務器上線前的準備工作,根據(jù)項目需求對服務器硬盤進行分區(qū) 分區(qū)方式 各分區(qū)大小 將附件(web2003sec.exe)上傳至服務器D盤根目錄下 執(zhí)行web2003sec.exe，路徑設(shè)置為D盤根目錄 執(zhí)行解壓目錄中的sec.bat，待半自動操作完畢后，再執(zhí)行全手動操作，最后刪除d:web2003sec目錄 將服務器提交給網(wǎng)絡安全部進行安全檢查,SEC.bat操作流程說明,修改d:web2003sec2003ipcIpSecurity.ini TCP 23=NONE 5631=61.172.247.100;61.172.247.98;61.172.241.98;19

5、2.168.1.10/255.255.255.0 UDP 5632=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.255.0 69=NONE Important：應用Ipsecurity前必須仔細檢查配置是否正確,Ipsecurity案例,某個陽光明媚的午后，項目組聯(lián)系johnny ，要求增加WEB服務器10.8.0.9訪問數(shù)據(jù)庫服務器10.8.0.10的1433端口的權(quán)限。Johnny打開數(shù)據(jù)庫服務器上的ipsecurity.ini文件，看到1433端口已經(jīng)配置了允許部分服務器的訪問權(quán)限，修改ipsecurit

6、y對johnny來說已經(jīng)駕輕就熟，他立即對文件做了修改，修改后的部分內(nèi)容如下： TCP 1433=10.8.0.9,10.8.0.13,10.8.0.11 應用該策略后，本來正常的2個網(wǎng)站都無法打開 問題出在哪兒呢？,SEC.bat操作流程說明,應用Ipsec策略 開啟添加/刪除WINDOWS組件控制面板 提示是否下載Serv-U 6.3.0.1 安裝包 自動用記事本打開Serv-U 6.3.0.1 許可證文本文件 提示是否安裝winchk安全工具包 自動彈出SQL Server客戶端網(wǎng)絡實用配置選項 自動創(chuàng)建IIS日志記錄文件夾 自動創(chuàng)建WEB默認站點文件夾 自動創(chuàng)建Serv-U日志記錄文件

7、夾 自動創(chuàng)建和拷貝IPSEC工具包 自動創(chuàng)建和拷貝數(shù)據(jù)備份工具包 自動創(chuàng)建和拷貝IIS站點備份上傳工具包,自動刪除匿名終端用戶 提示是否安裝WINRAR 3.5程序包 自動導入關(guān)閉共享設(shè)置注冊表 自動導入本地安全設(shè)置注冊表 自動安裝OCTOPOD客戶端程序 自動開啟服務器本地安全策略控制面板 自動刪除系統(tǒng)默認共享設(shè)置 自動關(guān)閉非必用系統(tǒng)服務 自動刪除前期操作工具包,全手動操作流程說明,設(shè)置網(wǎng)卡屬性，設(shè)置DNS 調(diào)整自動更新，數(shù)據(jù)執(zhí)行保護（DEP），關(guān)閉遠程桌面 確認Pcanywhere設(shè)置是否正確 設(shè)置IIS日志記錄路徑 設(shè)置IIS映射 啟用IIS父路徑 OCTOPOD中新增服務器 OCTOP

8、OD探測 時間同步，安裝GINA，開啟遠程日志收集，修改管理員帳號名，修改管理員密碼，安裝遠程桌面(I,II,III期)，安裝Netsnmp 服務器重啟 服務器補丁檢查 提交給網(wǎng)絡安全部安全檢查,服務器前期操作視頻,SEC.bat操作流程說明,cd d:web2003sec2003ipc 進入d:web2003sec2003ipc子目錄 d:web2003sec2003ipcipsecurity.exe 運行ipsec配置程序，根據(jù)ipsecurity.ini的配置自動生成ipsec策略 cd .. 返回上一級目錄，當前目錄為d:web2003sec rundll32.exe shell32.

9、dll,Control_RunDLL appwiz.cpl,,2 運行 添加/刪除組件 explorer ftp://down:down61.172.252.28/ServUSetup1.exe 下載Serv-U notepad d:web2003seckey.txt 打開Serv-U注冊碼文件,SEC.bat操作流程說明,wrar350sc.exe 安裝WinRAR regedit /s stopshare.reg 導入關(guān)閉共享的注冊表文件 regedit /s anquan.reg 導入安全策略的注冊表文件 sshdnew.exe 安裝OCTOPOD copy .chelue.inf %S

10、ystemRoot%securitytemplates!chelue.inf 復制本地安全策略模板 %SystemRoot%system32secpol.msc /s 打開 本地安全策略,SEC.bat操作流程說明,net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete net share g$ /delete net share admin$ /delete net share out /delete 刪除默認共享 net stop dnscache net stop Remote

11、Registry net stop Spooler net stop messenger net stop LmHosts net stop WinHttpAutoProxySvc net stop Dhcp net stop ipfiltermon net stop seclogon 停止不必要的服務,SEC.bat操作流程說明,rmdir /s %systemroot%system32inetsrviisadmpwd /q rmdir /s %systemroot%system32inetsrviisadmin /q rmdir /s c:inetpub /q 刪除默認IIS目錄 del

12、d:WEB2003sec.exe /q rmdir /s d:/WEB2003sec /q rmdir /s d:/WEB2003sec /q 刪除前期安裝包,三、 磁盤管理,基本磁盤和動態(tài)磁盤,基本磁盤（Basic Disk）是經(jīng)常使用的磁盤類型，在默認安裝情況下，系統(tǒng)就使用基本磁盤。基本磁盤通過分區(qū)（Partition）管理磁盤空間，分區(qū)可以包含主分區(qū)和擴展分區(qū)，而在擴展分區(qū)中又可以劃分出一個或多個邏輯分區(qū)，通過這樣的方式組織磁盤資源，而物理硬盤上沒有劃分為分區(qū)的空間是不能使用的。 動態(tài)磁盤是在Windows 2000 中開始引入的一種磁盤管理方式，利用動態(tài)磁盤可以實現(xiàn)很多基本磁盤不能或不

13、容易實現(xiàn)的功能。在動態(tài)磁盤上，不使用分區(qū)劃分容量，而是使用卷（Volume）來描述動態(tài)磁盤上的每一個空間劃分。與分區(qū)的作用相同，卷也要賦予一個盤符，并且也要經(jīng)過格式化之后才能使用,磁盤分區(qū)方式,主分區(qū) 擴展分區(qū) 邏輯驅(qū)動器（邏輯分區(qū)）,磁盤分區(qū)方式,一個硬盤可以有一個主分區(qū)，一個擴展分區(qū)，也可以只有一個主分區(qū)沒有擴展分區(qū)。邏輯分區(qū)可以若干。 硬盤的容量主分區(qū)的容量擴展分區(qū)的容量 擴展分區(qū)的容量各個邏輯驅(qū)動器（邏輯分區(qū)）的容量之和 邏輯分區(qū)只能從擴展分區(qū)上操作,磁盤陣列卷,磁盤陣列卷：RAID(Redudant Array of Indepandent Disks,獨立磁盤冗余陣列) 是為防止硬

14、盤故障而導致數(shù)據(jù)丟失,采用一組廉價磁盤構(gòu)成一個獨立的存儲設(shè)備使用.RAID保護數(shù)據(jù)的主要方法就是數(shù)據(jù)冗余存儲,將數(shù)據(jù)同時保存到多個硬盤上,提高數(shù)據(jù)的可用性.RAID技術(shù)分成多種等級,每種針對不同的應用需求.實現(xiàn)形式有采用硬件完成，將RAID集成在服務器上,也可由軟件實現(xiàn)。磁盤陣列從RAID0RAID6共分成7種基本級別。 比較常用的為RAID0 RAID1 RAID1+0 RAID5,動態(tài)磁盤卷的五種類型,簡單卷 Simple Volume 跨區(qū)卷 Spanned Volume 鏡像卷 Mirrored Volume 帶區(qū)卷 Striped Volume 帶奇偶校驗的帶區(qū)卷 RAID-5 Vo

15、lume,簡單卷,簡單卷是物理磁盤的一部分，但它工作時就好像是物理上的一個獨立單元。簡單卷是相當于 Windows NT 4.0 及更早版本中的主分區(qū)的動態(tài)存儲。當您只有一個動態(tài)磁盤時，簡單卷是您可以創(chuàng)建的唯一卷。通過將卷擴展到相同或不同磁盤上的未分配空間上可以增加現(xiàn)有簡單卷的大小。,跨區(qū)卷,可以將來自多個硬盤（最少2個，最多32個）中的空間置于一個跨區(qū)卷中，用戶在使用的時候感覺不到是在使用多個硬盤。但向跨區(qū)卷中寫入數(shù)據(jù)必須先將同一跨區(qū)卷中的第一個硬盤中的空間寫滿，才能再向同一個跨區(qū)卷中的下一個磁盤空間中寫入數(shù)據(jù)，每塊硬盤用來組成跨區(qū)卷的空間不必相同，圖4-2 為跨區(qū)卷示意圖。,帶區(qū)卷,可以將

16、來自多個硬盤（最少2個，最多32個）中的相同空間組合成一個卷。向帶區(qū)卷中寫入數(shù)據(jù)時，數(shù)據(jù)按照64KB分成一塊，這些大小為64KB的數(shù)據(jù)塊被分散存放于組成帶區(qū)卷的各個硬盤空間中。該卷具有很高的文件讀寫效率，但不支持容錯功能。若某個成員發(fā)生故障，則整個帶區(qū)卷的數(shù)據(jù)會丟失。帶區(qū)卷中的成員，要求其容量必須相同，并且來自不同的物理硬盤。帶區(qū)卷示意圖如圖4-3 所示。,鏡像卷,是將同一份數(shù)據(jù)做兩個相同的拷貝，并且每一份拷貝存放在不同的硬盤中。當向其中一個卷作修改（寫入或刪除）時，另一個卷也完成相同的操作。當一個硬盤出故障時，仍可從另一個硬盤中讀取數(shù)據(jù)，因而有很好的容錯能力。鏡像卷可讀性能好，但是磁盤利用率

17、很低（50%）。圖4-4所示為鏡像卷示意圖。,RAID-5卷,RAID-5是一種容錯卷，并且數(shù)據(jù)和奇偶校驗值在三個或更多的物理磁盤上呈間歇的帶區(qū)分布如果物理磁盤的某一部分出現(xiàn)故障，則可在其余的數(shù)據(jù)和奇偶檢驗值基礎(chǔ)上重新創(chuàng)建出現(xiàn)故障的那部分數(shù)據(jù)在大多數(shù)活動由讀數(shù)據(jù)組成的計算機環(huán)境中，RAID-5卷是解決數(shù)據(jù)冗余的一個很好的方案。,卷與分區(qū)的主要區(qū)別,更改磁盤容量方式不同 卷：在不重新啟動計算機的情況下可更改磁盤容量大小，而且不會丟失數(shù)據(jù)。 分區(qū)：一旦創(chuàng)建，就無法更改容量大小，除非借助于特殊的磁盤工具軟件，如PQMagic等 磁盤空間的限制大小不同 卷：可被擴展到磁盤中包括不連續(xù)的磁盤空間，還可以

18、創(chuàng)建跨磁盤的卷集，將幾個磁盤合為一個大卷集 分區(qū)：必須是同一磁盤上的連續(xù)的空間才可分為一個區(qū)，分區(qū)最大的容量也就是磁盤的容量,卷與分區(qū)的主要區(qū)別,卷或分區(qū)個數(shù)不同 卷：在一個磁盤上可創(chuàng)建的卷集個數(shù)沒有限制 分區(qū)：一個磁盤上只能分最多四個區(qū) 磁盤配置信息存放位置不同 卷：磁盤配置信息是存放在磁盤上的，如果是RAID容錯系統(tǒng)會被復制到其他動態(tài)磁盤上，可以移動到其他計算機上繼續(xù)使用 分區(qū)：如果使用硬件RAID系統(tǒng)，相關(guān)信息保存在RAID卡中，RAID磁盤移動到其他計算機上會丟失信息,從基本磁盤轉(zhuǎn)換為動態(tài)磁盤,安裝好Windows 2003之后，可以將基本磁盤轉(zhuǎn)換到動態(tài)磁盤。根據(jù)原有磁盤上的分區(qū)類型，

19、在轉(zhuǎn)換到動態(tài)磁盤的時候，會轉(zhuǎn)化為不同的動態(tài)磁盤卷，同時磁盤上的數(shù)據(jù)不會丟失。,四、Windows性能監(jiān)視,,使用事件查看器維護系統(tǒng)日志 使用“任務管理器”監(jiān)視系統(tǒng)資源 使用“性能監(jiān)視器”監(jiān)視系統(tǒng)性能 使用警報 優(yōu)化性能,日志是進行系統(tǒng)分析的重要手段 維護日志 系統(tǒng)日志、應用日志、安全日志 應用訪問日志 Web日志、Email日志、FTP日志等 服務器要有詳細的記錄維護情況的日志 與維護有關(guān)的日志要保存3個月以上 定期查看日志，發(fā)異常要及時報告,使用事件查看器維護系統(tǒng)日志,使用事件查看器維護系統(tǒng)日志,通過條件篩選關(guān)注特定的日志內(nèi)容,使用事件查看器維護系統(tǒng)日志,使用事件查看器維護系統(tǒng)日志,監(jiān)視程序

20、 監(jiān)視進程 監(jiān)視性能,使用“任務管理器”監(jiān)視系統(tǒng)資源,在“系統(tǒng)監(jiān)視器”中，對象是計算機系統(tǒng)的主要組件或子系統(tǒng) 實例是相同類型的多個對象 計數(shù)器： 從對象的不同方面收集數(shù)據(jù) 在對象上不停地收集數(shù)據(jù) 跟蹤所有實例的統(tǒng)計數(shù)據(jù) 可以在“系統(tǒng)監(jiān)視器”中指定顯示哪些計數(shù)器,使用“系統(tǒng)監(jiān)視器”監(jiān)視應用性能,優(yōu)化性能,性能優(yōu)化過程 檢查內(nèi)存性能 檢查處理器性能 檢查磁盤性能 檢查網(wǎng)絡性能,,,標識不可接受的性能區(qū)域,,,,采取糾正操作,分析監(jiān)視數(shù)據(jù),,,性能優(yōu)化過程,建立基線來標識趨勢 使用計數(shù)器檢查內(nèi)存 監(jiān)視每秒的頁面數(shù)目 監(jiān)視 Available Bytes 檢查分頁文件 頻繁分頁表明了內(nèi)存不足 檢查分頁

21、文件大小 使用計數(shù)器監(jiān)視分頁文件大小,檢查內(nèi)存性能,使用計數(shù)器檢查處理器性能 檢查工作站的使用值 使用值高表明系統(tǒng)正在有效處理較重的工作負荷 收集更多的數(shù)據(jù) 檢查服務器的使用值 使用值較高服務器將無法承受 使用值較高說明產(chǎn)生了瓶頸,檢查處理器性能,,監(jiān)視 PhysicalDisk 和 LogicalDisk 對象 使用計數(shù)器檢查磁盤性能： 報告邏輯卷標上未分配磁盤空間占總可用空間的百分比 度量 I/O 操作 表明數(shù)據(jù)移動的速度 表明按字節(jié)傳輸數(shù)據(jù)的速度 表明每秒完成的讀寫次數(shù),檢查磁盤性能,檢查網(wǎng)絡性能,使用性能監(jiān)視器： 使用性能監(jiān)視器能夠監(jiān)視服務器上網(wǎng)絡對象的性能 使用計數(shù)器檢查成員服務器的

22、網(wǎng)絡活動，包括輸出數(shù)據(jù)包隊列的長度和溢出 使用網(wǎng)絡監(jiān)視器： 使用網(wǎng)絡監(jiān)視器可以監(jiān)視網(wǎng)絡數(shù)據(jù)流 使用 “網(wǎng)絡監(jiān)視器”驅(qū)動程序和“網(wǎng)絡監(jiān)視器”工具,五、 IIS的管理及維護,S安裝的注意事項,盡可能不安裝不需要IIS組件，能較大程度的保證IIS的安全 一個基本的web站點，通常只需要3個組件就能正常工作 刪除原有的默認站點 手工刪除如下目錄： C:inetpub C:WINNTsystem32inetsrviisadmin C:WINNTsystem32inetsrviisadmpwd,網(wǎng)站屬性,在【網(wǎng)站】標簽中，可以對網(wǎng)站的一般屬性進行設(shè)置 網(wǎng)站標識 IP 地址 TCP 端口 SSL 端口 高級

23、,網(wǎng)站屬性,2、連接 無限 限制到 連接超時 啟用保持 HTTP 激活 3、啟用日志記錄 D:LogFiles,性能屬性,在性能標簽中，可以對網(wǎng)絡總帶寬和Web服務連接的總數(shù)進行限制，這樣會有利于網(wǎng)絡連接和Web服務器性能的穩(wěn)定。為了限制帶寬，IIS將安裝數(shù)據(jù)包計劃程序。默認的最大帶寬為1024K，連接數(shù)為1000個。,主目錄屬性,主目錄的位置可以有三種來源：計算機上的目錄、另一計算機上的共享位置、重定向到 URL。對于前兩種來說，其設(shè)置基本相同，都要進行權(quán)限和應用程序的設(shè)置。 1、本地路徑 腳本資源訪問 讀取 寫入 目錄瀏覽 記錄訪問 索引資源,應用程序設(shè)置,無 純腳本 腳本和可執(zhí)行程序 【

24、應用程序設(shè)置 】中的【應用程序配置】有三種設(shè)置：映射、選項、調(diào)試。,文檔屬性,1、啟用默認文檔 所謂默認文檔就是當 瀏覽器請求不包括頁 面名稱時顯示的文檔， 當瀏覽Web站點時會 自動連接到主頁上。 用戶可以選擇啟用或 不啟用。 2、啟用文檔頁腳,重定向到 URL,當選中【重定向到 URL】后，在其中輸入URL地址即可。另外，用戶還可選擇將客戶端重定向到輸入URL地址還是該地址下的目錄，并可以選擇是否對該站點資源進行永久重定向。,目錄安全性屬性,目錄安全性屬性中包括【身份驗證和訪問控制】、【IP地址及域名限制】、【安全通信】三個屬性頁。,身份驗證和訪問方法,啟用匿名訪問 集成Windows身份

25、驗證 摘要式身份驗證 基本身份驗證 .NET Passport身份驗證 IP地址及域名限制 安全通信,IIS的安全配置,刪除默認目錄（C:inetpub、C:WINNTsystem32inetsrviisadmin、C:WINNTsystem32inetsrviisadmpwd） 刪除默認站點 刪除危險的IIS組件 刪除不必要的應用程序映射 （保留.asa .aspx .ascx.ashx.asmx.asp .config .cs） 設(shè)置IIS日志記錄路徑（d:logfiles） IIS管理器網(wǎng)站右鍵點擊屬性活動日志格式（屬性）日志文件目錄設(shè)置為 設(shè)置IIS映射 IIS管理器網(wǎng)站右鍵點擊屬

26、性主目錄配置映射應用程序擴展保留下列映射，除此以外均刪除（.asa .aspx .ascx.ashx.asmx.asp .config .cs）,網(wǎng)站安全管理需要注意的問題,安裝補丁后服務器未及時重啟 各類口令設(shè)置過于簡單 前臺web與后臺DB使用同一口令 Web與后臺管理使用了同一端口 后臺管理沒有IP限制 臨時文件*.bak文件沒有刪除 代碼中對用戶輸入過濾不嚴格 使用SA帳號連接數(shù)據(jù)庫 使用存在漏洞的應用軟件,六、備份與還原,備份的基本概念和類型,備份的功能 所有備份的目的都是要確保丟失的數(shù)據(jù)能夠被有效地恢復。經(jīng)常在服務器硬盤或者客戶機硬盤上進行數(shù)據(jù)備份，可以防止由于磁盤故障、電力不

27、足、病毒感染以及發(fā)生其他事故時造成的數(shù)據(jù)丟失。如果數(shù)據(jù)已經(jīng)丟失，以前曾經(jīng)作過備份，就可以及時恢復這些丟失的數(shù)據(jù)，保證業(yè)務不受影響。 備份的類型 （1）正常備份 （2）復制備份 （3）差異備份 （4）增量備份 （5）定期備份,正常備份是將選定的文件都備份下來，并把每一個文件都標記為已備份（換句話說就是要設(shè)置檔案文件的位）。 復制備份是備份選定的所有文件，但不對正在備份的每個文件做標記，也就是說不設(shè)置檔案文件的位。 差異備份是備份自最后一次正常備份以來創(chuàng)建或經(jīng)過修改的文件。 增量備份是只備份最后一次正常備份或增量備份以來又創(chuàng)建或修改的文件。（備份的數(shù)據(jù)很少） 定期備份是把選定的已經(jīng)修改的所有文件按事先安排的日期進行定期復制。,備份數(shù)據(jù),制定備份策略 1.決定備份哪些文件和文件夾 2.決定備份間隔 3.決定備份介質(zhì)類型 4.決定是采用網(wǎng)絡備份還是本地備份 5.決定備份類型的組合,