外部信任关系
实验中域控的操作系统均为windows server 2008 R2 Enterprise。域和林的级别均为windows 2003,或者以上。
两个林,一个林根域为https://www.doczj.com/doc/7d10069963.html,,一个林根域为int.internal。https://www.doczj.com/doc/7d10069963.html, 域的DNS服务器FQDN为:https://www.doczj.com/doc/7d10069963.html,,IP为:192.168.1.10,DNS指向自己127.0.0.1。int.internal域的DNS服务器FQDN为:WINDC.int.internal。IP 为:192.168.1.100,DNS指向自己127.0.0.1或者192.168.1.100
建立https://www.doczj.com/doc/7d10069963.html,域信任int.internal域,即https://www.doczj.com/doc/7d10069963.html,中的资源可以共享给int.interanl域成员查看,即在https://www.doczj.com/doc/7d10069963.html,域的文件夹属性——安全选项中可以添加int.intnal域的成员,而Int.internal域文件夹属性——安全选项中不可以添加https://www.doczj.com/doc/7d10069963.html,域成员
在这里https://www.doczj.com/doc/7d10069963.html,是信任域
Int.internal是被信任域
建立域的信任关系,首先要使对方的DNS能解析本地的DNS,方法有很多,如在对方的DNS上建立本地域的辅助DNS,也可以使用条件转发器。在这里我们使用条件转发器。
在真实生产环境中两个林或域之间不能通信,分属不同的公司,对于两个林或域之间的通信,可请网络管理员设置路由信息。
一、建立DNS条件转发器
在这里DNS区域和AD目录集成在一起。
打开https://www.doczj.com/doc/7d10069963.html,域的一台域控,在管理工具中打开DNS管理器,在左侧找到“条件转发器”,右击新建条件转发器,在弹出的对话框中输入要转发解析的对方DNS域名,这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100,点击确定,条件转发器建立成功。真实环境中解析对方时间要长一些。如下图:
在int.internal域的DNS服务器上设置也如此步骤,在条件转发器上输入https://www.doczj.com/doc/7d10069963.html,域和DNS的IP:192.168.1.10,这里不再贴图。
二、建立信任
在https://www.doczj.com/doc/7d10069963.html,域的一台域控上打开“Active Directory域和信任关系”,右击“https://www.doczj.com/doc/7d10069963.html,”选择“属性”——“信任”选项卡,点击左下方的“新建信任”弹出“新建信任向导”对话框,如下图:
上图点击下一步,在出现对话框中输入要信任的域即被信任域int.internal,点击下一步,选择“外部信任”,外部信任是林外部的两个域之间创立的信任,在林内不可传递,也可称为快捷信任关系。点击下一步
因为我们的目标是int.internal域的成员可以在https://www.doczj.com/doc/7d10069963.html,域中得到身份验证,所以我们选择“单向:外传”(指定域为int.internal),(如果选择“双向”则两个域的成员均可以在对方域中得到身份验证,这与我们的目标不合,“单向:内传”则是要在int.internal域建立信任关系时选择此项),点击下一步,如下图:
在“只是这个域”指的是https://www.doczj.com/doc/7d10069963.html,这个域,如果选择“此域和指定域”再点击下一步,刚会要求输入指定域Int.internal,还要求有int.internal的具有管理员权限的用户和密码建立信任关系。在这里选择第一个“只是这个域”,因为我们还要在Int.internal域上建立信任关系。下一步,如下图:
全域性身份验证:举个例子,在https://www.doczj.com/doc/7d10069963.html,域上共享的文件夹aaa,在int.internal域内成员默认就有直接查看,读取权限,而不需要在aaa的属性安全里更改添加任何账户。如果要使int.internal成员对文件夹有更高的权限,则需要对aaa文件夹安全属性做添加具体的账户属性。
选择性身份验证:在https://www.doczj.com/doc/7d10069963.html,域上共享一个文件夹aaa,在int.internal 域成员默认是打不开的,没有任何权限,需要添加具体的账户信息。如果要进行访问遵循以下操作:
1.在信任域即https://www.doczj.com/doc/7d10069963.html,上打开”Active Dirctory用户和计算机”找要被信任域int.internal能够访问的那台服务器或计算机,比如https://www.doczj.com/doc/7d10069963.html,这台服务器。
2.右击https://www.doczj.com/doc/7d10069963.html,的属性,选择“安全”选项卡,在“组和用户名”点击“添加”,在“位置”中选择“int.internal”,在下面对像名中输入要访问这台服务器或计算机的Int.internal域成员,在弹出的对话框中输入int.internal 有权限的账户和密码,然后两次确定,回到“安全”选项卡。如下图
3.在“安全”选项卡中,定位到刚到的int.internal用户,在下面的权限中找到“允许身份验证”在后面的“允许”框中打“√”还可以选择其他权限。如下图
设置完以上的操作后,Int.internal的用户susan才可以访问
https://www.doczj.com/doc/7d10069963.html,这台服务器,对于具体的权限,可以https://www.doczj.com/doc/7d10069963.html,这台服务器的文件夹属性安全选项卡中再具体细化。要想Int.internal其他用户访问test 这台服务器,可重复操作,可以在int.internal域上建立一个全局安全组,将要访问test这台服务器的用户加入到这个组中集中管理。
在这里我们选择“全局性身份验证”,当然也可以选择“选择性身份验证”,这两种身份验证在信任关系建立起来后可以更改。如下图:选择后,点击下一步
信任密码:用来建立信任关系时验证的密码,当在Int.internal建立传入关系时,也将出现此对话框,两端的密码必须一致,否则信任关系建立不成功。如下图:
点击下一步,出现一个摘要,向导准备好创建信任。如建立错误,可点击上一步进行返回操作。如无错误,点击下一点,如下图:
信任创建完毕,成功创建信任关系,点击下一步
“确认传出信任”这里选择“否”,也可以选择“是”,选择否,我们将在int.internal手动做出信任关系。如下图,点击下一步
“确认传入信任”也选择否。提示要在另一方被创建后再确认这个信任,当另一方int.internal信任被创建后,这面会自动传入,不用再设置。这里选择“否”,点击下一步。如下图:
信任向导完成。信任关系成功。下面有警告,必须在另一个域中创建信任关系。如下图。
接下来我们登录Int.internal域的DC创建信任关系。
三、登录int.internal的域控windc.int.internal。(有些一样的设置省略解
释)
DNS的条件转发器,在这里不再贴图,如第一步。
打开“Active Directory域和信任关系”,展开,右击“int.internal”属性,选择“信任”选项卡。新建信任关系,步骤同上
“信任方向”要注意。这里要点击“单向:内传”了,因为在https://www.doczj.com/doc/7d10069963.html, 域上做的是“单向:外传”
信任密码:和上面输入的信任密码要一致:如下图
“确认传入信任”要选择“是,确认传入信任”,输入https://www.doczj.com/doc/7d10069963.html,具有管理员权限的账号和密码。输入完后,如果密码或权限不足,则会有提示。点下一步
完成创建信任关系
分别在两个域的域控上查看
至此两个域的信任关系创建完成,测试后,https://www.doczj.com/doc/7d10069963.html,域的资源可以共享给int.internal域的成员。而int.internal的资源不能共享给https://www.doczj.com/doc/7d10069963.html,域。实现了单向信任。
测试如下,在https://www.doczj.com/doc/7d10069963.html,域的一台服务器上共享一个文件夹,在属性安全选项卡中可以添加Int.internal成员。并可赋予其相应权限。
Windows域信任关系建立全攻略 操作环境:windows 2000的两个独立域https://www.doczj.com/doc/7d10069963.html, 与https://www.doczj.com/doc/7d10069963.html,。https://www.doczj.com/doc/7d10069963.html,的网段为192.168.0.x,https://www.doczj.com/doc/7d10069963.html, 域管理所在的IP为192.168.0.1,机器名为aa。 https://www.doczj.com/doc/7d10069963.html,的网段为192.168.3.x,https://www.doczj.com/doc/7d10069963.html,域管理所在的IP为192.168.3.1,机器名为bb。 两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系。 操作过程: 1、建立DNS。DNS必须使用的,而不能使用公网的,因为要对域进行解析。由于在https://www.doczj.com/doc/7d10069963.html,和https://www.doczj.com/doc/7d10069963.html, 上的步骤相同,故只以https://www.doczj.com/doc/7d10069963.html,为例。 在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。在其正向搜索区域里新建区域- Active Directory集成的区域,输入https://www.doczj.com/doc/7d10069963.html,,区域
文件就叫https://www.doczj.com/doc/7d10069963.html,.dns好了,然后完成。 右击新建的https://www.doczj.com/doc/7d10069963.html,,选择属性- 常规,把允许动态更新改变为是。 然后在正向搜索区域里新建区域- 标准辅助区域,输入https://www.doczj.com/doc/7d10069963.html,,IP地址输入192.168.3.1,然后完成。 右击新建的https://www.doczj.com/doc/7d10069963.html,,选择从主传输。 在反向搜索区域里新建区域- Directory集成的区
域,输入网络ID192.168.0,然后完成。 右击新建的192.168.0.x Subnet,选择属性- 常规,把允许动态更新改变为是。 现在https://www.doczj.com/doc/7d10069963.html,的DNS已经建立好了,https://www.doczj.com/doc/7d10069963.html,的也按此建立。 在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
信任关系 不同域之间要能互访,需要域之间存在信任关系。信任关系分为可传递信任和非可传递信任。 可传递信任:任何一个域被加入到域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性。 为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。信任关系分为单向和双向,如图所示。图中①是单向的信任关系,箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。图中②是双向的信任关系,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。 在域树中,父域和子域的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。 另一种可传递信任不是默认的,可以通过在不同林根域之间建立信任关系来实现,如P53图2-71。 在域之间建立信任关系时,注意信任传递带来的隐含信任,如图2-72。 非可传递信任: 非可传递信任的域之间必须通过手动创建信任,才能实现域间资源访问。可以创建的有: ●Server 2003/2008域与NT域 ●Server 2003/2008域与另一个林中的Server 2003/2008域(当两个林之间没有林信 任关系时) ●Server 2003/2008域与2000域 ●Active Directory域与Kerberos V5域
操作:为两个域创建信任关系(TrustRelationship.exe)。 在两域间创建信任关系,需要满足能对两域进行解析。所以首先在DNS服务器上进行区域的创建,并允许区域传送。参考P55设置信任关系。通过对域间资源访问进行验证。
Weblogic linux 下创建域步骤 1.cd /bea/wlserver_10.3/common/bin 进入目录 2.执行./config.sh进入配置界面。 选择1 3. 选择1
这一步直接继续 这一步是设置用户名密码和确认密码 这是选择模式我们选择2 (产品模式) 选择JDK版本我们选择第一个选择1
我们选择1 (YES) 这里选择1 (不配置安全存储) 这里指需要修改端口号就行 3
继续
继续 继续 继续 v 这里输入你要改的名字我这里随便写了一个1作为域名了
这里确认名字选择1 然后完成 修改 setDomainEnv.sh 在底端处JA V A_OPTIONS="${JA V A_OPTIONS}" export JA V A_OPTIONS 后面加上这两句话 WLS_USER=weblogic WLS_PW=weblogic 在startWeblogic.sh 中间添加这些参数 SA VE_JA V A_OPTIONS="${JA VA_OPTIONS}" SA VE_CLA S SPATH="${CLASSPATH}" 找到这个所在的位置在下面添参数 WLS_USER="weblogic" 域用户民 export WLS_USER WLS_PW="weblogic_note" 域密码 export WLS_PW MEM_ARGS="-Xms2048m -Xmx2048m -XX:MaxPermSize=1024m" export MEM_ARGS 在setDomainEnv.sh最前面添加此参数 JA V A_OPTIONS="${JA V A_OPTIONS} -Djava.security.egd=file:/dev/./urandom" export JA V A_OPTIONS WLS_USER=weblogic 域用户名 WLS_PW=weblogic_note 域密码
Weblogci管理服务配置方法 (第三稿)
目录 1概述 (3) 1.1本文预期读者: (3) 1.2本文作用: (3) 1.3名词解释: (3) 2基本测试环境 (4) 3管理服务与被管服务基本配置 (4) 3.1中间件安装 (4) 3.2配置管理服务器 (4) 3.3配置计算机 (4) 3.4配置NodeManager (5) 3.5配置本机受管服务 (6) 3.6配置远程受管服务 (6) 3.7配置“远程启动”选项卡 (6) 3.7.1设置类路径 (6) 3.7.2Java虚拟机内存设置 (7) 3.8受管服务的启动和停止 (7) 3.8.1控制台启动停止服务 (7) 3.8.2Weblogic脚本启动受管理服务 (8) 4久其CI部署相关配置 (8) 4.1配置连接池 (8) 4.2配置数据源 (8) 4.3发布应用程序 (8) 5其他 (8) 5.1多台计算机安装weblogic注意事项 (8) 5.2配置NodeManager常见问题 (9) 5.3设置远程启动选项卡常见问题 (10) 6后记 (10)
1概述 1.1本文预期读者: 本文读者必须有一定weblogic使用经验,对weblogic管理体系有一定了解。熟练掌握weblogic单domain配置方式。文中只对安装使用管理服务需要用到的特殊设置步骤进行说明。本文省略的地方请参考公司文档《久其CI3.0安装配置手册—Weblogic》。 1.2本文作用: 场景一: 对于某些IT内控比较严格的项目,项目组无法获得用户服务器密码。如果有需要重新启动中间件服务时项目组会非常被动。此时可以使用管理服务器来启动和停止受管理服务器上的应用服务。 场景二 在硬件资源比较充足的情况下我们可以在多台服务器上启动中间件来支撑我们的应用。此时使用管理服务可以统一部署升级应用,控制、监控各个服务的运行情况。场景三: 在单服务器32位操作系统环境下java内存最大只能使用2G。为了充分利用服务器资源我们可以启动多个服务支撑应用。多个服务如果都在单独的域中将给我们的应用部署升级,管理监控各个服务带来不便。此时我们可以使用管理服务对所有的服务进行统一管理。 场景四: 本文对weblogic管理服务进行了简单讲解,可作为学习weblogic集群的参考资料。 1.3名词解释: 域:英文名domain。“域”是指一组彼此相关的 WebLogic Server 资源,这些资源作为一个单元来管理。一个域包括一个或多个 WebLogic Server,另外还可能包括一个或多个WebLogic Server 群集。域是独立的管理单元。如果将应用程序部署在某个域中,则此应用
维护活动目录 维护活动目录 议程: 维护活动目录介绍 备份活动目录数据库 恢复活动目录数据库 一、维护活动目录介绍 二、备份活动目录数据库 1、活动目录数据库备份操作 为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。 不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。 系统状态组件组件描述 活动目录活动目录信息,只存在于DC的系统状态数据中 系统启动文件Windows server 2003操作系统启动时使用 com+类注册数据库类注册数据库是关于组件服务应用程序的数据库 注册表存储了该计算机的配置信息 SYSVOL有关组策略模板和日志命令的共享文件夹信息 认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息 2、备份活动目录数据库时的注意事项 注意事项如下: # 须具有备份权限。默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。 # 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。 # 在DC联机时执行活动目录备份。 3、恢复ad数据库 # 修改目录服务还原模式的administrator密码 # 执行常规恢复 # 执行授权恢复 (1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。 在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。 (2)修改目录服务还原模式的administrator密码 进入目录服务还原模式后,只有administrator帐号才可以登录。此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。而不是正常登录时的密码。 这个密码如果忘记怎么办? 2003平台支持对该密码的修改,在2000中就回天无力了 DEMO1:如何修改目录服务还原模式下的密码: 三、恢复活动目录的方法 1、常规恢复 利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动
第一章概要 WebLogic 配置文件(config.xml)包含了大量很直观的与性能有关的参数,能通过配置环境与应用程序得到很好的优化。基于系统的需要调整这些参数不仅能改善单个点的性能,而且能提高整个应用程序性能的可衡量性。 试着采用下列WebLogic配置方法,或许能使你的系统达到最佳状态: 一修改运行队列线程数的值。在WebLogic 中队列元素的线程数等于同时占用运行队列的应用程序的数目。当任务加入一个WebLogic 实例,它就被放到执行队列中,然后分配给任务一个线程来运行。线程消耗资源,因此要小心处理这个属性——增加不需要的值,会降低性能。 二,如果可能,使用自带的性能包(NativeIOEnabled=true)。 三,使用特定的应用程序执行队列。 四,使用JDBC连接池时,修改下列属性: 驱动名称:使用小的驱动或者jDriver。 初始容量:设为与最大容量相同的值。 最大容量:其值至少应与线程数相同。 五,把连接池的大小设为与执行队列的线程数相同。 六,设置缓冲。 七,为Servlet和JSP使用多个执行队列。 八,改变JSP默认的Java编译器,javac 比jikes或sj要慢。 第二章优化WebLogic 提要: 为WebLogic启动设置Java参数。 设置与性能有关的配置参数。 调整开发与产品模式默认值。 使用WebLogic“自有的IO”性能包。 优化默认执行队列线程。 优化连接缓存。 如何提高JDBC连接池的性能。 设置Java编译器。 使用WebLogic集群提高性能。 监视WebLogic域。 一、为WebLogic启动设置Java参数 只要启动WebLogic,就必须指定Java参数,简单来说,通过WebLogic.Server 域的命令行就可以完成,不过,由于这样启动的过程冗长并且易于出错,BEA 公
2.2 安装步骤如下: [zhuying@Test232 opt]$ ./server103_linux32.bin Extracting 0%.......................................................................................... ..........100% Unable to instantiate GUI, defaulting to console mode. <----------------------------------------- Oracle Installer - WebLogic Platform 10.3.0.0 -----------------------------------------> Welcome: -------- This installer will guide you through the installation of WebLogic Platform 10.3.0.0. Type "Next" or enter to proceed to the next prompt. If you want to change data entered previously, type "Previous". You may quit the installer at any time by typing "Exit". Enter [Exit][Next]>Next <----------------------------------------- Oracle Installer - WebLogic Platform 10.3.0.0 -----------------------------------------> Choose BEA Home Directory: -------------------------- "BEA Home" = [Enter new value or use default "/home/zhuying/bea"] Enter new BEA Home OR [Exit][Previous][Next]> /home/zhuying/opt/bea <----------------------------------------- Oracle Installer - WebLogic Platform 10.3.0.0 ----------------------------------------->
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
创建weblogic新域与配置Oracle连接池 一、创建一个新域 1.1.选择创建域服务器 以服务器192.168.165.14为例,用户crm01登录,进入目录:/weblogic/92/weblogic92/common/bin 使用ls命令查看bin目录下的文件,如图1.1.1所示: 图1.1.1 1.2 创建域命令 使用./congfig运行命令,如图1.2.1所示: 图1.2.1
该界面显示的1为创建一个新域,2为扩展一个已经存在的weblogic域 1.3.域资源配置 在命令行中选择输入“1”或者直接输入“Next”后点击回车进入Domain Source选择界面,如图:1.3.1 图 1.3.1 图示1为选择weblogic平台组件,2为选择已经存在的模板。 在提示符处输入“1”或者输入“Next”按回车进入Application Template选择界面,如图1.3.2所示: 图1.3.2 同样在提示符处输入“Next”进入用户配置,包括weblogic控制台登录用户名,密码,描述。如图1.3.3所示: 图1.3.3 图示1为修改用户名 图示2为修改用户密码 图示3为确认修改密码 图示4为修改描述
成功修改提交后显示如图1.3.4所示: 图1.3.4 修改完成后在提示符输入“Next”进入域模式配置Domain Mode Configuration 1.4 域模式配 域模式配置是对新建的域选择一个域的模式,模式如图1.4.1所示 图1.4.1 图示1为扩展模式,2为生产模式,默认选择1,输入Next进入下个配置项。 1.5 JDK的配置 JDK配置是选择服务器上装好的JDK版本和目录进行择,举例机器上为2,故选择2后回车,进入下个配置,如图1.5.1所示 图1.5.1 1.6 确认配置 该页面提示和选择的是是否需要修改已经配置好的模板,默认为否,如图1.6.1所示
域的定义 域英文叫DOMAIN 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。 域既是Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。 域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。 域在文件系统中,有时也称做“字段”,是指数据中不可再分的基本单元。一个域包含一个值。如学生的名字等。可以通过数据类型(如二进制、字符、字符串等)和长度(占用的字节数)两个属性对其进行描述。 域与工作组的关系 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。 如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST 备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在
weblogic创建domain域.txt 2008-02-21 15:55 bash-2.05# ls bsu utils.jar bash-2.05# cd.. bash: cd..: command not found bash-2.05# cd .. bash-2.05# cd weblogic81 bash-2.05# ls common javelin samples server uninstall workshop bash-2.05# cd server bash-2.05# ls 3rd_party_licenses.txt about_wls.html builder ext LICENSE.TXT bin copyright lib bash-2.05# cd bin bash-2.05# ' > ls > > > bash-2.05# pwd /usr/local/bea/weblogic81/server/bin bash-2.05# ls -l total 7830 -rwxr-xr-x 1 root other 5054 May 26 2006 ant -rwxr-xr-x 1 root other 171 May 26 2006 antRun -rwxr-xr-x 1 root other 1433 May 26 2006 antRun.pl -rwxr-xr-x 1 root other 2488 May 26 2006 complete-ant-cmd.pl -rwxr-xr-x 1 root other 1406 May 26 2006 cw_blueglobe.ico -rwxr-xr-x 1 root other 1406 May 26 2006 html.ico -rwxr-xr-x 1 root other 557056 May 26 2006 iisproxy128.dll drwxr-xr-x 2 root other 512 May 26 2006 international -rwxr-xr-x 1 root other 569344 May 26 2006 mod_wl128_20.so -rwxr-xr-x 1 root other 569344 May 26 2006 mod_wl_20.so drwxr-xr-x 2 root other 512 May 26 2006 oci817_8 drwxr-xr-x 2 root other 512 May 26 2006 oci901_8 drwxr-xr-x 2 root other 512 May 26 2006 oci920_8 -rwxr-xr-x 1 root other 548864 May 26 2006 proxy30128.dll -rwxr-xr-x 1 root other 548864 May 26 2006 proxy35128.dll -rwxr-xr-x 1 root other 548864 May 26 2006 proxy36128.dll -rwxr-xr-x 1 root other 548864 May 26 2006 proxy61128.dll
1Weblogic9.2 在linux下启动很慢 打开setDomainEnv.sh 增加-Djava.security.egd=file:/dev/zero 修改参数为 JAVA_OPTIONS="${JAVA_OPTIONS} -Djava.security.egd=file:/dev/zero" 2Windows x64 jrockit 启动3000M 报OutOfMemory https://www.doczj.com/doc/7d10069963.html,ng.OutOfMemoryError: class allocation, 153359080 loaded, 154140672 footprint JVM@check_alloc (src/jvm/model/classload/classalloc.c:118). 19416 bytes 通过修改启动内存,设置4G以上 3后台日志出现以下报错 User
linux字符界面创建weblogic域方法 〇、环境 操作系统:Redhat 5.5 Weblogic :英文版 8.1.6 Weblogic安装目录:/weblogic 一、域的建立 执行下面语句进入weblogic的bin目录: 1.cd /weblogic/weblogic81/common/bin/ 运行新建服务向导: 1../config.sh 出现如下图界面 默认是新建服务(1.Create a new WebLogic configuration),所以:直接回车(或者输入1,回车) 出现下图
因为是创建新域,所以选择Basic WebLogic Server Domain(基本Weblogic 服务域)。 图中默认就是选中的这项,直接回车,如果不默认,输入该项前的序号 3 然后回车。 接下图: 提示:Do you want to run the wizard in express mode?(是否进入快捷向导模式?) 因为在非快捷模式下才可以自定义端口号等配置,所以要对它说No了: 输入 2 ,回车接下图:
上图中可以设置服务名、监听地址、监听端口等等,输入相应序号进入相应设置。 提示:Enter option number to select(输入选项序号进行选择)首先我们设置Name(服务名) 输入 1 ,回车接下图: 提示:Enter value for "Name" (输入服务名) 输入你的服务的名称比如:testserver,回车 接下图:
再次到设置选择页面,可以看到Name后面的值已经变成了刚刚输入的testserver。 现在我们来设置端口,输入3,回车接下图: 默认端口号是7001,如果不改的话不用管,我们在这里改为9001。输入9001,回车接下图:
1、创建一个Weblogic Server域 本文假设你已经正确安装了这两个软件。值得注意的是在Weblogic Server8.1安装的时候,最后要你设置一个Server,你可以在安装的时候设置也可以在安装完了后从开始菜单 ——>程序——>Bea Weblogic Platform8.1——>Configuration Wizard来设置。 第一步:
选择“Create a new Weblogic confinguration”按next 下一步 选择Express选项,直接next 下一步
输入用户名,密码直接next 下一步 Production模式,然后选择SDK,直接next 下一步
create 将创建一个weblogic的应用域 done完成创建。 1、创建一个Weblogic 的应用(快速配置weblogic8.X的应用目录) 我们知道在weblogic7.x之前,安装完后weblogic会自动创建默认的应用目录
DefaultWebApp。如果没有特别的需要,就可以利用这个默认的应用目录布署Web应用程序或者J2EE系统了。而在weblogic8.x之后版本中,它不会自动创建默认的应用目录。所以我们需要使用Configuration Wizard来创建自己的应用目录,发布应用目录有两种方法,现分别介绍。 1.weblogic8.x安装 weblogic8.x有几个版本提供使用,我们使用了英文版的weblogic8.1。 2.回顾创建weblogic服务安装成功后,依次点击”开始”->”BEA WebLogic Platform 8.1”->”Configuration Wizard”,启动”BEA WebLogic Configuration Wizard”,选择”create a new weblogic configuration”,然后”next”,在”template”选择”base weblogic server domain”,然后”next”,没有特别的需要就不修改默认选择,然后”next”,在这个界面上输入用户名、密码和创建这个服务的描述(请记住这个用户密码它是启动这个服务和进入服务控制台的帐号),然后”next”,选择jdk 的版本,然后”next”,在这个界面你可以修改创建服务的目录和名称,然后按”create”开始创建。 3.创建应用目录创建应用目录有两种方式分别介绍如下(后面3.2的方法作为参考): 3.1 最简单的应用目录创建当weblogic服务创建成功后,再次打开“Configuration Wizard”,这次选择”extend and existing weblogic configuration(扩展weblogic配置)”,然后”next”,选择weblogic服务目录,然后”next”,在”Configuration Extensions”中勾选”DefaultWebApp”,然后以下取默认值一路”next”直到”import”就OK了。默认应用目录一般在D:\bea\user_projects\applications\mydomain\DefaultWebApp(注:d:为我PC机上安装weblogic的盘符,读者根据安装目录进行查找)。 配置方法如下:
建立林信任关系之前,要注意的事项 1 建立信任就是在建立两个不同域之间的通信桥梁,从域管理的角度来看,两个域需要各有一个拥有适当权限的用户,在各自域中分别做一些设置,以完成双方域之间信任关系的建立工作。其中信任域一方的管理员,需要为此信任关系建立一个传出信任 A信任B之间的单向信任来说,我们必须在A域建立一个传出信任,相对的也必须在B域中建立一个传入信任。 实验 建立林信任关系需要2个林 即DC1 域控制器-建立的是域 1 https://www.doczj.com/doc/7d10069963.html, IP 192.168.240.1, DNS 192.168.240.1 (例,请不要使用相同的) Dc2 域控制器建立的是域 2 https://www.doczj.com/doc/7d10069963.html, ,IP 192.168.240.3, DNS 192.168.240.3(例,请不要使用相同的) 这样就构建了2个林,并且使用2个不同的DNS 服务器 林信任关系 1 两个林之间需要通过DNS服务器来找到对方林根域的域控制器。 如https://www.doczj.com/doc/7d10069963.html, 与https://www.doczj.com/doc/7d10069963.html, 要建立林信任关系 必须确定在域https://www.doczj.com/doc/7d10069963.html,中可以通过DNS服务器找到域dc2.Com的域控制器 必须确定在域dc2.com中可以通过DNS服务器找到域dc.Com的域控制器 如果两个林根域使用同一台DNS服务器,也就是双方都有对方的区域,则双方可以通过DNS服务器找到对方的域控制器。 如果两个林根域使用不同的DNS服务器,则需要通过转发器来达到目的,或者新建一个辅助区域来实现目的。(本例使用不同的DNS 服务器) 2林信任关系必须确定两个林的林功能级别已经提升为Windowsserver2003 操作---打开Active Directory 域和信任关系 右击域选择属性
WebLogic 域配置策略 在本文的第一部分(第 8 期,卷 3 ,WLDJ )中,我曾向您详细介绍了可用于创建和配置域,以及经过评估的指南和模板选项的不同策略。在本文中,我使用了像 WLShell 、 WebLogic Scripting Tool 、 Silent Scripts 和 Ant 这样的工具来配置域。这些工具利用了简单的高级脚本语言。 注意:本文在很大程度上依赖于一些通用的步骤,比如第一部分中描述的域创建、数据库配置和检查域配置。 脚本语言 有很多问题与脚本语言的结构和语义有关。如何编写注释?如果有的话,什么是行分隔符?该语言支持哪些数据类型?该语言是否有变量和赋值?如何执行查询和导航?如何调用行为(即方法)?是否支持分支和循环?幸运的是,许多可选的脚本语言都可以用于域配置。让我们看一看这些语言。 WLShell 根据 WLShell 站点的说法,“ WLShell 是一种用于 WebLogic 的 shell 。” WLShell 使用一种非常简单的脚本语言来提供对 JMX Mbean 的访问,并提供一种熟悉的文件和目录导航模型,来导航 MBean 。 WLShell 的安装非常简单。下载正确的安装程序并执行之。遵照安装程序的步骤,完成安装。 WLShell 脚本语言支持单行注释。注释字符是散列符号( # )。以 # 开始的一切内容都被注释掉了。没有特殊的行结束符号。回显命令是 print 或者 echo 。 WLShell 使用熟悉的目录和文件概念来导航 WebLogic Server 实例, MBean 对应于目录,而 MBean 的属性对应于文件。因此,导航是通过像 cd 和 ls 这样的可识别命令来完成的。用于创建一个 MBean 的命令是 md ,而用于删除一个对象的命令是 rd 。例如,要创建一个名为 semJDBCConnectionPool 的连接池,可以执行下面的命令: md /JDBCConnectionP oo l/semJDBCConnectionP oo l 如果名称包含正斜杠怎么办?可以通过使用一个另外的正斜杠对这个正斜杠进行转义。例如,要创建一个名为 jdbc/semJDBCDataSource 的数据源,可以执行下面的命令: md /JDBCTxDataSource/jdbc//semJDBCDataSource 设置一个对象的变量属性可以使用 set 命令来完成。要设置一个 boolean 类型的变量,需要调用 set variable-name true-or-false 。例如,要把 StdoutDebugEnabled 变量设置为 true ,可以调用下面的命令: set StdoutDebugEnabled true 要设置一个 integer 类型的变量,需要调用 set variable-name integer-value 。例如,要把StdoutSeverityLevel 变量的值设置为 64 ,可以调用下面的命令: set StdoutSeverityLevel 64 要设置一个 string 类型的变量,需要调用 set variable-name "string-value." 。例如,要把 URL 设置为 jdbc:pointbase:server://localhost:9093/workshop ,可以调用下面的命令: set URL "jdbc:pointbase:server://localhost:9093/workshop" 设置原始类型的变量很容易,但是如何设置 java.util.Properties 类型的变量呢?要设置 java.util.Properties 类型的变量,需要使用特殊的语法。调用 set variable-name (java.util.Properties) "name=value ,各个 name=value 对之间由分号隔开。例如,要设置连接池的属性,可以调用下面的命令: set Properties (java.util.Properties) "user=weblogic;databaseName=jdbc:pointbase:server://localhost:9093/semdb" 至此,我已分析了如何设置 boolean 、 int 、 String 和 Properties 类型的变量。那么如何设置另一种 MBean 类型的变量呢?只要调用 set variable-name path-to-the-mbean 即可。例如,要设置 JMS JDBC 存储器的连接池属性,可以调用下面的命令: set ConnectionP oo l /JDBCConnectionP oo l/semJDBCConnectionP oo l 通过执行 ls 命令, WLShell 不仅列出了可以获取或设置的属性,而且还列出了可以调用的操作。如何执行一项操作呢?需要使用一个叫做 invoke 的特殊命令。 Invoke 命令的语法是: invoke method-name parameter-list-separated-by-space 。例如,要把连接池部署到服务器,可以调用下面的命令:
外部信任关系 实验中域控的操作系统均为windows server 2008 R2 Enterprise。域和林的级别均为windows 2003,或者以上。 两个林,一个林根域为https://www.doczj.com/doc/7d10069963.html,,一个林根域为int.internal。https://www.doczj.com/doc/7d10069963.html, 域的DNS服务器FQDN为:https://www.doczj.com/doc/7d10069963.html,,IP为:192.168.1.10,DNS指向自己127.0.0.1。int.internal域的DNS服务器FQDN为:WINDC.int.internal。IP 为:192.168.1.100,DNS指向自己127.0.0.1或者192.168.1.100 建立https://www.doczj.com/doc/7d10069963.html,域信任int.internal域,即https://www.doczj.com/doc/7d10069963.html,中的资源可以共享给int.interanl域成员查看,即在https://www.doczj.com/doc/7d10069963.html,域的文件夹属性——安全选项中可以添加int.intnal域的成员,而Int.internal域文件夹属性——安全选项中不可以添加https://www.doczj.com/doc/7d10069963.html,域成员 在这里https://www.doczj.com/doc/7d10069963.html,是信任域 Int.internal是被信任域 建立域的信任关系,首先要使对方的DNS能解析本地的DNS,方法有很多,如在对方的DNS上建立本地域的辅助DNS,也可以使用条件转发器。在这里我们使用条件转发器。 在真实生产环境中两个林或域之间不能通信,分属不同的公司,对于两个林或域之间的通信,可请网络管理员设置路由信息。 一、建立DNS条件转发器 在这里DNS区域和AD目录集成在一起。 打开https://www.doczj.com/doc/7d10069963.html,域的一台域控,在管理工具中打开DNS管理器,在左侧找到“条件转发器”,右击新建条件转发器,在弹出的对话框中输入要转发解析的对方DNS域名,这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100,点击确定,条件转发器建立成功。真实环境中解析对方时间要长一些。如下图: