Windows 2000 终端服务器建议配置步骤
如何配置一个高效、安全的终端服务器,是系统管理员的一件大事,Windows 2000服务器可以作为一个独立的终端服务器,应用于中小规模的环境,作为域控制器在较大规模地环境下应用,服务器本身作为一个域控制器,或者作为某个域下的一个成员服务器,对于这两种不同的应用规模,对服务器的规划、配置将采用不同的方法。作为终端服务器,在中小型规模的应用,比较常见的是作为一个独立服务器。这里就对于中小规模的应用,给予一些服务器的配置建议。
以下作为一个步骤的方式,对服务器进行规划和配置,按照这个步骤,你将可以得到一个配置相对合理的,使用比较安全的服务器了。
一、服务器的选择:
处理器、内存和总线结构:Win2000终端服务器需要PII或更高级的处理器,Win2000终端服务器本身需要70M至100MB的内存空间,每增加一个终端用户一般需要增加12MB至30MB的内存空间,这要根据用户所运行的软件大小、软件数量及所用数据量的大小决定。用户数与内存和CPU数基本上是线性的关系。
终端数对服务器CPU、内存和网络带宽要求(windows应用)
终端数对服务器CPU、内存和网络带宽要求(UNIX应用)
对于普通的终端服务器模式10-25个用户的,建议配置512兆内存,PIII800的CPU的高档PC,当然如果采用专用的服务器,效果更好了,25个用户以上的,服务器尽量配置双CPU的专用服务器,比如可以采用HP、浪潮的服务器,内存的计算是,Windows 2000操作系统启动占用了100兆内存左右,每个终端用户按20兆的内存空间来计算,总的消耗的内存可以达到物理内存的1.2-1.5倍,比如按照以上方法的内存为600兆,而服务器采用512兆内存,基本也可以满足需求。考虑到服务器资源冗余和稳定性,根据我们在很多行业内的应用经验,目前我们都建议采用以下配置方式:CPU PIII 800,内存1G,可以连接30台终端。有时服务器已经达到了比较高的配置了,所带的终端的数目也不多,但就是速度比较慢,此时一个很可能的原因是由于网络引起的,服务器的网卡、交换机的不匹配,都有可能引起服务器的速度异常,一些应用软件的某个操作会引起服务器的CPU地占用率达到100%,这一般是由于应用程序存在某种BUG引起。对于服务器的硬件引起的异常可以采用Windows 2000本身提供的性能查看器进行监控和分析,一些比较常用的计数器和对应的阀值见本文的附表(该表为微软的性能
监视器的帮助中提供)。
二、硬盘的规划:目前的硬盘的容量在扩大,速度、性能在提高,而价
格却在下降,对于硬盘,建议配置大一些,对于30个以上的中小规模的应用,可以采用品牌服务器,选择SCSI硬盘,推荐采用大于10G的硬盘,比如一个20G的硬盘,便可以分成3个逻辑分区C、D、E了,大小为8G、10G和2G,其中C盘为系统盘,安装了操作系统,程序,用户的应用软件,D盘设置成的数据盘,每个用户都有自己固定的目录,E 盘为放临时文件用,硬盘一定要采用NTFS的格式,才能支持2000的一些高级特性,比如活动目录、安全性、磁盘配额、压缩属性等。
三、安装操作系统时,安装尽可能少的组件,比如IIS服务、附件和工具
中没有用的工具和游戏、脚本调试器、网络服务等都可以不安装,当然终端服务和终端服务授权是一定要安装的.
四、如果硬盘空间比较小,可以点击驱动器的图标,点击右键,属性中
有一栏“压缩驱动器以节约磁盘空间”选上,应用一把,应用于所有的文件和子文件夹,采用压缩驱动器的方法存储,可以节省出一倍的磁盘空间,并且对服务器的速度的影响并不大,在硬盘空间不够时,可以推荐使用,当然了,如果空间不是瓶颈,那就没有必要压缩了。
五、现在可以将用户的数据文件移动到D盘去了,在做这项工作之前,
最好仅仅是超级用户有登陆过,其他的用户未登陆过,具体的做法是:用超级用户登陆,运行regedit注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList下的一个项ProfilesDirectory,原来的值为%SystemDrive%\Documents and Settings,将%SystemDrive%改成D:,如果你需要采用每个用户都有一个固定的驱动器名,比如g:,都固定的指向每个用户自己的私人目录,则需要将Documents and Settings改为一个没有空格的目录名称,比如将ProfilesDirectory项的值改为D:\Doc_and_seting,现在,便将以后登陆的用户的“我的文档”、“配置文件”等都移动到了D盘了,此时用一个新建的用户试登陆一次,便会自动在D盘建立一个对应注册表中的主文件夹了,当然该用户目前还是
无法登陆的,还需要将原c:\ Documents and Settings\的All Users、Default User拷贝到D盘的Documents and Settings目录下,Default User目录是隐含属性的,需要在文件夹选项中,显示隐含文件的选项选上,按照原C盘的Documents and Settings目录设置的权限,对D盘的Documents and Settings目录设置权限。记住,如果需要移动Documents and Settings,尽量在除超级用户外,其他用户都没有登陆的情况下来更改,更改后,C:\Documents and Settings也不能删除,因为超级用户的设置还在里面,新建一个用户,加入到超级用户组中,用该帐号登陆到系统中,将C:\Documents and Settings\Administrator目录删除掉,再用超级用户登陆一次,你便可以发现,超级用户的设置也移动到了D盘了,重新启动机器一次,删除C:\ Documents and Settings目录,到此,便将用户的数据目录放置在其他的驱动器中,便于管理。
六、设置磁盘配额,可以给用户设置C盘100兆,D盘200兆,E盘没
有限制。
七、设置磁盘的安全性,在Windows 2000操作系统中,对于驱动器,缺
省的Everyone都可以完全控制的,现在可以设置C盘,D盘添加Administrator、system为完全控制,将Everyone写入权限删除。虽然C 盘没有写权限,但是可以执行在C盘中的程序和应用软件,对D的根没有写权限,但具体的用户对Documents and Settings下的私人目录的权限是不受影响的。甚至可以将C盘的Everyone的全部权限都删除,具体的根据你的需求了,E盘作为一个临时文件存储区,对任何用户都可读可写,可以不作任何地限制,当然了,每个用户自己的重要的数据便不要保存在E盘了。
八、剪切去D:\Documents and Settings\All Users\「开始」菜单\程序\管理
工具下的所有内容,粘贴到D:\Documents and Settings\Administrator\「开始」菜单\程序\管理工具目录下,以后开始菜单中的管理工具一项,只用超级用户可以看到,其他的用户无法看到其中的项目了。
九、安装输入法,比较常见的五笔字型输入法,紫光拼音输入法等。删
除去一些肯定不用的输入法,比如内码输入法,郑码输入法之类的。
十、配置一个标准的用户:大家知道,在Windows 2000操作系统中,如
果添加了一种输入法,仅仅是具体添加的用户可以使用该输入法,而其他的用户如果需要使用,还要另外再添加,用户想在状态栏的右边显示时钟,也需要每个用户自己添加显示时钟属性,是否有办法使得新的用户登陆,缺省的便已经添加进来了呢,可以的,采用一个普通的用户登陆一次,并且添加上所需要的输入法,也把任务栏的时钟显示添加进来(添加的方法为在任务栏上,鼠标点击右键,选择属性项,添加显示时钟),那么在D:\ Documents and Settings目录下,便有一个与登陆用户名一样的目录,该目录便是该用户的私人目录,进入该目录,用该目录下NTUSER.DAT文件,替换掉D:\ Documents and Settings\Default User\目录下的NTUSER.DAT文件,记住NTUSER.DAT文件是一个隐含文件。以后的所有用户登陆上来,便按照配置的缺省用户地设置了,没有必要为每个用户都添加输入法、时钟显示属性了。
十一、安装常用的应用软件,像office 2000、notes、Acrobat Reader等比较常用的应用软件。
十二、设置终端连接的属性:Windows 2000提供了终端服务,终端可以通过RDP、ICA协议与服务器相连,在缺省的情况下,终端与服务器之间建立了一条连接,该连接对应服务器上一组运行的进程,直到终端用户注销了,才将对应的进程删除,如果仅仅是“中断”和用直接关电源的方式强行关终端,那么在服务器上的进程不会删除,在服务器上占用了大量的资源,也即在服务器上有大量的死进程,这些进程的存在带来了两个问题,一个是在服务器上占用的大量的CPU、内存资源,另外是增加了不安全的隐患,因为这些进程一直存在服务器上,下次终端用户如果也用相同的用户帐号登陆,那么将直接进入到断开的位置,如果由于系统管理员的疏忽,可能会存在有多个用户共用一个帐号的情况,那么便有可能发生安全隐患,比如用户登陆到服务器上,运行金融、财务的软件,这些软件进入时每个人还有自己的软件帐号,如果使用者没有退出这些软件便强行关机了,那么下个使用相同的登陆帐号的用户,一登陆到服务器上,便直接进入上个用户的金融、财务软件的界面,这是非
常危险的,当然如果每个用户都有自己的帐号,安全上是没有什么,但也会占用资源,解决的方法是恰当地设置终端连接的属性。用系统管理员的身份登陆,运行开始-》程序-》管理工具-》终端服务配置,点击连接,将出现RDP、ICA连接,双击您终端采用的连接方式的条目,出现如下的对话框,选择会话属性。如下图对应设置的意思是:如果一个断开的连接达到了15分钟,将自动注销该终端连接,如果一台终端有30分钟没有任何地操作,也自动注销该终端连接。
十三、通过组策略设置,在关机一栏中,如果是终端用户,那么只有注销一项,删除断开项,终端用户便没办法使用正常的断开功能了,通过限制用户使用正常的断开功能,只有注销帐户,可以大大的减少由于用户采用断开而滞留在服务器上的一些死进程,减少服务器资源的消耗。设置Regedit.exe regedt32.exe command.exe cmd.exe mmc.exe poledit.exe等敏感程序的执行权限,可以删除去Everyone的所有权限,添加Administrator、System的完全控制的权限。
十四、设置控制面板的设置权限,具体的方法是找到C:\WINNT\目录下控制面板的文件,也即扩展名为CPL的文件,设置这些文件为只有Administrator、System,有完全控制的权限,其他的用户没有权限,普通的用户以后便没有办法来运行控制面板中的所有的项目了,同样的浏览
器的选项普通用户也没有办法更改,那么普通用户想通过更改Proxy服务器来访问Internet是没有办法的,只有超级用户帮助普通用户预先设置好Proxy服务器的地址,普通用户才能通过Proxy去访问Internet了,当然了控制面板的限制可以通过组策略来限制。注意,如果没有在缺省用户中,便将输入法添加完毕,需要普通用户可以添加输入法,那么不应该限制intl.cpl的权限,如果允许普通用户去设置IE中的Internet选项,那么不应该限制inetcpl.cpl文件的权限。
十五、可以设置每个用户的私人目录为一个固定的驱动器盘符,比如G:,可以在D:\Documents and Settings\All Users\「开始」菜单\程序\启动\下添加一个bat脚本文件,该文件的内容为subst g: % USERPROFILE%,那么所有的用户都有一个相同的G驱动器了,每个用户的G驱动器指向了每个用户自己的私人目录,通过这种方法,对于一些比较特殊的应用软件的安装特别有效,Subst 应用程序不支持目录名中存在空格的情况,如果有这种需求,在第七步骤时,需要将Documents and Settings目录名改成不带空格的目录名。
十六、是否希望做到超级用户可以在我的电脑中看到所有的磁盘盘,其他的用户在我的电脑中看不到所有的磁盘,当然了每个用户访问他自己的“我的文档”是没有问题的,如果有这个需要,具体的步骤是:在组策略中设置成看不到所有的磁盘,然后超级用户运行regedit,找到以下项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer,在其中一定有一个项目NoDrives,将该项目删除,则以后是超级用户在我的电脑中看到所有的磁盘驱动器,而其他的用户都无法看到了,该更改只有在重新登陆后才能生效的。
十七、其实也可以用超级用户登陆,运行组策略编辑器,按照具体的需求,进行详细的配置,配置后,超级用户运行regedit,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Po licies,该项目中又有一些子项目,可以将子项目中的内容全部删除掉,则对组策略的所有的设置对超级用户都不生效了。这种方法是我们在使
用中具体发现的,你如果向微软咨询,微软一定会建议你将服务器升级成域控制器,然后将用户放置到不同的组织单元中,为每个组织单元设置不同的组策略。