服务器操作培训手册

  • 格式:doc
  • 大小:2.92 MB
  • 文档页数:42

运营中心操作培训手册

第一章 应用服务器的安装配置

1.应用服务器操作系统的安装

A) 安装操作系统(略)

所有设置按照默认,安装完成后仅安装需要的工具,不要乱装其他软件。

B) 安装驱动程序(略)

C) 分区:C:\50g D:\100g E:\80g F:\20g

D) 安装关键系统补丁 (安全狗)(瑞星卡卡)

E) 安装反病毒软件 (安全狗)(瑞星卡卡)

F) 将服务器连接到网络

G) 在线升级操作系统补丁,所有的安全补丁都打上,保持最新。

H) 在线升级反病毒软件病毒库。

I) 做GHOST

J) 重启后,安装SQL SERVER 2008 安装路径为D盘

K) D盘为SQL数据库文件夹 E盘为数据备份文件夹 F盘为程序,GHOST文件存储文件夹

SQL 2008自动备份部分

1、 SQL 代理服务选择启动

2、 创建数据库维护计划,下一步

3、 选择要维护的数据库

4、修改调度时间

5、设置作业时间

6、设置备份路径

7、设置备份事物日志

8、完成

9、

9、选择备份的数据库,故障还原模型为“完全”。

4、 IIS部分

a) IIS匿名用户问题

Windows Server 2003系统下装完GS3.2或以前版本,然后登录时,提示HTTP错误401.1未经授权:由于凭据无效被拒绝。这是由于老版本的程序在安装后对IIS匿名用户口令置空造成的,GS3.5已经进行了修正,处理此问题的步骤如下:

打开Internet信息服务(IIS)管理器,找到cwbase。

右键点击cwbase,打开其属性,先拷贝出当前虚拟目录的路径,将焦点移到下图所示路径位置,Ctrl+Home到行首,Shift+End到行尾,Ctrl+C拷贝路径,打开记事本,粘贴,用作下一步重新创建虚拟目录用。

删除cwbase虚拟目录:右键点击cwbase,选择删除。

重新创建虚拟目录:右键点击【默认网站】,选择【新建】,选择【虚拟目录】,出现新建虚拟目录的向导,选择【下一步】,别名输入cwbase,然后选择【下一步】,然后选择虚拟目录的路径,如果刚才已经拷贝出来了原来的目录,则直接粘贴到输入框中即可,也可以通过浏览的方式手工选择路径,如下图:

进入虚拟目录权限设置部分,选中【读取】和【运行脚本】,其他不用选,如下图:

虚拟目录创建完毕。

b) IIS其他安全选项

最初安装 IIS 时,该服务在高度安全和“锁定”的模式下安装。在默认情况下,IIS 只为静态内容提供服务 - 即,ASP、、在服务器端的包含文件、WebDAV 发布和 FrontPage Server Extensions 等功能只有在启用时才工作。如果您在安装 IIS 之后未启用该功能,则 IIS 返回一个 404 错误。您可以为动态内容提供服务,并通过 IIS 管理器中的 Web 服务扩展节点启用这些功能。

启用父路径、启用缓冲:

启用匿名用户访问:

文件夹权限:

选择属性【安全】(Permissions)

【添加】(Add…)-〉【高级】(Advanced…),添加IUSR_XXXX的用户权限。

)

Web服务扩展:

登录时提示HTTP错误404 ,如下图

这是因为IIS6默认是禁用ASP扩展的,因此不能访问,需要开启。

从IIS管理器中点击的【Web服务扩展】,然后选择Active Server Pages,然后点击,允许,同时 v1.1.4322也要允许如下图:

C) IIS工作进程

IIS 6.0 使用新的请求处理结构和应用程序隔离环境来使单个 Web 应用程序在独立的工作进程中工作。该环境防止一个应用程序或网站停止另一个应用程序或网站,并减少了管理员在重新启动服务以纠正与应用程序有关的问题时所花的时间。新环境还包括主动型应用程序池运行状况监视,这是一个非常有用的功能,但是设置不当会带来一些麻烦。

打开IIS管理器,选中cwbase所在的应用程序池如果自己没有改动会在DefaultAppPool。

打开其属性,类似下图的设置可能导致问题:

这个设置的意思是IIS的监视进程会不断监视系统资源中CPU使用率的百分比,每5分钟检查一次,如果检查时的值超过了60%,那么将关闭IIS的工作进程。这是客户端访问会出现下面的“服务不可用的”提示:

此设置默认是未开启的,如果有需要开启,请权衡阀值,如果刷新时间较短,CPU阀值较低,那么出现这种情况可能比较频繁。其他几个关于工作进程的设置也会导致类似问题,但是几率低一些,如果遇到类似问题,请从此出着手。

独立的数据库服务器和应用服务器

a) 数据库是SQL Server的情况-数据库服务器:

端口 协议 作用 设置方法

1433 TCP 连接监听 默认

135 TCP RPC 默认

动态分配 TCP RPC动态端口分配 错误!未找到引用源。

第二章服务器的安全配置

一:关于TCP/IP筛选

TCP/IP的筛选,如你只开发80端口,则外网可以访问你的WEB服务器,但是,你不能访问别人的WEB服务。因为访问别人的WEB服务的时候,你本地不是从80出去,而是WINDOWS随机创建了一个端口。

不能访问外网的WEB服务,导致的直接后果是有些软件,如360、杀毒软件、个人防火墙、WINDOWS系统漏洞等不能升级。这些升级全部是使用WEB服务的。

二:防火墙

1:使用瑞星个人防火墙,在端口筛选中,开放题头中的端口。

2:同时,开放WINDOWS防火墙,在例外和高级中,都要对端口进行开发。尤其注意,服务器一般放置在机房,一定要开放远程桌面的端口。

三:用户管理

1:改名guest,设置超复杂密码,然后停用。;

2:改名administrator,可带中文,设置超复杂密码;然后建立一个名为administrator的诱饵账户,属于user组。设立超复杂密码。

四:IP安全策略

IP安全策略,个人认为很重要,无论是个人防火墙还是WINDOWS,都不能做出、入限制,在安全策略中却可以。

协议 IP协议端口 源地址 目标地址 描述 方式

ICMP -- -- -- ICMP 阻止

UDP 135 任何IP地址 我的IP地址 135-UDP 阻止

UDP 136 任何IP地址 我的IP地址 136-UDP 阻止

UDP 137 任何IP地址 我的IP地址 137-UDP 阻止

UDP 138 任何IP地址 我的IP地址 138-UDP 阻止

UDP 139 任何IP地址 我的IP地址 139-UDP 阻止

TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止

UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止

UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止

UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止

TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止

TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止

TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止

TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止

UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止

UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止

UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止

TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止

TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

TCP 3306 任何IP地址-任意端口 我的IP地址-3306 阻止外部访问MYSQL 阻止

TCP 1433 任何IP地址-任意端口 我的IP地址-1433 阻止外部访问SQLSERVER 阻止

TCP 1434 任何IP地址-任意端口 我的IP地址-1434 阻止外部访问SQLSERVER 阻止

五:IIS安全设置

1:删除默认网站对应的interpub;

2:停掉默认网站;

3:WEB日志更改到别处;

这里举例4个不同类型脚本的虚拟主机 权限设置例子

主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置

HTM D:// IUSR_ Administrators(完全控制)

IUSR_ (读) 可共用 读取/纯脚本 启用父路径

ASP D:// IUSR_ Administrators(完全控制)

IUSR_ (读/写) 可共用 读取/纯脚本 启用父路径

NET D:// IUSR_ Administrators(完全控制)

IWAM_ (读/写)

IUSR_ (读/写) 独立池 读取/纯脚本 启用父路径

PHP D:// IUSR_ Administrators(完全控制)

IWAM_ (读/写)

IUSR_ (读/写) 独立池 读取/纯脚本 启用父路径

其中 IWAM_ 和 IWAM_ 分别是各自独立应用程序池标识 中的启动帐户

主机脚本类型 应用程序扩展名 (就是文件后缀名)对应主机脚本 ,只需要加载以下的应用程序扩展