WebFt精编l服务器的日常管理与维护手册.docx
- 文档编号:27315623
- 上传时间:2023-06-29
- 格式:DOCX
- 页数:14
- 大小:33.33KB
WebFt精编l服务器的日常管理与维护手册.docx
《WebFt精编l服务器的日常管理与维护手册.docx》由会员分享,可在线阅读,更多相关《WebFt精编l服务器的日常管理与维护手册.docx(14页珍藏版)》请在冰豆网上搜索。
WebFt精编l服务器的日常管理与维护手册
文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
WebFt精编l服务器的日常管理与维护手册
《服务器日常管理手册》前言
《服务器日常管理手册》终于跟大家见面了。
这里面凝聚着E动人的心血和对广大客户的关爱。
在多年的服务过程中,通过长期的观察与总结,我们发现,仅仅靠我们的服务是不够的,因为我们的服务属于亡羊补牢式的服务。
要想让客户服务器能稳定正常运行,关键还是要少出故障。
这就显示出客户的日常维护的重要性。
在目前广大客户技术水平参差不齐的情况下,我们考虑,提供一个服务器日常管理的范本,将我们多年服务器管理的经验拿出来与大家分享,让更多的新IT从业人员少走弯路,减少不必要的错误。
我们能体会到客户的迫切心情和对E动的殷切希望,我们也一直努力提高我们的技术水平与服务能力。
我们知道,仅仅靠一个管理手册解决不了所有问题,但这是E动人为提高客户技术水平所做的努力。
我们欢迎有更多的客户能加入到我们这行列,把自己好的管理经验与大家一起分享,共同为创造一个更加稳定和谐的网络环境而努力。
中国E动网
12月26日
WebFtpMail服务器的日常管理与维护
一、设置和管理账户
二、网络服务安全管理
三、系统安全管理
四、打开相应的审核策略
五、IIS的安装与配置
六、Serv-U的基本设置
七、用WebEasyMail架构Web邮件服务器
一、设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。
4、开始-程序-管理工具-本地安全策略,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。
6.本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举SAM帐号和共享)
二、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0.注册表不了解.不要随便更改.
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
开始-所有程序-管理工具-服务
ComputerBrowser:
维护网络计算机更新,禁用
DistributedFileSystem:
局域网管理共享文件,不需要禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
Messenger:
信使服务(windows2000)
TaskScheduler:
允许程序在指定时间运行(不用计划任务就禁用掉)
TCP/IPNetBIOSHelperService:
NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持
注:
新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在。
右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性-TCP端口-添加你想要开的端口.
默认开启的端口列表:
FTP:
mail:
Web:
80
pcanywhere:
5631
远程桌面:
3389(3389不要关闭,否则将无法远程连接)
三、系统安全管理
1.对于系统的NTFS磁盘权限设置,C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2.Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
3.另外在c:
/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限.
4.,,,,,,,这些文件都设置只允许访问.guests禁止访问
四、打开相应的审核策略
开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
注:
windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.
推荐的要审核的项目是:
登录事件成功失败
账户登录事件成功失败
系统事件成功失败
策略更改成功失败
对象访问失败
目录服务访问失败
特权使用失败
五、IIS的安装与配置
安装过程 在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”;双击“应用程序服务器”,再双击“Internet信息服务(IIS)”,选中“万维网服务”(注:
此选项下还可进一步作选项筛选,请根据自己需要选用,如下图所示),点确定即安装完成。
(一个方便的方法:
选中其他的组件会自动选上)
的配置 WEB服务默认随系统启动,最初安装完成是只支持静态内容的(即不能正常显示基于ASP的网页内容),因此首先要做的就是打开其动态内容支持功能。
依次选择“开始”-“程序”-“管理工具”-“inter信息服务管理器”,在打开的IIS管理窗口左面点“web服务扩展”;将鼠标所在的项“以及“ActiveServerPages”项启用(点允许)即可。
右击网站-新建-网站.按向导操作
输入网站描述:
这里可以随便填.一般为了方便查找.填写网站的域名
网站IP地址:
服务器只有一个IP地址这里可以选(全部未分配),如果选了IP.在更换服务器IP时.这里的IP也要进行更换.所以为方便.这里也不选.
网站TCP端口(默认值:
80)(T):
:
默认为80.有特殊需要也可以更改为其他没有用的端口(如81).但访问时要在域名端口号
此网站的主机头(默认:
无):
服务器做虚拟主机或者服务器上有多个站点时。
主机头填写该站点的域名。
只有一个站点可以不填(注:
主机头是唯一的。
不可以和其他主机头重复)
路径:
单击浏览。
找到网站程序所放的目录。
允许下列权限:
默认权限即可。
这样一个站点就初步建好了。
添加主机头:
右击刚建的站点()-属性-文档选项卡-添加
添加上默认的首页文件名:
默认的首面文件通常有:
网站选项卡
新建站点的一个基本设置在这里可能更改。
选择高级:
可以给网站添加多个域名。
IP地址:
默认
端口:
80
主机头值:
需要添加的域名(如:
注:
添加的域名不可重复。
更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
建议:
IIS日志默认是放在C:
\WINDOWS\system32\LogFiles下.服务器运行一段时间后.日志会特别大.造成C盘空间不足.建议把路径改在其他盘符
2、性能选项卡:
对于做虚拟主机想限制各个站点带宽的。
这项很有用。
3、主目录选项卡:
本地路径-浏览:
网站程序的路径。
配置-选项选项卡:
会话超时:
session的存活时间
启用父路径:
windows默认没有勾选这个选项。
在asp程序中使用“../”,请请复选框选中
4、目录安全性选卡
如果你的网站访问需要用户名和密码。
可以检查一下,是否启用了匿名访问,并检查一下上面的用户名:
如上图就是:
IUSR_EDONG-FU5JINJ65这个用户对网站程序有没有访问的权限。
5、IIS设置进行备份
有多种方法可以用来完成此项工作。
在Internet信息服务管理器控制台(IIS插件)中所设置的属性和值都被储存在文件中,缺省情况下,这个文件位于“C:
\winnt\system32\inetsrv”目录中。
在IIS中,你可以从内置的IIS插件中来备份元数据。
如果需要进行此工作,请选择桌面上的计算机图标然后单击右健。
然后再选择“备份/恢复配置”。
然后你就可以选择备份现有元数据设置或者恢复以前的版本。
与此相同的选项在MetaEdit中也可找到。
当你以这种方式保存了元数据时,你的备份将以.md0文件的格式储存在C:
\winnt\system32\instrv\metaback文件夹中。
当你执行备份时,文件将使用你所指定的名称,如。
如果你使用相同的文件名创建了多个备份,他们将使用数字逐渐递增的扩展名,如,等等。
在你的元数据严重损坏的情况下,你将不能启动IIS。
此时,你也不能从IIS插件或metaedit中执行恢复操作。
如果真的发生了类似情况,你就可以通过从备份文件夹中选用最合适的.md0(.md1等等)元数据备份文件来替换。
如果你的备份文件没有错误,IIS将会立刻启动。
制作元数据的备份还有其它两个意义。
你可以使用xcopy,scopy或其它复制程序来简单地复制文件。
你应该先停止Internet服务,以保证你的元数据是最新的并且不在使用状态中。
最后,我们还提供了两个脚本和它们位于Inetpub/IISSamples/sdk/admin(如果你在IIS上安装了IISSDK)文件夹中或在IISResourceKit/Utility/ADSIAdminScripts文件夹(如果你安装了IISResourceKit)中。
这些.vbs脚本使用了一个ADSI命令,它是专门为创建元数据备份而提供的。
6、利用WIS(WebInjectionScanner)工具对整个网站进行SQLInjection脆弱性扫描.
7、如果需要加装PHP支持,PHP的安装目录网站匿名用户一定要有读的权限。
8、为了防止跨站浏览,建议每个网站,使用不同的来宾账号进行访问。
设置方法:
A、右击我的电脑-管理-本地用户和组-右击(新建用户,如:
webuser,密码为:
edonguser),设置为guests组。
B、为您的网站目录添加相应的权限。
如您的网站目录在:
D:
\hosts\edong 。
右击edong文件夹,找到安全选项卡,设置权限为:
administrator完全控制。
System完全控制,webuser除完全控制外其他权限都给。
C、打开IIS管理器,右击需要设置的网站-属性-选择“目录安全性”选项卡-“身份验证和访问控制”编辑-启用匿名访问-用户名输入:
webuser 密码输入:
edonguser
六.Serv-U的基本设置
1.建立FTP服务器服务端
(1)、比如本机IP地址为“,已建立好域名“的相关DNS记录。
(2)、打开Serv-U管理器.如下图的“Serv-UAdministrator”,右击Domain(NewDomain)。
此向导可以帮你轻松地完成基本设置,因为建议使用它。
直接选“Next”(下一步)。
如下图
3)、请随着安装向导按以下步骤来进行操作:
⑴DomainIPaddress(IP地址):
输入“。
⑵Domainname(域名):
输入“。
(3)DomainPortnumber(端口):
默认为21.如果想改端口也可以选其他的.
(4)Domaintype:
默认选就行了.这样备份方便.只要把安装目录下的:
文件COPY一下就可以了.
⑶Installassystemserver(安装成一个系统服务器吗):
选“Yes”。
⑷Allowanonymousaccess(接受匿名登录吗):
选NO.因为服务器不能允许匿名登录
⑹Lockanonymoususersintotheirhomedirectory(将用户锁定在刚才选定的主目录中吗):
即是否将上步的主目录设为用户的根目录;一般选“Yes”。
⑺Createnamedaccount(建立其他帐号吗):
此处询问是否建立普通登录用户帐号;一般选“Yes”。
⑻Accountloginname(用户登录名):
普通用户帐号名,比如输入“edong”。
⑼Password(密码):
设定用户密码。
由于此处是用明文(而不是*)显示所输入的密码,因此只输一次。
⑽Homedirectory(主目录):
输入(或选择)此用户的主目录。
⑾Lockanonymoususersintotheirhomedirectory(将用户锁定在主目录中吗):
选“Yes”。
⑿Accountadminprivilege(帐号管理特权):
一般使用它的默认值“Noprivilege”(普通帐号)。
⒀最后选“Finish”(结束)即完成设置。
如下图:
(4)、基本权限。
比如在左边的面板中选中“edong”用户,则在右边的面板中出现如下图的设置窗口。
选“DirAccess”(目录存取权限),即可设置此用户在它的主目录(即“Path”)是否对文件拥有“Read”(读)、Write(写)、“Append”(写和添加)、“Delete”(删除)、“Execute”(执行);是否对目录拥有“List”(显示文件和目录的列表)、“Create”(建立新目录)和“Remove”(修改目录,包括删除,移动,更名);及“Inherit”(以上权限是否包括它下面的目录树)等等。
注:
“Execute”(执行)不要选.会有很大的安全隐患.
2.Serv-U管理器
A、“LocalServer”(本地服务器)属性
1、LocalServer(本地服务器):
此处可设置是否自动开启FTP服务以及手动开启或停止FTP服务等。
2、License(许可证):
3、Settings(设置):
⑴General/Max.speed:
可设置最大传输速率(kb/s)。
⑵General/Max.no.ofusers:
可设置连接到本服务器的最多用户数。
⑶General的其他项目均与保持服务器的安全性有关。
4、Activity(活动状态)
⑴Users(用户):
显示当前登录的用户IP地址等资料及当前工作状态;建议选中“Autoreload”(自动刷新)。
如果选中某个用户,单击右键,再选癒illUser”,即可将它从服务器中踢出去。
⑵BlockedIPs(被挡住的IP):
此处用来暂时禁止某些IP访问本系统。
单击工具栏的“+”即可增加即可增加被暂时禁止的IP地址及禁止登录的总时间(从增加之后开始计算)。
列表中可以看见被禁止的IP地址及其对应的计算机的完整的域名和离解禁尚有多少时间(以秒为单位)等等。
在列表中单击右键即可以选择删除已禁止的IP地址。
⑶SessionLog(系统日志):
记录所有登录(或试图登录)到本机的操作痕迹及错误信息等。
B、“Domains”(域名)属性
1、(即选中的FTP服务器名):
此处可修改相应域名、IP地址及端口号等。
2、Settings(设置):
及完全允许或禁止登录的IP地址等。
⑴General/Maxno.ofUsers(最大用户数):
此处可以设置允许同时登录到本FTP服务器的最大用户数。
⑵IPAccess/Denyaccess(拒绝):
此处可设置仅仅拒绝登录到本FTP服务器的计算机的IP地址列表。
⑶IPAccess/Allowaccess(允许):
此处可设置仅仅允许登录到本FTP服务器的计算机的IP地址列表。
⑷IPAccess/Rule(规则):
此处可输入指定的IP地址或IP地址的范围。
接受如“之类的单个
IP地址;接受如“之类的IP地址范围;接受如“之类的通配符;
接受如“之类的单个字符的限制等多种格式。
“Add”为添加,“Remove”为删除。
⑸Message(信息):
此处可改变一些提示性显示信息,如“Signonmessagefile”(开始广播)、“Serveroffline”
(服务器未工作)、“Noanonymosaccess”(不接受匿名登录)等等。
3、Activity(活动状态):
⑴Users(用户):
显示登录到本服务器的用户及其状态;建议选中“Autoreload”(自动刷新)。
⑵DomainLog(系统日志):
记录所有登录(或试图登录)到本服务器的操作痕迹及错误信息等。
C、Serv-U用户属性之“Account”(帐号)
一、Account(帐号)选项。
如下图:
二、各项说明和应用实例
1、Disableaccount(禁用帐号):
如果选中它,则此帐号将无法使用。
2、Username(用户名):
此处显示并可改变该用户的登录名
3、Group(s)(组):
如果有建立组,则此处可通过选择组来更多的目录。
这些组中目录的属性由建立组时确定,用户在“DirAccess”中不能修改!
4、Password(密码):
此项为“<>”(加密)说明有密码,为保密,因此内容不予显示。
如果为空白,则不需密码;如有输入任何密码均显示“<>”。
5、Homedirectory(主目录):
此处原则上为用户登录后的主目录;实际用户登录的根目录将由“General”属性中的“Lockuserinhomedirectory”来决定。
6、Notes(备注):
此项用来标注一些说明性的文字。
七、用WebEasyMail架构Web邮件服务器
1.安装.
在下载源程序后.一路回车.安装没有什么难度
2.Web邮件服务器的配置与设置
(1)WebEasyMail服务,如图所示,它的服务包括DNS配置和启动或停止WebEasyMail服务程序。
右击状态栏的,选择-服务,DNS的IP地址与服务器的DNSIP地址相同.如想修改.选中修改复选框就可以进行修改.
(2)高级管理设置
用户高级选项中,可以启动用户自动清理功能,规定100天未登陆系统,禁用帐户;100天帐户禁用,删除帐户。
从而避免一些用户占用资源。
邮件高级选项中,可以启动邮件自动清理功能,规定移动超过100天的邮件至Admin等其他用户,删除所有超过200天的邮件。
邮件监控功能,如果启动,可以抄送Admin等其他用户,但一般不作此设置。
Web高级选项中可以规定附件的大小,我们可以规定附件总长度为5120K(5M)或更大。
并且可以启动密码保护功能,设置休眠时间为10分钟。
(3)备份
在‘系统备份’中,可以查看以前备份的详细内容,也可以删除以前的备份;备份时可选取‘立即备份’或‘更新式备份’备份以前所有内容,也可设置以一天为基准的‘增量式备份’或‘不备份’
在‘在事件查看’中,我们选取以时间命名的事件文件‘查看’就可以看到如图所示的Web邮件服务器的活动事件记录。
邮件服务器出问题.最主要的是查看活动日志.
(4)、系统设置
①用户管理
我们可以设置如‘edonguser’的用户即日起帐户禁用或进行对此用户的修改、删除;有多个域,可以在域里面做选择。
点图中的空白处增加帐户;选中edonguser(也可双击用户)在‘高级’中我们可以设置POP3代理的接收服务器、端口号、用户名、密码以及该用户的多下载POP3代理;也可设置该用户的邮件拒收、自动回复、自动转发功能以及其邮箱大小为10M。
默认超级管理员:
admin.密码:
admin
②发信规则及邮件大小定义
可以设置‘只允许系统内用户对外发信’或‘只允许系统发信给系统内用户’等;我们可以定义限定允许发送邮件的最大邮件大小为20M,限定下载的最大邮件大小为18M;同时我们可以设置缺省的邮箱大小为100M,最大邮件数为999,最大收件人数为10,
③服务管理
我们可以设置SMTP和POP3端口服务,其端口号分别为25和110,并可限定SMTP和POP3服务。
在‘拒绝服务’中,我们可以设置拒绝如和的服务器的连接和邮件;在‘启动垃圾邮件自动过滤’中,设置如mailuser的帐户每天对外发送50封时,认为是发垃圾邮件,规定10天未发送垃圾邮件时,自动从列表中清除;同时我们可以设置启用如‘广告’的关键字过滤功能。
另外我们可以允许手工登陆SMTP和POP3服务端口,并启动登陆密码验证,还可以设置邮件群发给某一帐户功能。
④邮件超期设定与系统邮件内容设置
我们可以规定发送超过20次或1天的,算超期邮件;系统回复邮件发送超过5次或1天的,算超期邮件,web方式的超级管理员可以更改成其他用户,如:
edonguser
系统邮件内容设置可以自定义,邮件发送失败后的回复.致新用户的邮件,邮件读取下载确认信,以及邮箱容量警告信
(5)、域名管理
这里的域名管理是指mail服务器的各域的域名管理,我们可以设定我们的邮件服务器域名为,可以有多少域.以后你的邮箱就可以是。
(6)、配置IIS
在IIS里把主目录指向WebEasyMail目录的web文件夹.如:
d;\WebEasyMail\Web,默认首页为。
有多个域把主机头设为空.设好后.可以用IE来访问你的mail服务器.通过web方式来访问.默认的管理员为admin,密码为:
admin.通过web方式来管理服务器.比在服务器上设置更方便.
附注:
一般服务器安装的软件:
Windows:
MicrosoftSQL2000
MicrosoftSQL2000servicepack4
Symantec诺顿杀毒防火墙企业版
BlackIce网络防火墙
Winrar(解压缩软件)
Server-u
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WebFt 精编 服务器 日常 管理 维护 手册
![提示](https://static.bdocx.com/images/bang_tan.gif)