标题标题  显示论坛会员列表名单  搜索论坛搜索  HelpHelp
  注册注册  登入登入
ASP教学区
 DoReMe : ASP教学区
主题 话题: 第一章 安装和使用WINDOWS NT Server 回复发表新主题
作者
贴子内容 << Prev Topic下一个主题 >>
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:50下午 | IP记录 引用 aleebaba

欢迎使用Windows NT版Active Server Pages! 这一章介绍关于系统硬件,软件,网络,安全策略的预安装的事宜。下一部分,我们将从头到尾一步步地介绍Windows NT的安装,帮助你设定网络的配置。

 

硬件配置

这一部分介绍关于你的计算机和网络组件的说明和配置的许多事宜。 使用合适的技术会使你的网络服务器及其相关的系统的性能得到提高。

Internet 是当今计算机行业发展最快的方向. 可以相信,你沉迷于INTERNET的部分原因就是想了解那些INTERNET的新前沿领域及其相关技术(包括ACTIVE SERVER PAGES).

对于所有的计算机系统来说,找到一个最好的价格性能比是很重要的。所以我们必须作出一个明智的的选择,去购买一个易于升级的设备 。可升级设备可以在将来你需要的时候进行升级,提高性能。例如,开始的时候,一个单处理器的系统就可以满足您只需要,但是,这个 系统应该最终能支持对称多处理器(多于一个处理器)。

 

容错特征

到你获得服务器软件时。注意一定要买一个能容错的系统。容错,简单地说,就是就是指有从某种错误安全有恢复者的能力,而不中断服 务。这种技术中通常的例子就是使用具有双重服务及支持错误检查和纠正的系统。如果系统的任务特别苛刻,建议你花更多的钱去买一个 容错性能更好的设备。

任何服务器的最重要的组件,当然是存储在它上面的数据。像这样,任何服务器的高性能容错特征就应该是通过它的磁盘驱动器容错子系 统来实现的。这种容错通常是通过磁盘上的RAID阵列控制器来实现的。RAID是Redundant array of inexpensive disks的首字母缩写,它提供一种两个或多个驱动器之间的冗余,从而使丢失数据的可能性达到最小。这种技术已在大部分的高性能 的服务器上使用了。对于那些不能基于RAID技术硬盘的系统,WINDOWS NT用软件为管理员提供了这种功能。这个技术和WINDOWS NT集成在一起使实现RAID1或磁盘镜象相对比较容易,这是提供高等级的容错性能的一个便宜的方法。RAID1也是一个简单的 实现方法,它唯一的需要就是要有两个独立的硬盘,以便有足够的空间来镜象需要镜象的分区。

但是,RAID只是很多可用的保护方法中的一种,最简单的方法就是磁带或其它离线型存储器进行备份,而根本不需要考虑容错的等级 。当然,在使用磁带备份时的恢复磁盘错误的能力和出错的时间有关。由于系统的类型和数据丢失量不同,一个系统能从磁盘上恢复一个 小时或几天之内的错误。

 

X86和RISC

缩写X86代表INTEL系列微处理器,最新推出的就是PENTIUM II。RISC是 reduce instruction set computing的缩写。现在WINDOWS NT支持的基于RISC的处理器有DEC Alpha, Motorla Power PC和MIP Platform 等等。Microsoft 已经宣布只支持Alpha platform ,而不支持其它的了。

 

注意

为了适用于尽可能多的用户,这章将同时讨论基于X86和RISC的Windows NT的安装

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:52下午 | IP记录 引用 aleebaba

网络连接事项

对于现在的大部分网络服务,主要的系统瓶颈就是网络的带宽。不辛的是,由于网络硬件的高花费和每月都在改变的网络线路,它也是网 络服务器系统的最大的花费。 由于这个原因,你在选择网络线路时必须作一个明智的选择。

和其它的硬件一样,网络的带宽也必须具有可升级性。升级网络带宽也就是购买足够的带宽来满足现在的需要。以下将介绍如何预计带宽 需要和相关的价格。

 

估计带宽需要

估计带宽需要是一项复杂的工作,由于它所涉及的因素有几个不是管理员所能控制的,所以不可能精确地计算带宽的需要。

首先,我们要确定这个系统在INTERNET上所扮演的角色。像提供E_MAIL(SMTP,POP),和TELNET连接等等 服务的系统,则需要较少的资源,而那些支持视频,声音流或复杂的HTML网页这样的复杂工作的系统则需要较多的系统资源。一般来 说,系统只需提供几种服务就可以满足需要。

另一个重要的估计依据就是反映时间。如果用户希望得到快速反映,系统必须能支持所希望的服务等级。像批处理进程这样的苛刻任务越 少,那么就越容易满足时间要求,在任何服务队列中的请求都会得到响应。

最后的依据就是同时在线的用户的数目,这也是最难估计的。估计这些因素可能需要预先进行测试或参照INTERNET上的有相似服 务的其它系统。

 

使用带宽算法

在估计带宽之前, 你必须理解不同的TCP/IP连接方式的微妙差别。以下以FTP和HTTP传输的对比为一个例子:

通过FTP传输一个100KB的文件。
传输一个包含9个图片的网页,他们的总共大小是100KB
在这个例子里,FTP下载只需要一个TCP连接,这个连接在整个传输过程中一直保持打开状态。然而,HTTP下载时需要为网页上 的每一个组件(例如,图片,APPLET等等)向服务器进行通信。虽然每次通信的时间小于1秒,但是当时间量很大时,就会损害服 务器的性能。如果服务器连接的时间是250毫秒,下载这10个服务器组件的时间大约为7秒,(10250毫秒用于请求,10 250毫秒用于服务器响应,10250毫秒用于连接的关闭). 这还不全是从网络浏览器上获取网页所需的全部时间。

幸运的是:早期的浏览器开发者预计到了这个问题,设计了能同时发出多个HTTP请求的浏览器。这个解决方案虽然有一些帮助,但是 仍然受到客户端的打开的影响。一个28.8K的调制解调器很容易被几个同时的请求所堵塞。对于大部分的读者来说,小一个版本的H TTP标准要好一些,它能通过一个持续的HTTP连接把网页和相关的图片一同传到客户端,这个新标准减少了反复通信的时间。

你能使用一个简单的算法来帮助估计INTERNET服务器的带宽需求。与这种估计唯一相关的因素就是同时连接的客户的数目的传输 文件的平均大小。 公式如下:

(平均文件的大小(KB)(8数据位+4桢头位))(每天的连接数/每天的秒数)

现在,把下列数据代入公式:

平均文件大小:112KB

每天的连接数: 9,000

通过这些数据,我们得到:

(1121024(8+4))(9,000/86,400)

估计结果是1433KB。

记住,1KB不是1000字节,而是1024字节。 而86,400是24小时60分60秒。 虽然「INERNET永远不睡觉」这句话是千真万确的,但是考虑到商业时间的使用高峰,这个数需要适当地减少。

可用的连接类型

表1列出了大部分ISP通过的INTERNET连接。表中的数据由于地点的不同而有所差别。 它只是提供一个估计价格性能比的尺度。有几项新技术,包括电缆MODEM和XDSL(它在现存的电话在线运行),可以以较小的代 价获得超过10Mbps的带宽。在这些新技术成为主流以前,以下为几种可行的选择。

 

表1.1 INTERNET连接类型的比较

传输方式
 传输率
 大约的代价
 
28.8K modem
 28.8Kbps(最好的状态)
 小于50$每月
 
ISDN
 64到128Kbps
 高于50$每月,不包括当地的电话费
 
Fractional T1
 56到512 Kbps
 100$每月或更高
 
Full T1
 1.54 Mbps
 1000$每月或更高
 
T3
 45 Mbps
 不定
 

 

本书的作者推荐的策略是提供足够数量的带宽及量好的可升级性。 这种解决方案称为fractional T1 lines,使网络管理员能从一个较低的价格开始运行,同时又拥有升级到full T1 lines 的能力。

 

 

注意

最新的56K modem技术,对于那些从INTERNET上下载信息的人将很有帮助,但是这并不是一个解决Active Server 连接的好方法。56K 技术只能在下载的时候提高速度,而且它对电话系统很敏感。

 

 

如果需求超过了容量怎么办

假设网络服务器比预先想象的访问率要高,而且连接时间无法满足日益增长的需要。有几种方法可以用来解决系统的矛盾:

■ 最简单(但是最有效)的 解决方法就是增加可以使用的带宽,如同前面所说的, 从fractional T1升级到 full T1,或增加一个其它的线路。这种选择会造成费用的增加,因为连接和带宽的价钱都不便宜。

■ 另一个可选的方法就是减少服务器所能提供的服务。删除E_MAIL,USENET NEWS,Gopher 或FTP服务,可以减少系统的负担。这种选择只有在现有容量远远不能满足需要时才采用的。这种方案和上种方案不同,它只是减少系 统的负担,并没有增加系统容量。 这种策略只能在短期内有效, 而且常有副作用。因为你的最终目的是使系统的可用性最大,而不是减少它。

■ 第三个可选方法是减少允许的同时连远程客户的数目。 microsoft Internet Information Server(IIS)可以限制同时连接的远程客户的数目。减少这个数目就妨碍很多客户和IIS进行连接,所以这也只能作为最后 的手段。因为系统总是要尽可能地满足用户的需要,减少用户数目会使你的系统丧失很多的商业机会。

用来提高用户性能的一个相对比较容易的方法就是减少服务器上的图片的大小和复杂性。要减少图片的复杂性就必须了解服务器发送信息 的类型。简单地说,计算机生成的图片应存成GIF格式(Graphical Interchange Format),最好使用4-bit(16色)。这个标准的不但图片的质量足够好,而且能使图片足够小。对于连续性的图片,例如 : 照片,应该存成JPEG(Toint Picture Expert Group)格式,JPEG是一种丢失性的压缩格式, 这意味著,有些图片的质量将会在处理的过程中丢失,但是它具有最好的压缩率。 高彩色的图片应该存成JPG格式。见第五章的「HTML基础」的关于生成高效图片的章节。
 

 

你的上游供应商

一个上游供应商(或ISP)就是一个你买他的INTERNET连接的公司。 他又常常是从上一级的通讯公司那里,例如:AT&T,MCI, Netcom等等,购买INTERNET连接。 所以,选择一个好的网络供应商,经常比选择好的计算机硬件更重要。 那也就是说,你的网络反应速度在很大程度上决定于网络的质量,它是受到你的所以供应商的上一级的供应商的影响。

以下几个标准可以在选择ISP时考虑:

■ INTERNET 连接和硬件支持的后备力量。

■ INTERNET 连接的输入和输出的总吞吐量。

■ 提供的技术支持等级。

■ 从现在或过去的客户那里参考。

■ 价格

■ 是否有良好的可合作性。

所有的都应该在你作出决定前进行考虑。

有些ISP还提供一些很重要的附加的服务,这些服务包括硬件的租用,硬盘空间的租用, 为你的站点提前作广告,提供点击统计,等等。查询那些增值服务,可以帮助你得到更多的收益。

在这个前提下,你就可以按我的推荐选择一个满足你需要的供应商。

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:52下午 | IP记录 引用 aleebaba

软件配置

我们已经讨论一些重要的硬件事项,现在让我们来讨论一下软件部分。 这一部分我们主要介绍软件兼容性和事务日志程序的重要性。

 

兼容性

确保服务器端和客户端软件的兼容,对于当今计算机系统的服务复杂环境来说是及其重要的。一个基于服务器的软件在投入运行之前必须 进行详细的性能测试。而且很多软件包在改变系统配置的时候经常会影响系统的安全性和可靠性。所以,所有的新的服务器软件组件都必 须在一个非正式运行的系统里反复测试。

而且,现在的很多浏览器支持一些只是部分浏览器才支持的功能,所以,我们要注意使自己的服务器和市场上的各种浏览器都兼容。

 

 

日志信息

跟踪服务器的事务处理对于维护INTERNET系统是很重要的。 这些日志文件可以帮助你检测潜在的破坏性活动, 计算服务器的使用量来帮助你预计服务量的增长, 而且可以检查和统计那些用户连接到到了你的系统。

IIS 提供了这样一种日志功能,它能让你知道有多少人访问了你的站点,他们访问了那些资源,这些请求是从那里发出的,他们在整个过程中 传输了多少数据。这些数据通常是以文本文件的形式存储起来的,但是IIS 可以把日志数据直接送入数据库中。

这些以原始格式存在的数据文件是很难解释的,但是我们可以使用另一中软件来处理这些IIS的日志文件,它能提供综合的数据报表和 数据分析的功能。这样的软件是很有用的,我推荐你去买一个。


 

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:53下午 | IP记录 引用 aleebaba

安全配置

这一部分我们讨论和运行与INTERNET相连的网络服务器相关的一些安全事项。 虽然有好几项我们已经谈过了,但是,新的问题总是不停地备发现。 要象成为一个好的网络管理员就必须学习现存于INTERNET上的无数的危险。

 

网络安全

对于一个基于INTERNET的网络服务器来说, 防止那些非授权的闯入是最重要而又是最困难的,他们经常会干一些损害网络计算机的事情。 他们中的某些人只是为了好玩或挑战自己的能力, 而另一些人则有一些更阴险的目的。

虽然,没有一个系统能提供100%的安全保护,但是你可以采取措施把这种危险减少到最小的地步。以下介绍几条预防措施。

 

注意

下文介绍了有关防止安全侵入的很多重要信息, 但是这不能算作一个全面的安全策略,新的安全问题经常会在使用的过程中发现。 我们应该在使用的过程中随时发现问题, 并及时向微软的站点(www.microsoft.com)或CERT网络站点(www.cert.org)进行反馈。

 

数据加密

当数据在网络服务器和浏览器之间进行传输时很容易被中途截取,为了保护这些重要的数据, 最常用也最有效的方法就是进行数据加密。

Secure Socket Layer(SSL)在为了服务器和客户端之间提供了一种高效的集成数据加密方法。这种技术使用了公用关键字和对称关键字密文, 同时还使用了数字标识和认证技术。 这就使得服务器端和客户端能以一种加密的方式进行通讯,同时确保参与通讯者确实是他所宣称的身份。

SSL只能保护某种类型的INTERNET通讯。 这种保护只有在HTTPS传输过程中才有效。 HTTPS是一种加密的HTTP协议,它用于客户网页向服务器传输数据和从服务器传输数据时使用。另外两个没有经过加密的协议是 FTP和GOPHER。 由于没有进行加密,这些使用这些协议的通讯很容易被别人非法闯入。

SSL能提供多种不同等级的加密服务。最高等级的加密使用128位的加密方法。128位SSL加密方法的口令是2128 种组合中的一个(这个数字连你的计算机也表示不出来)。 专家们认为这种加密方法在理论上是解不开的。由于128位SSL提供的高等级加密保护, 美国政府把它作为军事专用,不允许向国外出口。但是40位SSL也提供了足够的加密保护, 这是可以向国外出口的。虽然40位SSL曾今被破解过,但是这个漏洞已经被补上了。 现在,破解一个40位SSL的口令需要计算机运算31个小时。因此, 只要不是特别重要的数据, 使用这种加密措施已经足够了。

注意
 
近来美国政府已经允许在某些领域输出128位SSL,由于这些规则正改变, 我建议你最好去查以下最近的联邦政府关于加密技术的出口条例。
 

 

 

有一个关于使用SSL的问题就是要使系统与之配套。 由于使用SSL过程中的数据加密和INTERNET上的同步数据的传输,需要花费计算机系统的很多时间。 你用的加密关键字越大,你的处理器所化的时间就会越长。 当你的服务器要使用SSL加密时你一定要确保你的带宽和处理器的速度能满足要求。

 

关于SYN攻击

有很多的方法可以攻击基于INTERNET的服务器。 其中的一种容易检查到的就是SYN攻击。 SYN攻击使用INTERNET握手时的SYN(同步字节)。通常在TCP/IP连接的初始化过程中, 首先要发出SYN,或同步的请求。这种请求会得到一个发送给客户端的反应信号SYN_ACK。如果用一个错误的返回地址发送同步 字节,服务器端的反应信息就不会到达客户端,而且这个连接就会保持半开状态。

SYN攻击使服务器充满无效的半开的TCP/IP连接, 妨碍了服务器的正常服务。 一个这样的请求就会造成一个半开的TCP连接, 当服务器的连接数目达到了服务器所允许的最大数目时, 其它的正常用户请求就不能得到响应。这种拒绝连接会使正常的用户从服务器上得到一个出错信息。

如果没有附加的防火墙或代理服务器是无法防止SYN攻击的 ,这些攻击造成的损害只有提供系统监视和随时测试来消除。

监视基于INTERNET的服务器是系统管理员所承担的一项重要的工作。 检查系统的负载,反应速度,和容量,还有跟踪访问系统的客户, 这些工作都能从正确配置的WINDOWS NT系统获得。 监视TCP连接将对检测SYN攻击有帮助。

NETSTAT命令可以用来看现存的TCP连接。使用NETSTAT, 打开一个COMMAND PROMPT然后键入:

NETSTAT -n -p TCP x

这里x 表示你希望系统更新统计数据的时间间隔(以秒为单位), 例如, 如果你需要连续地更新系统的TCP连接的统计数目,就应该如下键入:

NETSTAT -n -p TCP 1

这个命令将初始化NETSTAT命令,而且每隔1秒更新显示的内容。如果只需要看一次TCP统计,可以忽略时间间隔参数。

NETSTAT -n -p TCP

使用NETSTAT可以通过检测非正常的大量的SYN_RECEIVED状态来帮助你判别是否存在SYN攻击。也可以参考微软的 站点去获得补丁软件来解决这个问题。

 

在TCP/IP上的NETBIOS

WINDOWS NT还为提供了对TCP/IP网络的其它的远程管理支持。 当管理员设置好了LMHOST文件和和必要的管理员口令以后, 就可以连接到一个服务器, 映射网络驱动器, 使用管理员工具(用户管理,服务器管理,等等),而且还可以启动和停止某项服务。 这项支持在基于INTERNET的系统上显然是应该具备的。但是,就像精明的管理员一样, 精明的黑客知道如何配置自己的系统来获得服务器的权限。 取消这种远程管理在WINDOWS NT 4.0上是很容易的。这也涉及到了在协议层的块数据的认证。

WINDOWS NT通过把NetBIOS信息压入TCP/IP数据报中来支持远程管理和与WAN的连接。 这样就可以使用户使用远程网络的资源就好象是在使用当地的网络资源。为了减少相关的安全隐患, 限制WINDOWS NT的接收基于NeBIOS的数据的容量是很有必要的。 你可以要么用限制作为为NETBIOS信息保留的TCP和UDP端口数,要么删除NetBIOS和TCP/IP的连接。

TCP和UDP协议都要通过端口和其它的系统进行通讯。这些端口定义了被初始化的通讯的类型, 某一个特定的应用程序在这个端口上侦听,当有客户端程序发出请求时,他就作出反应。例如,HTTP协议使用TCP端口号80,而 FTP协议使用TCP端口好21。 攻击者通常使用一种叫做端口侦听技术, 用来确定INTERNET系统上安装了那种类型的协议。这种端口侦听可以发现系统的WWW服务,FTP服务,等等。 在TCP/IP基础上的NETBIOS使用TCP和UDP的端口号139,138和137。 我们应该封锁那些不必要的TCP和UDP端口来减少端口侦听的危险,尤其是那些被NETBIOS使用的端口。 封锁这项端口可以大大地减少被非法远程侵入的危险。

封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 点击Advanced 按钮激活Advanced IP地址对话框, 然后点击Enable Secury 对话框,然后点击Configure按钮激活TCP/IP安全对话框, 那里列出了那些TCP和UDP端口被允许了(见图1)。

另一种消除远程管理所带来的危险的非法就是断开TCP/IP和NETBIOS接口之间的连接。这项操作应该在网络控制面板的Bi ndings Page 框中来配置完成。 在Bindings page

中列出了WINDOWS NT网络组件之间的连接(见图1.2)。 我们可以这样来取消NETBIOS和TCP/IP接口的连接, 点击NETBIOS前面的加号图标,然后选择WINS Client(TCP/IP)选项,然后点击Disable按钮。 当这个连接被取消时,对话框会反馈应该可视化的表示。 然后点击OK按钮完成这项配置。

 

图1.1 允许IP安全保护

 

 

 

 

    图1.2 取消网络协议的连接

取消CMD和BAT映射

大部分的计算机都支持批处理文件和脚本, 他们用于那些自动反复执行的那些任务。 这些文件是有服务器执行的, 他们也考虑造成破坏。 因为IIS 已经作了映射, 使服务器能执行以.BAT 和.CMD为后缀的文件。

你可以取消这些文件的映射,使NT的命令解释器不能执行这些类型的文件。 你可以点击START按钮,然后选择RUN,输入REGEDIT,并回车。文件映射的关键字在这条设置里:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentSet/Services/W3SVC/Paramete rs/Scripts Map

在这里删除以 .BAT 和.CMD开头的关键字,然后重新启动IIS。 如果没有以 .BAT 和.CMD开头的关键字, 那么就不需要修改。

 

 

注意

注册表编辑器是应该很有用的工具。 但是不正确地修改了注册表会造成严重的问题, 甚至使系统完全崩溃。当你修改注册表时应该特别小心。

不要安装FTP和GOPHER服务

安装FTP和GOPHER 会增加被恶意攻击的机会。 这些服务会在不同方面对攻击者有帮助, 例如, 使攻击得到有关的系统配置的重要信息, 或者使攻击者有用野蛮的方法破解用户的ID 和PASSWORD的机会。 例如, WINDOWS NT的FTP服务在登陆是被认为是有关WINDOWS NT的服务项目。这就使黑客很容易就发现了你的机器的操作系统的类型和版本。图1.3表示了WINDOWS NT 操作系统是如何对任何一个连接者显示系统的信息。

 

图1.3 WINDOWS NT FTP的反应

 

 

把不必要和危险的程序改名

有几个程序在在WINDOWS NT的安装过程中会被自动地安装。这些应用程序可以帮助那些潜在的攻击者来破坏系统的资源。像PCP.EXE(远程拷贝)和FTP.EXE(FTP 客户端程序) 应该改名,防止被别人执行。 例如, 把PCP.EXE改成PCP.APP来防止被远程攻击者执行。

 

计算机的安全配置

好的服务器系统配置就意味著自己有了一个安全的公文包。 WINDOWS NT 就提供了一些集成的工具来帮助保护这些重要的信息和检测可疑的活动。

 

]

文件系统和磁盘分区

WINDOWS NT 支持两种不同的文件系统: FAT和NTFS。 FAT兼容性比较好, 它可以被DOS和WINDOWS 95访问, 然而NTFS则具有很好的安全性。 NTFS是new technology file system 的缩写, 它在好几个方面都具有由于FAT文件系统的功能。

n 由于NTFS 跟踪了使用的目录和文件的更新,所以它是可恢复的。 当正在进行数据更新时,如果硬盘或电源出现故障,NTFS也能进行恢复。

n NTFS 支持热安装。 它可以在操作系统往坏的物理扇区上存储数据时,进行及时的恢复。 也就是说, NTFS能使操作系统及时地补救向坏扇区上写的数据,并把它存储到同样大小的另一个地方。

n NTFS满足POSIX.1标准的要求。 一个遵从POSIX.1标准的文件系统, 使系统的文件命名能够区分大小写字母, 而且提供一个标志,记录这个文件最后一次访问的时间。还有, 它还支持硬连接,它允许两个不同的文件指向相同的数据。

n NTFS支持WINDOWS NT的安全模式, 它能实现文件级的校验和权限检查。

n NTFS支持更大的分区, 最大为64 exabytes。 这也许远远超过了你所需要的分区大小。

n NTFS所支持的文件长度最大为255字节, 包括后缀名。 NTFS保持文件名的 大小写,但对大小写进行区分。

n NTFS分区可以减少文件的碎片。 只要有足够大的空间可以存储下文件,NTFS算法总是分配邻近的硬盘空间。

n 文件在NTFS下的可以通过NTFS压缩来进行压缩。 这种压缩方法是很有效的, 它的性能和商用的压缩程序相似。

NTFS的这么多的提高确实要付出代价。 NTFS分区需要一部分的空间用来存储文件的安全信息和关键字,所以微软公司建议NTFS分区至少要有50M 以上的空间。

把数据文件和系统分离对基于INTERNET的系统增加系统安全性是很有必要的。 解决这个问题的最好的方法是建立一个独立的分区,用来存储给INTERNET上的用户访问的数据。这种配置方法通过在分区上使用 NTFS的安全机制,很容易就可以限制对系统的非法入侵。 这种分区级的配置也使系统很容易管理。详细内容见后面的章节「WINDOWS NT 安装」。

 

 

 

 

检查系统的事件

检测和防止非法入侵系统资源的最有效的方法之一就是WINDOWS NT自己的服务器检查机制,它能帮助发现可疑的活动。

为了从WINDOWS NT的检查机制得到最大的收益, 你必须定期地检查这些日志文件。 然而,如果你从来都不分析和使用这些检测的日志文件, IIS会把和WWW,FTP和GOPHER相关的请求信息存储在特定的文件里。 所有的WINDOWS NT的系统事件,例如, 文件的访问, 权限的改变,等等都可以WINDOWS NT的EVENT VIEWER里看到。 关于 EVENT VIEWER的详细用法见下一章「事件查看器」。 关于IIS的日志文件的详细介绍,见 第二章「安装和使用Internet Information server 。

使用WINDOWS NT的监督机制,你可以跟踪系统的每一个操作,甚至是进程级的操作。 由于WINDOWS NT的监督信息是那么的详细,以至于它会产生大量的日志文件。 EVENT VIEWER有一个最大的容量,它很快就会被充满。 选择一个合适的监督的范围是一个很好的主意。

以下是建议用EVENT VIEWER监督的事件

n 登陆和退出时发生的错误

n 文件或对象的访问失败

n 修改用户权限失败

n 用户和用户组管理的成功和失败

n 改变安全策略的成功和失败

n 重新启动,关闭和系统安全措施的成功和失败

IIS 日志文件包含了有IIS 执行的任何事务的详细信息。 你应该使用通常的文本编辑器,例如记事本,经常检查是否有可疑的活动。 以下就是一些可疑的活动的标志:

n Multi failed command attempts

n Attempts to Access CMD and BAT fles

n Unauthorized upload success failure

Excessive requests a single IP address
 

 

注意

有一些其它软件包提供也可以用来帮助查看IIS 日志文件。 这些软件读出加密的日志文件,以报表的形式表示这些数据, 这使得这些数据更容易过滤和理解。

 

 

取消网络访问的权限

权限网络访问的权限是一个WINDOWS NT 的集成特征,它可以阻止用户从网络上访问文件,打印资源,和管理员服务。这不会影响IIS的传输能力,也就是说,客户端仍然可以 通过World Wide Web ,FTP 和Gopher来传输信息, 因为这种方法是IIS对客户端的请求的反应。 在与IIS 通讯的过程中,远程用户相当于登陆到WINDOWS NT上。

 

用户的帐户策略

作为管理员, 有一种保护你的系统免受用户的危险操作的方法就是限制他们访问系统的权限。 这一部分向你介绍许多建立安全帐户的好方法。

 

防止WINDOWS NT缺省的帐户和用户组造成的危险

在安装的过程中, 会生成两个缺省的帐户, 他们是Administrator 和 Guest . 这就给那些恶意的远程客户提供了机会, 他们可以通过猜测这两个用户的口令, 来攻击这个系统。

幸运的是, 你可以采用几个步骤,解决WINDOWS NT的缺省帐户造成的问题。 管理员帐户是WINDOWS NT 所必须的,不能被删除,但是它可以改成一个不显眼的名字,例如:「George」。 管理员帐户可以通过使用用户管理器来改名, 如图1.4所示。

图1.4 给管理员帐户的USER ID 改名。

 

如同名字所表示的,GUEST 帐户是为以GUEST身份访问系统而设置的。 提供GUEST访问是系统的一个大弊端。 这使你无法跟踪谁访问了你的服务器,也使得某些人更容易对你的系统进行恶意的攻击。GUEST帐户绝对不能使用,应该取消它。 它可以提供用户管理器来取消;在用户属性对话框中(见图1.5),选择帐户禁止的按钮,然后,点击OK。

图1.5 取消GUEST 用户ID

 

用户策略

如俗语所说,一条链条的强度决定于它的最弱的环节。 这个原理在系统安全范畴里也是适用的。 通常在系统安全链里,最薄弱的环节就是用户端的口令。一般的合法用户都不理解口令的重要性。用户的口令通常和他们的配偶,子女, 狗的名字,以及身份证号码,等等有关。这些黑客都明白这一点。

这个最弱的环节被恶意的黑客所破解已经不是偶然的事了。 口令破解程序可以不停地搜索那些可能成为口令的组合。有些程序甚至被设计成在英文或其它外文字典里搜索每一个单词。幸运的是,这 里有几个方法可以用来减少用户口令被破解的危险。

首先但也是最主要的, 授权用户必须认识到口令的目的和当今计算机环境的危险性。在这种情况下,没有受过良好的教育就很难保证系统的安全。

另一个,当其它的方法失败时,好的口令和用户策略也能保证你保护系统。 所有有能力的用户都应该遵循已下的约定:

n 不能多个用户公用一个帐户和口令

n 口令必须定期改变

n 口令必须用口令破解程序进行试验(知道它不容易被破解)

n 用户帐号在一定数目的口令输入失败以后,应该被禁止使用

n 口令必须有足够的长度,防止系统口令的重复使用

n 所有的口令都应该在最短长度以上,而且尽可能地包含字母和数字

 

按以上提供的建议来生成口令,可以帮助你减少很多的这方面的危险。

 

关于Acceptable Use的陈述

作为好的口令和用户策略的补充,你必须告知用户什么是计算机系统的Acceptable use。Acceptable use策略由于系统的不同而不同,让所有授权客户知道和理解这些策略是很重要的。

假如不辛的事情发生了,系统被破坏了,发生了刑事或民事诉讼时, 是否存在一个公开的成功策略将决定它的成功和失败。

 

物理安全

保护系统防止基于网络的攻击只是工作的一半。 确保系统的网络安全是同样地重要。 一些常用的操作也可以减少非授权的系统访问。

确保系统存储在一个安全的区域,不能被客户端访问。 最好,把计算机系统装载在严格保护的计算机上。 这些设备应该拥有一些防火,防电源波动,以及对过热和湿度过大的保护。
如果这种保护是不可行的。 把服务器锁在柜子里,能帮助防止非法破坏服务器。 还有一些其它的预防措施,例如,锁住软盘驱动器减少被非授权用户偷存储在系统里的信息。
 

C2安全

C2安全规则是美国国防部在80年代研制的,现在变成了衡量系统安全的标准。C2标准是在DOD的可信计算机系统衡量标准中(或 称黄皮书)中定义的许多不同等级的安全标准中的一种。 它是当今所有的公司和计算机系统中使用的最多的一种。

在这里要注明, WINDOWS NT只有在作为一个单一的工作站时才遵从C2标准。 当它和网络连接时它就不在满足C2标准。 微软公司遵从C2标准的检查器,叫做C2CONFIG,它可以用来衡量WINDOWS NT系统的C2标准(见图1.6)。 C2CONFIG检查服务器的配置及详细信息,发现那些不满足C2标准或安全性不好的组件。这个工具包括在WINDOWS NT 的资源工具包中,这是一个非常有用的工具包。

以下列出了包括在C2安全标准中的不同的组件

n 系统资源(文件,进程,等等)的所有者必须 可以控制这些资源的访问权限。

n 操作系统必须禁止非授权用户重复使用系统对象。 这系统对像包括内存,磁盘空间,等等。 这些标准的目的是为禁止别人在得到权限以前不停地尝试去访问系统资源。 例如,在NTFS分区内的文件就不允许被删除。

n 每一个用户都必须提高使用一个唯一的USERID和PASSWORD而成为系统的授权用户。而且,系统必须能够提供用户的USE RID和PASSWORD的关联来跟踪用户的所有的操作。

n 系统必须支持系统安全事务的检查。 这些安全事务的数据一定不能让非授权的用户得到。

n 在物理配置上必须能防止外部的损伤。 例如: 封锁软盘驱动器,增加电源保护等等。

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:54下午 | IP记录 引用 aleebaba

域配置

在开始安装之前, 检查一下配置列表是很重要的。 配置列表包括系统的物理配置的详细信息, 还有系统在网络系统中扮演的角色。服务器可以被设置成一个域控制器(主域控制器或备份域控制器), 或一个独立的服务器。 在安装以前,你必须作好决定,因为在WINDOWS NT完全安装以后,如果不重新安装,就无法把一个主域控制器转变成一个独立的服务器,反之也不能。 由于现在的网络环境和你的服务器在网络中所扮演的角色, 安装成为一个独立的服务器是一个明智的选择。 这种设置能使你的系统减少由于域级的授权访问而造成的安全问题,而且也能增加系统的性能。

 

配置列表

这张列表应该在安装之前安全列好。

事先准备好所需的全部信息会使安装更容易。
 
硬件说明:
 
系统的类型和序列号:
 
 
所安装的内存的类型和数量:
 
 
网卡:
 
类型:
 
IRQ/端口基地址:
 
PCI slot (如果有):
 
网络介质的类型(10BaseT,coax,等等):
 
磁盘子系统:
 
RAID/SCSI控制器的模式和硬件版本:
 
 
物理磁盘的信息(磁盘类型和安装位置):
 
 
RAID配置(RAID0,1,5; 硬件方式或软件方式,等等):
 
 
系统分区号和大小:
 
 
WWW数据分区号和大小:
 
 
网络配置
 
主机名:
 
域名:
 
工作站(NETBIOS)名字:
 
工作组/域名:
 
IP 地址:
 
子网屏蔽:
 
缺省网关:
 
域名服务器:
 
用户信息:
 
管理员的ID和PASSWORD
 

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 3:59下午 | IP记录 引用 aleebaba

WINDOWS NT 安装

安装WINDOWS NT是一个相对简单的工作。 安装程序和WINDOWS 95的安装程序很相似。 微软公司为安装提供了方便,既可以在DOS下安装又可以从WINDOWS NT 下安装。 基于DOS 的安装程序是WINNT.EXE,而基于WINDOWS NT 的 安装程序是WINNT32.EXE。由于本章的需要,我们假设是在DOS下安装。 而安装WINDOWS NT只需要简单地在命令行输入WINNT或WINNT32就可以了。 如果你忘记了这个区别,也不要担心。 在基于DOS 的安装程序在WINDOWS NT下不会被执行。

安装选项

你可以选择以下的三种方法之一来 安装这个软件。

 

n 生成启动软盘。

如果你的软盘丢失了怎么办? 没问题, WINDOWS NT的安装程序业可以生成安装启动盘。 你只要转移到WINDOWS NT的安装程序所在的子目录(INTEL机器为I386子目录,而DEC Alpha的机器为Alpha子目录 ), 然后输入WINNT /OX。这将会运行安装程序,并提醒你插入一张合适的软盘,以便生成启动盘。

 

n 从CD_ROM上安装

WINDOWS NT也可以不用软盘安装。这种安装方法会更快一些,但是需要更大的初始空间(启动文件也必须被拷贝)。 开始安装, 只要简单地把WINDOWS NT的安装CD放入CD_ROM驱动器中,然后转移到相关处理器的WINDOWS NT版本的子目录(I386子目录是INTEL X86机器的安装程序,MIPS子目录下是基于MIPS的系统的安装程序下,ALPHA子目录是基于DEC Alpha的系统的安装程序,PPP子目录下是基于POWER PC的系统的安装程序),然后输入WINNT /B 开始无软盘的安装。

 

 

 

n 从共享的介质上安装

从网络上的某处安装WINDOWS NT 也是可行的, 就像上一段所描述的从CD_ROM上安装一样。 把WINDOWS NT资源所处的网络位置映射成一个驱动器, 然后转移到安装程序所在的子目录,键入WINNT /B。

 

安装过程

由于本章的目的, 我们使用三张软盘来开始安装WINDOWS NT。 如果是其它的两种安装方法(如上所说的CD_ROM和网络安装), 只需要把开始时的命令行改成WINNT /B就可以了。 安装过程余下的部分就和软盘安装是完全一样的。

首先要完好无损的软盘启动, 也就是插入安装的启动盘,然后重新启动计算机。 这个操作启动了WINDOWS NT的安装程序,开始了安装过程。

 

当第二张安装软盘被插入,WINDOWS NT开始加载保护模式的NT核心程序。 你会看到屏幕突然一闪,然后出现了NT的蓝屏幕。在这以后, 安装程序的欢迎的界面就出现了。

屏幕提供了几个选项, 你可以通过按合适的键来选择这些选项。

F1 学习更多的关于WINDOWS NT的东西

Enter 安装WINDOWS NT

R 修复一个损坏了的WINDOWS NT安装版本

F3 退出安装

假设没有不完全安装的或损坏了的WINDOWS NT存在,按下会车键就可以了。

下一个界面描述了WINDOWS NT如何检测大容量的存储器。 这是很重要的一步,因为WINDOWS NT检测出系统现存的所有大容量存储器是至关重要的。 WINDOWS NT能自动地检测出所有的软盘驱动器和基于ESDI/IDE的硬盘控制器,但是SCSI控制器需要特别指定。 有一下的两个选项:

Enter 继续进行大容量存储器的检测

S 跳过大容量存储器的检测

除非WINDOWS NT在前面已经错误地检测出了一个大容量存储器,我们建议的操作是按会车。

下一个屏幕会提醒你插入第三张软盘, 代替第二张软盘,如何按会车。 下面, WINDOWS NT将拷贝和加载大容量存储设备的驱动程序,并测试现存类型的适配器。WINDOWS NT 4.0的大容量存储器的安装界面和WINDOWS NT3.5的安装界面没有值得注意改变。在WINDOWS NT4.0中, 微软停止了对以下设备驱动程序的自动支持:

n Always IN-2000(always.sys)

n Data Technology Corp.3290(dtc329x.sys)

n Maynard 16-bit SCSI adapter (ws33c93.sys)

n Media Vision Pro Audio Spectrum (tmv1.sys)

n Trannor T-128(t128.sys)

n Trannor T-130B(t128.sys)

n Ultrastor 124fEISA Disk Array Controller (ultra124.sys)

 

如果有上面列出的设备在系统中使用, 仍然可以安装合适的驱动程序,但是必须从软盘安装(或你能记住它在WINDOWS NT CD_ROM中的位置)。

 

以下是生成驱动程序软盘的快捷而简单的方法:

1。 准备好一张格式化好的空的3寸软盘

2。 拷贝\drvlib\storage\retrired\processor下的所有文件, 在这里processor决定于在要升级的服务器上使用的CPU的类型(MIPS,I386,或Alpha)。

 

在WINDOWS NT 安装程序完成这个检测过程以后, 被发现的设备就被列出了。 在这时, WINDOWS NT 还可以让你安装没有在上面列出的设备,这些是NT不自动检测的设备。 下面有两个可选的选项:

Enter 所有的设备已经被检测;继续安装

S 需要手动安装附加的设备驱动程序

 

如果所有的设备都被正确地检测到了, 按下会车键。 WINDOWS NT就会拷贝系统所必须使用的驱动程序和组件。 这些驱动程序包括支持ESDI/IDE硬盘控制器的驱动程序,NTFS的驱动程序,等等。

下一步是同意WINDOWS NT的许可协议。 这一步很重要, 在继续安装之前,你应该读完并理解所有的许可协议。 按下PageDown键,显示许可协议的余下部分。在协议的最后部分,WINDOWS NT安装程序提供了两个选项:

F8 同意协议,继续安装

Escape 不同意协议。 这会造成WINDOWS NT 安装程序退出。 在继续安装以前你必须同意遵守这个协议。

假设这个协议是可接受的, 按下F8键。

 

下一步, WINDOWS NT安装程序开始搜索现存的WINDOWS NT安装版本。 如果系统上存在一个以前安装的WINDOWS NT 。安装程序会让你选择是重新安装,还是更新原有的版本。 更新安装会保留原有系统的很多帐户,以及许多特定的应用程序的设置。 如果存在原有的安装版本,安装程序会提供以下两个选择:

Enter 更新原有的安装版本

N 重新安装一份新的NT

如果WINDOWS NT是被安装在一个空的磁盘分区上,系统就不会出现上述的选择。我们假设以前没有老的WINDOWS NT安装版本。

WINDOWS NT安装的再下一步就是选定NT的系统分区,及其文件系统类型。 如果在磁盘上已经存在分区了, 安装程序会把它列出来, 让你去选择。 如果磁盘上不存在分区, 安装程序会检测现存的物理磁盘,并让你现在定义分区。 就是磁盘分区已经存在, 安装程序会提供以下的两个选项:

Enter 在所选的分区上安装WINDOWS NT

C 从可用的磁盘空间上建立一个分区

D 删除一个选中的现存分区

 

如果系统分区事先已经建立了, 只需要用上下键一定亮条来选择,然后按下会车键。 如果系统分区没有建立,那么按下C键,建立一个合适大小的分区。这个分区的大小必须能满足所预计的需要。 空间需要在很大程度上决定于增加到WINDOWS NT 上的基于系统的资源(磁带备份软件,碎片整理软件,等等)。有一条好原则就是不要吝惜磁盘空间。 因为在WINDOWS NT安装好以后在扩大分区的大小是一件很麻烦的事,而且系统分区过小会是系统离线要化更多的时间。

再下一步就是格式化选中的系统分区。 就是这次安装中,现存的系统分区已经被格式化成FAT文件系统了。基于这个前提,WINDOWS NT会提供以下选项:

n 格式化成FAT分区

n 格式化成NTFS分区

n 把现有分区转换成为NTFS分区

n 保持现有的分区形式不变

 

由于系统要使用许多的NTFS特征(热安装,安全性,监督,等等),所以推荐的选项是把现有分区转换成NTFS分区。 所以,用户可以使用上下键移动亮条,选择格式化成NTFS分区选项,或选择把把现有分区转换成为NTFS分区选项,然后会车。

 

下一步就是为WINDOWS NT安装程序指定系统目录。如果要使系统有最好的安全性,建议你把缺省的\WINNT改成任何其它的名字。 改变系统子目录的名字可以防止黑客恶意地执行系统目录下的脚本文件和批处理文件。

WINDOWS NT安装程序的下一步就是对安装系统的分区进行检测错误。推荐你在这一部时,按下会车键。

在磁盘检测完成以后, 安装程序开始拷贝安装所必须的文件。 当拷贝文件完成时,安装程序会提醒你这一部分的安装已经完成了。 如果要继续安装,请按下会车键。

 

注意

注意一定要把软盘从驱动器中取出。

 

当系统重新驱动时, WINDOWS NT在图形界面下继续安装。

在图形界面下继续安装有以下几部: 收集关于你的计算机的信息, 安装WINDOWS NT 网络, 完成安装。 继续安装, 请按下NEXT按钮。

经过几个安装步骤以后,WINDOWS NT 安装重新需要一些配置信息,以便安装能继续下去。 这时,你可以把前面准备好的配置列表拿出来,同时以安装光盘作为参考。 然后进入下一部分的安装。

 

用户身份

当WINDOWS NT 安装程序询问你的名字的组织名时,你只要在正确的地方输入,然后按下NEXT按钮就可以了。

 

输入许可信息

WINDOWS NT 需要许可关键字,这个关键字一般可以在WINDOWS NT 的CD_ROM上或WINDOWS NT的软件说明书上找到。 在合适的框内输入CD Key, 然后会车就可以了。

 

选择需要的许可模式

WINDOWS NT 的安装程序现在会提醒你选择所需的许可模式。 有两种模式可以选择: per-server和per-seat许可模式。 per-server许可模式设计成同时只允许特定数目的客户访问这个服务器。运行客户的数目当然决定于你购买的服务器的许可协 议。 per-seat许可模式把注意的焦点放在客户端计算机的数目上。 它的目的是使客户端的计算机能访问到尽可能多的WINDOWS NT4服务器的资源。 同理, 能合法使用NT4服务器资源的客户数目决定于你购买的WINDOWS NT4的客户许可协议。

很难确定哪里一种许可协议更好一些; 它完全决定于你的系统的工作环境。最好是列好两张价目表,一张是per-sever的,另一张是per-seat的,然后选择一 个最合适的。 在作这个估算时一定要考虑到以后的需要。 如果WINDOWS NT 的使用数目在以后会增加, 切记要把这个也要考虑在价格估算中。

如果你使用的是per-server许可模式的版本,选择Per-Server选项,然后输入你购买的许可协议的客户数目。 如果你使用的是per-seat许可模式的版本,选择Per-Seat选项。 在选择好以后,按下NEXT键继续。

 

 

注意

基于CD_ROM的WINDOWS NT安装过程中, 也许会出现一个确认对话框,让你确认的你的许可协议。你只要选择上I Agree的复选框,然后,点击OK继续安装。

 

选择计算机的名字

计算机的名字用来在网络中唯一确定的你的系统。 由于这个原因, 计算机名字不可以和现有的计算机,工作组,域名同名,而且必须小于16个字符(注意:你的计算机名并不是在INTERNET上的 名字。这个名字叫做主机名, 它会在以后的配置中设定。)。 在文本框中入合适的计算机名字,然后点击NEXT按钮。

 

 

确定服务器类型

在安装过程的这一部分, WINDOWS NT 安装需要知道你想把机器任何使用,是安装成独立的服务器,备份域控制器,还是主域控制器。(如果需要的话, 可以参考前面的关于独立服务器和域控制器的部分。) 你要作出一个合适的选择。 由于作为WEB 服务器的就是一般不再作为局域网的其它用途,所以我们推荐安装成独立服务器模式。 由于以上的原因,我们假设这个WEB 服务器安装成了独立服务器模式, 就是先选择Stand_Alone Server 选择按钮,任何点击NEXT 按钮。

 

设置管理员帐户的口令

WINDOWS NT安装程序在安装的过程中会自动生成一个管理员帐户(还有其它的)。 原因安全的原因, WINDOWS NT在安装的过程中需要你输入管理员口令。管理员口令最长15个字符,而且是区分大小写的。在PASSWORD框内和CONFO RM PASSWORD框内输入后,在点击NEXT按钮。

 

生成紧急修复盘

在WINDOWS NT因为某种原因而损坏时, 紧急修复盘(ERD)是一个很重要的必须组件。 它存储了现有系统的全部配置,并且可以用它来恢复系统的这些设置。

在每次系统的配置改变时都必须更新ERD。 例如,增加一个硬盘, 改变分区的大小,增加一个设备驱动程序,用Service Pack更新系统,等等这些改动,都需要更新ERD。这个可以在WINDOWS NT 安装完成以后,运行RDISK.EXE应用程序来实现。RDISK会更新现有的ERD,如果有必要的话,它会生成新的ERD。

生成最初的ERD,只需要选择YES选项,任何点击NEXT继续。

 

选择附件

在这一步,WINDOWS NT 运行安装者选择要安装的组件。 主要的组件组都列出在组件窗口里。 为了看到这个组件组的详细内容,只要选中这个组件组,然后点击Details按钮。一旦所需要的组件都被选中, 点击NEXT按钮继续安装。

 

 

 

注意

如果你对要安装的组件不了解,或你需要改变组件的内容。 微软公司在设计时提供了在WINDOWS NT安装以后, 再增加和删除组件的能力。 这可以在控制面板里通过使用Add/Remove应用程序来实现。

 

安装网络组件

在安装过程的这一部分,需要安装和配置你所需的网络组件。点击NEXT 继续。

 

 

定义WINDOWS NT 的网络的连接方式

在安装过程的这一部分, WINDOWS NT安装程序需要你的系统要使用的网络连接的类型。有两种选择, 一种是Wired to Network,另一种是Remote Access to Network。

对于大部分用户,应该选择 Wired to Network。 但是对于那些正使用modem和那些希望使用Remote Access Service(RAS)的用户,则应该选择 Remote Access to Network 。 而且, 对于那些少数使用modem提供INTERNET连接的用户(例如,由一个ISP提供静态的IP地址的用户),Remote Access to Network框是他们唯一可选的。

虽然RAS提供了几个有利的特征(通过modem的远程管理,等等),但是它同样存在安全问题。 如果安装RAS,并且配置RAS 使他能接受拨号访问, 要确保已经采取了一定的安全措施来防止非法入侵。

由于大部分用户都不用modem, 我们这里把Wired to Network作为一个例子来说明。 就是选中Wired to Network框以后,点击NEXT继续。

 

 

注意

如果日后需要Remote Access Service(RAS),它可以通过控制面板里的网络应用程序来安装。

 

安装Internet Informatin Server(IIS)

在安装过程的这一部分, WINDOWS NT的允许安装者选择是否安装Internet Informatin Server(IIS)。如果你选中了这个复选框,WINDOWS NT安装程序会自动安装Internet Informatin Server(IIS)。 我们推荐不要在安装WINDOWS NT的过程中安装IIS ,因为IIS的缺省配置不提供足够强大的安全性, 而且这个安装过程也不能选中IIS的所安装的分区。一旦WINDOWS NT 安装完成了, 就可以安装和配置IIS 以满足你所需要的功能。

如果在安装WINDOWS NT以前,你已经把IIS所要安装的分区和它的配置都准备好了,你现在就可以安装IIS了。

 

 

检测网络适配器

在安装过程的这一部分, WINDOWS NT安装程序进行对系统现有的网络适配器的检测。只要简单地点击Start Search按钮就可以开始搜索现存的网卡。 如果WINDOWS NT 安装出现正确地检测到了系统的网络适配器, 就点击NEXT按钮,继续安装。 如果WINDOWS NT 安装程序不能正确检测网络适配器,或根本不能发现网络适配器的存在,这时你必须手动地点击Select From List 按钮, 选择适合你的机器所安装的网络适配器的驱动程序。 假设你的网络适配器已经检测正确了,在选中这个复选框以后, 点击NEXT,继续安装。

 

 

注意

在WINDOWS NT安装程序安装网络适配器的时候,很少有检测不正确的情况。 如果安装程序检测不到你安装的网络适配器, 这个适配器可能没有正确配置,或和系统里的其它设备有冲突,或在某项方面有故障。 如果安装程序不能检测到网络适配器, 你可以试著点击Select from List按钮,选择一个合适的驱动程序。如果这也不能解决问题, 就准备去换一个网络适配器。

 

 

选择网络协议

在安装过程的这一部分,WINDOWS NT需要知道你要安装那些网络协议。缺省的可用协议是TCP/IP,IPX/SPX, NETBUEI。 TCP/IP协议是在INTERNET上通讯所必须的协议, 必须安装。 IPX/SPX和 NETBUEI是用于局域网上通讯使用的。虽然基于安全的目的,我们建议不要安装,但是如果需要的话,也可以安装。 基于INTERNET的WEB 服务器是不推荐安装基于局域网的服务的,因为它会严重地影响系统的安全性。 可用通过点击协议描述旁边的复选框来选择所需的协议,然后点击NEXT按钮继续。

 

选择系统的服务

在安装过程的这一部分,WINDOWS NT需要知道你要安装那些网络服务。缺省的可用服务是RPC 配置服务,NETBIOS接口服务,Workstation服务和Server服务 。 其它的服务可用通过点击Select from List按钮,然后进行选择。 在这些服务中对WEB服务器最有用的是Microsoft DNS Server 服务和Simple TCP/IP Service 服务。 在这次安装中我们假设安装了这两个服务。一旦所需的服务都已经添加,点击NEXT继续。

 

检查和安装网络组件

在安装过程的这一部分,WINDOWS NT安装程序让你检查前面选择的网络组件,协议和服务。如果所有的选择都是正确的,点击NEXT继续。 WINDOWS NT安装程序就会开始把前面所选的组件安装到系统上。

 

提供配置信息

在这个安装阶段, WINDOWS NT安装程序会向你询问关于上面选中的网络组件的详细信息。在安装准备好一个配置列表对这一阶段的安装是很重要的。 如果配置列表已经很完备了, 你就可用把所有的信息填入合适的位置。 如果有些信息在这时不是急需的, 你在安装完成以后还可以修改。

假设这次安装是遵循向导安装的,而且只安装所推荐的组件,WINDOWS NT安装程序会向你询问有关信息。注意,以下的各步和你选择安装的组件有关。

 

 

注意

这里提供的配置建议是WINDOWS NT完成安装的最小需要。 其它的配置(其它的服务,协议,得到)也可能是需要的,这决定于你的特殊需要。

 

WINDOWS NT安装程序首先会向你询问在上有关阶段检测到的网络适配器的其它信息。 这和网络适配器是基于ISA,PCI或Microchannel(gasp!)有关, 询问的信息有IRQ, 端口基地址,还有连接媒介的类型,甚至PCI slot number。这完全决定于你所有的网络适配器。当检查好这些信息后,点击OK。

下一步,安装程序询问系统是否使用DHCP(Dynamic Host Control Protocol),它通过网络上的一个DHCP服务器为这个机器分配一个IP地址。 因为WEB服务器应该有一个或几个静态的IP地址,而不是动态的地址,所以使用DHCP在这里是不合适的。应该选择NO按钮。

然后安装程序显示TCP/IP协议的属性对话框, 这个多重对话框是你配置TCP/IP属性的主要界面。

IP地址的一页需要你提供以下信息:IP地址,子网屏蔽, 和缺省网关。 这些都是系统在基于TCP/IP的网络(包括INTERNET)上通讯所必须的。 按配置列表的内容输入详细信息到文本框内。

另一页(关于DNS),需要你提供关于系统与INTERNET连接的信息。 主机名的文本框内缺省地填入了前面步骤所提供的计算机名 。注意, 这个名字不一定要和计算机名相同(它在NETBIOS命名相同中使用),如果需要的话可以改变。 系统在INTERNET上是用这个名字的,所以要选择应该合适的名字。 Domain文本框需要填写系统名字的后缀,或域名。 这个名字是有InterNIC 注册的,用来在TCP/IP网络上确认计算机的身份。 例如, 系统的主机名是WWW, 而域名是ADOMAIN.COM, 用户就可以用WWW.ADOMIAN.COM来连接这个系统。注意,这也不是用来确认你的计算机的唯一的名字。域名服务器支持使用别名,它允许这个系统使用多个名字。

在Host Name和Domain文本框的下面,是定义系统所使用的域名服务器的地方。 这些IP地址应该由你的ISP提供,通过点击Add按钮DSN Service Search Order area来增加你所用的域名服务器。通常, 应该按照可靠性的顺序依次添加多个DNS 服务器。 DNS 服务器可以通过上下键来确定它的优先权。 当这些信息都已经输入后, 点击OK。

 

检查协议的连接

在这个安装阶段, WINDOWS NT 让你检查协议连接的优先权。 这一步你可以在WINDOWS NT提供的这些协议中设定优先级。优先权越高,服务的质量就越高。如果TCP/IP协议是所选的唯一协议, 就不需要调整这些协议的连接,因为这里只有一个协议。 如果按照了多于一个的协议, 调整协议连接就有必要了。 通常, 最好保留缺省的协议连接优先级不变。当协议连接检查过或改过以后, 点击NEXT。

 

启动网络

这一步是为允许WINDOWS NT网络组件作准备的。 如果系统的配置不正确, 系统将弹出一个错误的消息框,提醒你去再次配置。点击NEXT,继续。

 

把系统加入到一个工作组或域

在网络组件都已经正确地配置以后, WINDOWS NT按照程序需要你确定你的系统在网络中的位置。 注意,你的系统可以建立自己的工作组,或加入到一个以存在的工作组,或加入到一个以存在的域中。在这次安装中, 我们把系统加入到一个名字为WEBSERVICES的工作组。 如果系统要加入到一个已经存在的域中,你必须知道一个管理员级的ID和PASSWORD。如果没有管理员的权限,WINDOWS NT安装程序不允许把计算机加入到一个已存在的域中。例如,选择工作组选项,然后在工作组文本框内输入WEBSERVICES, 点击NEXT继续。

 

完成安装

在这个安装阶段,WINDOWS NT已经按前面提供的配置选项安装完成了。点击NEXT开始这一部分的安装。

如果要安装Microsoft IIS ,安装程序需要关于安装和配置IIS的信息。参考前面安装时所配置的数据,把IIS系统文件和WWWROOT目录安装在预定的分 区内。另外,基于你自己的需要,选择和取消你要安装的部分。如果FTP和GOPHER不需要,就不要安装了,因为他们会使系统的 安全出现漏洞。当IIS被正确配置以后,点击OK按钮。

下一步, 安装程序拷贝完成系统安装的全部所需文件,并建立系统注册表。在这一步,你可以选择是否安装SQL Server ODBC驱动程序,确定系统的时区, 设定显示器的模式(这时屏幕可能会闪烁),生成紧急修复盘,和保存系统的注册信息。

在你重新启动WINDOWS NT以后,系统看起来工作正常,你就必须开始准备安装IIS。IIS的WWW数据应该安装在它自己的WEB分区,这样可以减少系 统被非法入侵的危险。如果WWW分区还没有建立或格式化,先启动磁盘管理器来完成这项操作。在分区已经被建立而且被格式化成NT FS格式后,你就可以继续安装IIS。你会注意到桌面上有一个指向IIS安装程序的快捷方式。 IIS的系统文件还在WINDOWS NT 的安装光盘上,在安装以前必须把CD_ROM准备好。双击IIS安装快捷方式,执行IIS安装程序,只选择那些需要的组件安装, 在WWW分区上为IIS系统选择一个合适的安装目录。然后,IIS安装程序开始安装和配置必须的软件。

当微软公司推出IIS2.0和WINDOWS NT4.0时,Active Server Page(ASP)还在开发中。因此,必须从网络上下载Active Server Page的安装程序。ASP在微软的站点上可以得到, 它包括在Micropsoft TechNet subscription中。

最后,安装完这些必须的组件以后,一定要使用微软最新推出的Service Pack 软件包。这可以确保去除那些最近发现的bug和增加那些最近推出网络系统新功能。

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 
aleebaba
Newbie
Newbie


加入: 2004/5月/17
Online Status: Offline
回复: 29
Posted: 2004/6月/02 4:01下午 | IP记录 引用 aleebaba

管理工具

这一部分介绍一些WINDOWS NT服务器的管理工具,这些工具是和服务器软件集成在一起的。这些工具提供良好的界面来完成管理功能。

 

用户管理器

用户管理器是一个用来修改WINDOWS NT用户数据库的工具。 它提供了一个简单的界面,可以为用户分配用户组,重新设置PASSWORD,允许监督,配置用户权限,等等(见图1.7)。它位 于开始菜单中的管理员工具栏中。

 

图1.7 Windows NT用户管理器

 

 

事件查看器

事件查看器用来监督系统的全部应用程序和安全事务。 它提供扩展的事务过滤功能可以帮助用户仔细查看事务的日志文件(见图1.8)。 事件查看器也可以确定如何获取和保留事务的日志信息。

 

    图1.8 Windows NT事件查看器

磁盘管理器

磁盘管理器扩展安装在这个系统上的硬盘。 一个合法的用户可以使用这个工具来建立和删除分区,建立基于软件的RAID容错配置, 给逻辑盘分配驱动器号(见图1.9)。

1.9 WINDOWS NT磁盘管理器


 

 

 

 

 

 

 

 

 

服务器管理器

服务器管理器使授权用户可以查看和改动现在连接的用户和正在使用的资源, 可以建立和删除共享点,启动和停止服务, 也可以配置服务器对客户的反应信息(见图1.10)。

图1.10 WINDOWS NT的服务器管理器

 

 

 

 

 

 

 

 

 

 

 

 

性能监视器

性能监视器也许是你最常用的工具。 它能跟踪多种系统资源,还可以以多种方式显示数据(见图1.11)。在第8章中的WINDOWS NT4.0概念和规划中,将对性能监视器的特征和功能进行详细的说明。

图1.11 WINDOWS NT的性能监视器

 

 

 

 

 

 

 

 

总结

这一章介绍了如何安装你的系统和如何使你的系统在INTERNET上运行。注意,一旦你的系统在线以后,你必须继续维护和监视你 的系统。祝你好运!

Back to Top 查看 aleebaba's 资料 搜索其它贴子 aleebaba 访问 aleebaba's
 

如果你想回复的话你必须首先 login
如果你还没有注册的话你必须首先 注册

  回复发表新主题
显示可打印的页面 显示可打印的页面

论坛跳转
不能 张贴新论题在这个讨论版
不能 回应论题在这个讨论版
不能 删除你的发言在这个讨论版
不能 编辑你的发言在这个讨论版
不能 新增投票标题在这个讨论版
不能 在这个讨论版投票

Edit by doreme Forums version 2004
Welcome ©2001-2004 doreme Guide

This page was generated in 0.1870 seconds.

 
保养品
保养品, Skin Care
www.elady.tw
美材批发
美材, Cosmetic
www.elady.tw/beauty_org
保养品批发
名牌保养品、保养品批发
gb.perfume.com.tw/skincare
饰品批发
饰品、饰品批发
gb.perfume.com.tw/ornament