1、服務器日常管理手冊前言服務器日常管理手冊終于跟大家見面了。這里面凝聚著 E 動人的心血和對廣大客戶的關愛。在多年的服務過程中，通過長期的觀察與總結，我們發現，僅僅靠我們的服務是不夠的，因為我們的服務屬于亡羊補牢式的服務。要想讓客戶服務器能穩定正常運行，關鍵還是要少出故障。 這就顯示出客戶的日常維護的重要性。 在目前廣大客戶技術水平參差不齊的情況下，我們考慮，提供一個服務器日常管理的范本，將我們多年服務器管理的經驗拿出來與大家分享，讓更多的新 IT 從業人員少走彎路，減少不必要的錯誤。我們能體會到客戶的迫切心情和對 E 動的殷切希望，我們也一直努力提高我們的技術水平與服務能力。 我們知道，僅僅靠

2、一個管理手冊解決不了所有問題， 但這是 E 動人為提高客戶技術水平所做的努力。 我們歡迎有更多的客戶能加入到我們這行列， 把自己好的管理經驗與大家一起分享， 共同為創造一個更加穩定和諧的網絡環境而努力。中國 E動網12月26 日Web Ftp Mail服務器的日常管理與維護一、設置和管理賬戶二、網絡服務安全管理三、系統安全管理四、打開相應的審核策略五、 IIS 的安裝與配置六、 Serv-U 的基本設置七、用 WebEasyMail架構 Web郵件服務器一、設置和管理賬戶1、系統管理員賬戶最好少建，更改默認的管理員帳戶名（Administrator）和描述，密碼最好采用數字加大小寫字母加數字的

3、上檔鍵組合，長度最好不少于14 位。2、新建一個名為 Administrator 的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于 20 位的密碼。3、將 Guest 賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼，然后禁用。4、開始 - 程序 - 管理工具 - 本地安全策略，選擇計算機配置-Windows 設置 - 安全設置 - 賬戶策略- 賬戶鎖定策略，將賬戶設為“三次登陸無效” ，“鎖定時間為 30 分鐘”，“復位鎖定計數設為 30 分鐘”。5、在安全設置 - 本地策略 - 安全選項中將“不顯示上次的用戶名”設為啟用。6. 本地策略 - 安全選項 - 對匿名連接的額外限制

4、. 選擇 ( 不允許枚舉 SAM 帳號和共享 )二、網絡服務安全管理1、禁止 C$、D$、 ADMIN$一類的缺省共享打開注冊表， HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，在右邊的窗口中新建 Dword 值，名稱設為 AutoShareServer 值設為 0. 注冊表不了解 . 不要隨便更改 .2、 解除 NetBios 與 TCP/IP 協議的綁定右擊網上鄰居 - 屬性 - 右擊本地連接 - 屬性 - 雙擊 Internet協議 - 高級 -Wins- 禁用 TCP/IP上的 NETB

5、IOS3、關閉不需要的服務，以下為建議選項開始 - 所有程序 - 管理工具 - 服務Computer Browser:維護網絡計算機更新，禁用Distributed File System:局域網管理共享文件，不需要禁用Distributed linktracking client：用于局域網更新連接信息，不需要禁用Error reporting service：禁止發送錯誤報告Microsoft Serch：提供快速的單詞搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服務和 Microsoft Serch用的，不需要禁用PrintSpooler：如果沒有

6、打印機可禁用Remote Registry：禁止遠程修改注冊表Remote Desktop Help Session Manager ：禁止遠程協助 Messenger: 信使服務 (windows2000)Task Scheduler:允許程序在指定時間運行( 不用計劃任務就禁用掉 )TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務以及 NetBIOS 名稱解析的支持注：新上架的服務器已經做過其他安全設置只開以下端口，需要開其他端口可以在。右擊網上鄰居 - 屬性 -Internet 協議（ TCP/IP）屬性 - 高級 - 選項 -TCP/I

7、P 篩選屬性 -TCP 端口添加你想要開的端口 .默認開啟的端口列表：FTP:mail:Web:80pcanywhere:5631遠程桌面： 3389 (3389 不要關閉，否則將無法遠程連接)三、系統安全管理1. 對于系統的 NTFS磁盤權限設置 ,C 盤只給 administrators和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的 system 權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。2. Windows目錄要加上給 users 的默認權限，否則 ASP和 ASPX等應用程序就無法運行。3. 另外在 c:

8、/Documents and Settings/ 這里相當重要，后面的目錄里的權限根本不會繼承 從前 的設 置， 如果僅僅 只是 設置 了C 盤給administrators權 限， 而 在AllUsers/Application Data目錄下會出現 everyone 用戶有完全控制權限，這樣入侵這可以跳轉到這個目錄，寫入腳本或只文件，再結合其他漏洞來提升權限.4. ，這些文件都設置只允許訪問 .guests 禁止訪問四、打開相應的審核策略開始 - 程序 - 管理工具 - 本地安全策略 - 安全設置 - 本地策略 - 審核策略注 :windows2003 已經開啟部分 .windows200

9、0 沒有開啟 . 可以根據實際情況來設置 .推薦的要審核的項目是：登錄事件成功 失敗賬戶登錄事件成功 失敗系統事件成功 失敗策略更改成功 失敗對象訪問失敗目錄服務訪問失敗特權使用失敗五、 IIS 的安裝與配置安裝過程 在控制面板里依次選擇“添加或刪除程序”的“添加 / 刪除 Windows 組件”；雙擊“應用程序服務器”， 再雙擊“ Internet 信息服務 (IIS) ”，選中“萬維網服務”（注：此選項下還可進一步作選項篩選，請根據自己需要選用，如下圖所示），點確定即安裝完成。 ( 一個方便的方法 : 選中其他的組件會自動選上)的配置WEB服務默認隨系統啟動，最初安裝完成是只支持靜態內容的

10、（即不能正常顯示基于 ASP的網頁內容），因此首先要做的就是打開其動態內容支持功能。依次選擇“開始”“程序”“管理工具”“inter信息服務管理器”，在打開的IIS 管理窗口左面點“ web 服務擴展”；將鼠標所在的項“以及“ Active Server Pages”項啟用（點允許）即可。右擊網站 - 新建 - 網站 . 按向導操作輸入網站描述：這里可以隨便填. 一般為了方便查找 . 填寫網站的域名網站 IP 地址：服務器只有一個IP 地址這里可以選 ( 全部未分配 ), 如果選了 IP. 在更換服務器 IP 時. 這里的 IP 也要進行更換 . 所以為方便 . 這里也不選 .網站 TCP端口

11、 ( 默認值 :80)(T)：: 默認為 80. 有特殊需要也可以更改為其他沒有用的端口( 如 81). 但訪問時要在域名端口號此網站的主機頭（默認：無） ：服務器做虛擬主機或者服務器上有多個站點時。主機頭填寫該站點的域名。只有一個站點可以不填（注：主機頭是唯一的。不可以和其他主機頭重復）路徑：單擊瀏覽。找到網站程序所放的目錄。允許下列權限：默認權限即可。這樣一個站點就初步建好了。添加主機頭：右擊剛建的站點（）屬性文檔選項卡添加添加上默認的首頁文件名：默認的首面文件通常有： 網站選項卡新建站點的一個基本設置在這里可能更改。選擇高級：可以給網站添加多個域名。IP 地址：默認端口： 80主機頭值：

12、需要添加的域名( 如： 注：添加的域名不可重復。更改 IIS 日志的路徑右鍵單擊“默認Web站點屬性 - 網站 - 在啟用日志記錄下點擊屬性建議 :IIS 日志默認是放在 C:WINDOWSsystem32LogFiles 下. 服務器運行一段時間后 . 日志會特別大 . 造成 C盤空間不足 . 建議把路徑改在其他盤符2、性能選項卡：對于做虛擬主機想限制各個站點帶寬的。這項很有用。3、主目錄選項卡：本地路徑 - 瀏覽：網站程序的路徑。配置選項選項卡：會話超時： session 的存活時間啟用父路徑： windows 默認沒有勾選這個選項。在 asp 程序中使用“ ./ ”，請請復選框選中4、目

13、錄安全性選卡如果你的網站訪問需要用戶名和密碼。可以檢查一下，是否啟用了匿名訪問，并檢查一下上面的用戶名： 如上圖就是： IUSR_EDONG-FU5JINJ65這個用戶對網站程序有沒有訪問的權限。5、IIS 設置進行備份有多種方法可以用來完成此項工作。在 Internet 信息服務管理器控制臺（ IIS 插件）中所設置的屬性和值都被儲存在文件中，缺省情況下，這個文件位于“C:inetsrv”目錄中。在 IIS中，你可以從內置的IIS 插件中來備份元數據。如果需要進行此工作，請選擇桌面上的計算機圖標然后單擊右健。然后再選擇“備份/ 恢復配置”。然后你就可以選擇備份現有元數據設置或者恢復以前的版本

14、。與此相同的選項在 MetaEdit中也可找到。當你以這種方式保存了元數據時，你的備份將以.md0 文件的格式儲存在 C:winntsystem32instrvmetaback文件夾中。當你執行備份時， 文件將使用你所指定的名稱，如。如果你使用相同的文件名創建了多個備份，他們將使用數字逐漸遞增的擴展名，如，等等。 在你的元數據嚴重損壞的情況下，你將不能啟動 IIS 。此時，你也不能從 IIS 插件或 metaedit 中執行恢復操作。如果真的發生了類似情況，你就可以通過從備份文件夾中選用最合適的 .md0（ .md1 等等）元數據備份文件來替換。如果你的備份文件沒有錯誤， IIS 將會立刻啟動

15、。制作元數據的備份還有其它兩個意義。你可以使用 xcopy，scopy 或其它復制程序來簡單地復制文件。你應該先停止 Internet 服務，以保證你的元數據是最新的并且不在使用狀態中。最后，我們還提供了兩個腳本和它們位于Inetpub/IISSamples/sdk/admin（如果你在IIS上安裝了IIS SDK ）文件夾中或在IISResource Kit/Utility/ADSI Admin Scripts文件夾（如果你安裝了IIS Resource Kit）中。這些 .vbs 腳本使用了一個ADSI命令，它是專門為創建元數據備份而提供的。6、利用 WIS (Web Injection

16、Scanner)工具對整個網站進行SQL Injection脆弱性掃描.7、如果需要加裝支持，的安裝目錄網站匿名用戶一定要有讀的權限。8、為了防止跨站瀏覽，建議每個網站，使用不同的來賓賬號進行訪問。設置方法：A、右擊我的電腦 - 管理 - 本地用戶和組 - 右擊（新建用戶 , 如：webuser，密碼為：edonguser ）,設置為 guests 組。B、為您的網站目錄添加相應的權限。 如您的網站目錄在： D:hostsedong 。右擊 edong 文件夾，找到安全選項卡，設置權限為：administrator 完全控制。System 完全控制，webuser除完全控制外其他權限都給。C、

17、打開 IIS 管理器 , 右擊需要設置的網站屬性選擇“目錄安全性”選項卡“身份驗證和訪問控制”編輯 - 啟用匿名訪問 - 用戶名輸入： webuser 密碼輸入： edonguser六 . Serv-U 的基本設置1. 建立 FTP服務器服務端(1) 、比如本機 IP 地址為“，已建立好域名“的相關 DNS記錄。(2) 、打開Serv-U 管理器 . 如下圖的“ Serv - U Administrator”，右擊Domain（ NewDomain）。此向導可以幫你輕松地完成基本設置，因為建議使用它。直接選“ Next”（下一步）。如下圖3) 、請隨著安裝向導按以下步驟來進行操作： Domai

18、n IP address （IP 地址）：輸入“。 Domain name（域名）：輸入“。(3)Domain Port number(端口 ): 默認為 21. 如果想改端口也可以選其他的.(4)Domain type : 默認選就行了 . 這樣備份方便 . 只要把安裝目錄下的 : 文件 COPY一下就可以了 . Install as system server（安裝成一個系統服務器嗎） ：選“ Yes”。 Allow anonymous access （接受匿名登錄嗎）：選 NO.因為服務器不能允許匿名登錄 Lock anonymous users in to their home dir

19、ectory （將用戶鎖定在剛才選定的主目錄中嗎）：即是否將上步的主目錄設為用戶的根目錄；一般選“ Yes”。 Create named account （建立其他帳號嗎）：此處詢問是否建立普通登錄用戶帳號；一般選“ Yes”。 Account login name （用戶登錄名）：普通用戶帳號名，比如輸入“ edong”。 Password（密碼）：設定用戶密碼。由于此處是用明文（而不是）顯示所輸入的密碼，因此只輸一次。 Home directory （主目錄）：輸入（或選擇）此用戶的主目錄。 Lock anonymous users in to their home directory（將

20、用戶鎖定在主目錄中嗎） ：選“ Yes”。 Account admin privilege （帳號管理特權）：一般使用它的默認值“ No privilege ”（普通帳號）。最后選“ Finish ”（結束）即完成設置。如下圖：(4) 、基本權限。比如在左邊的面板中選中“ edong”用戶，則在右邊的面板中出現如下圖的設置窗口。選“ Dir Access ”（目錄存取權限） ，即可設置此用戶在它的主目錄（即“Path”）是否對文件擁有 “Read”（讀）、Write（寫）、“Append”（寫和添加）、“Delete ”（刪除）、“ Execute ”（執行） ；是否對目錄擁有“ List ”

21、（顯示文件和目錄的列表）、“Create ”（建立新目錄） 和“ Remove”（修改目錄，包括刪除，移動，更名）；及“ Inherit ” （以上權限是否包括它下面的目錄樹）等等。注 : “Execute ”（執行）不要選 . 會有很大的安全隱患 .2. Serv-U管理器A、“ Local Server”（本地服務器）屬性1、Local Server （本地服務器）：此處可設置是否自動開啟 FTP服務以及手動開啟或停止 FTP服務等。2、License （許可證）：3、Settings （設置）： General/Max. speed ：可設置最大傳輸速率（ kb/s ）。 General

22、/Max. no. of users：可設置連接到本服務器的最多用戶數。 General 的其他項目均與保持服務器的安全性有關。4、Activity （活動狀態） Users（用戶）：顯示當前登錄的用戶 IP 地址等資料及當前工作狀態； 建議選中“ Auto reload ”（自動刷新）。如果選中某個用戶，單擊右鍵，再選癒 ill User”，即可將它從服務器中踢出去。 Blocked IPs （被擋住的 IP ）：此處用來暫時禁止某些 IP 訪問本系統。單擊工具欄的“”即可增加即可增加被暫時禁止的 IP 地址及禁止登錄的總時間（從增加之后開始計算）。列表中可以看見被禁止的 IP 地址及其對應

23、的計算機的完整的域名和離解禁尚有多少時間（以秒為單位）等等。在列表中單擊右鍵即可以選擇刪除已禁止的IP 地址。 Session Log（系統日志）：記錄所有登錄（或試圖登錄）到本機的操作痕跡及錯誤信息等。B、“ Domains”（域名）屬性1、（即選中的 FTP服務器名）：此處可修改相應域名、IP 地址及端口號等。2、Settings （設置）：及完全允許或禁止登錄的IP 地址等。 General/Max no. of Users（最大用戶數）：此處可以設置允許同時登錄到本FTP服務器的最大用戶數。 IP Access/Deny access （拒絕）：此處可設置僅僅拒絕登錄到本 FTP服務器

24、的計算機的 IP 地址列表。 IP Access/Allow access （允許）：此處可設置僅僅允許登錄到本 FTP 服務器的計算機的 IP 地址列表。 IP Access/Rule （規則）：此處可輸入指定的 IP 地址或 IP 地址的范圍。接受如“之類的單個IP 地址；接受如“之類的 IP 地址范圍；接受如“之類的通配符；接受如“之類的單個字符的限制等多種格式。“Add”為添加，“ Remove”為刪除。 Message（信息）：此處可改變一些提示性顯示信息，如“ Signon messagefile ”（開始廣播）、“ Server offline ”（服務器未工作）、“ No an

25、onymos access”（不接受匿名登錄）等等。3、Activity（活動狀態）： Users（用戶）：顯示登錄到本服務器的用戶及其狀態； 建議選中“ Auto reload ”（自動刷新）。 Domain Log（系統日志）：記錄所有登錄（或試圖登錄）到本服務器的操作痕跡及錯誤信息等。C、 Serv-U 用戶屬性之“ Account ”（帳號）一、 Account （帳號）選項。如下圖：二、各項說明和應用實例1、Disable account（禁用帳號）：如果選中它，則此帳號將無法使用。2、User name（用戶名）：此處顯示并可改變該用戶的登錄名3、Group(s) （組）：如果有建

26、立組，則此處可通過選擇組來更多的目錄。這些組中目錄的屬性由建立組時確定，用戶在“ Dir Access ”中不能修改！4、Password（密碼）：此項為“ <>”（加密）說明有密碼，為保密，因此內容不予顯示。如果為空白，則不需密碼；如有輸入任何密碼均顯示“<>”。5、Homedirectory（主目錄）：此處原則上為用戶登錄后的主目錄；實際用戶登錄的根目錄將由“ General ”屬性中的“ Lock user in home directory”來決定。6、Notes（備注）：此項用來標注一些說明性的文字。七、用 WebEasyMail 架構 Web郵件服務器1.

27、安裝 .在下載源程序后 . 一路回車 . 安裝沒有什么難度2. Web 郵件服務器的配置與設置（1）WebEasyMail服務，如圖所示，它的服務包括 DNS配置和啟動或停止 WebEasyMail 服務程序。右擊狀態欄的 , 選擇 - 服務 , DNS 的 IP 地址與服務器的 DNS IP 地址相同 . 如想修改. 選中修改復選框就可以進行修改 .（ 2）高級管理設置用戶高級選項中， 可以啟動用戶自動清理功能， 規定 100 天未登陸系統， 禁用帳戶； 100天帳戶禁用，刪除帳戶。從而避免一些用戶占用資源。 郵件高級選項中，可以啟動郵件自動清理功能，規定移動超過 100 天的郵件至 Adm

28、in 等其他用戶，刪除所有超過 200 天的郵件。郵件監控功能，如果啟動，可以抄送 Admin 等其他用戶，但一般不作此設置。 Web高級選項中可以規定附件的大小，我們可以規定附件總長度為 5120K（ 5M）或更大。并且可以啟動密碼保護功能，設置休眠時間為 10 分鐘。（ 3）備份在系統備份中，可以查看以前備份的詳細內容，也可以刪除以前的備份；備份時可選取立即備份或更新式備份備份以前所有內容， 也可設置以一天為基準的增量式備份或不備份在在事件查看中， 我們選取以時間命名的事件文件查看就可以看到如圖所示的Web郵件服務器的活動事件記錄。郵件服務器出問題 . 最主要的是查看活動日志 .（ 4）、系統設置用戶管理我們可以設置如 edonguser的用戶即日起帳戶禁用或進行對此用戶的修改、刪除；有多個域 , 可以在域里面做選擇。點圖中的空白處增加帳戶；選中 edonguser( 也可雙擊用戶) 在高級中我們可以設置 POP3代理的接收服務器、端口號、用戶名、密碼以及該用戶的多下載 POP3代理；也可設置該用戶的郵件拒收、自動回復、自動轉發功能以及其郵箱大小為 10M。默