服务器维护

第一部分  服务器环境介绍

第一章    机房环境

机房位置：北航计算机学院三楼

机房陈设：6台立体式空调

机房温度：25℃

第二章    硬件配置

服务器主机型号：IBM xSeries 226(8648I01)

显示器型号：方正显示器

键盘型号：联想SK-8825

鼠标型号：光学鼠标LC PIN 25011851

第三章    软件配置

操作系统：Windows Server 2003

系统软件：

SQL Server 2008

Apache-Tomcat-7.0.64

WampServer2.5

Visual SVN 2.5.25

Tortoise SVN1.8.11

MySQL 5.5.27

 

第二部分  服务器的安装配置

第一章    操作系统安装

第一节    安装系统软硬件

CPU：Xeon DP 2.8GHz

内存：2GB

最大内存容量：16GB

硬盘：146.8GB，2块

显卡：32M集成显卡

网卡：集成的千兆以太网卡

文件：Windows Server 2003安装光盘或镜像文件

第二节    BIOS设置（本部分转载自：http://www.2cto.com/os/201209/157966.html）

1、     启动计算机，按“Del”或“Esc”键进入计算机主板BIOS界面，进行Boot启动设置，设置第一启动项为“CDROM”。如下图所示：

2、     按“F10”键保存并退出BIOS设置。如下图所示：

第三节    操作系统安装（本部分转载自：http://www.2cto.com/os/201209/157966.html）

1、     完成上述过程后，将系统光盘放入光驱中重启电脑，进入Windows Server 2003安装界面，开始运行Windows Server2003安装程序，如下图所示：

2、     进入WindowsServer 2003安装向导，按“Enter”键继续安装，如下图所示：

3、     阅读WindowsServer 2003安装许可协议，按“F8”键同意。如下图所示：

4、     划分磁盘空间，按“C”键。如下图所示：

5、     配置磁盘分区容量后，按“Enter”键。如下图所示：

6、     在选定磁盘分区上安装Windows操作系统，按“Enter”键。如下图所示：

7、     选择对分区进行格式化的文件系统（NTFS），按“Enter”键。如下图所示：

8、     对磁盘格式化。如下图所示：

9、     向磁盘内复制安装文件。如下图所示：

10、   复制文件完成后自动重新启动计算机。如下图所示：

11、   重新启动后显示WindowsServer 2003启动界面。如下图所示：

12、   进入WindowsServer 2003配置界面。如下图所示：

13、   选择区域和语言选项，保持默认配置，单击“下一步”按钮。如下图所示：

14、   输入用户名和单位名称，单击“下一步”按钮。如下图所示：

15、   输入Windows Server2003产品密钥，单击“下一步”按钮。如下图所示：

16、   选择WindowsServer 2003授权模式，保持默认配置，单击“下一步”按钮。如下图所示：

17、   输入计算机名称和管理员密码，单击“下一步”按钮。如下图所示：

18、   设置日期和时间，保持默认配置，单击“下一步”按钮。如下图所示：

19、   安装网络组件。如下图所示：

20、   选择网络设置，保持默认配置，单击“下一步”按钮。如下图所示：

21、   选择工作组或计算机域的网络管理模式，保持默认配置，单击“下一步”按钮。如下图所示：

22、   继续复制文件。如下图所示：

23、   安装开始菜单项。如下图所示：

24、   注册组件。如下图所示：

25、   删除安装系统过程中的临时文件。如下图所示：

26、   重新启动计算机，显示WindowsServer 2003登录界面。如下图所示：

27、   在WindowsServer 2003登录对话框中，按“Ctrl+Alt+Delete”组合键。如下图所示：

28、   输入管理员密码，单击“确定”按钮。如下图所示：

29、   管理员第一次登录后，会显示管理您的服务器窗口。如下图所示：

30、   显示桌面图标。在“开始”->“控制面板”中双击“显示”选项。在“显示”对话框中选择“桌面”标签中“自定义桌面…”按钮。在“桌面项目”对话框中，勾选“我的文档”、“网上邻居”、“我的电脑”及“Internet Explorer”选项，单击“确定”按钮。如下图所示：

31、   配置IP地址。右击桌面上的“网上邻居”图标，选择“属性”选项。右击“本地连接”图标选择“属性”选项。在“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”选项。在“Internet协议（TCP/IP）属性”对话框中，配置计算机“IP地址”、“子网掩码”等参数，单击“确定”按钮。如下图所示：

 

第二章    操作系统设置

第一节    驱动程序安装

显卡驱动：光盘自带

网卡驱动：网上下载IBMx226网卡驱动程序

第二节    网络连接

IP地址：xxx.xxx.xxx.xxx

子网掩码：xxx.xxx.xxx.xxx

默认网关：xxx.xxx.xxx.xxx

首选DNS服务器：xxx.xxx.xxx.xxx

第三节    系统补丁更新

点击开始菜单-所有程序-Windows Update

按照提示进行补丁的安装。

第四节    反病毒软件安装

360安全卫士

360杀毒

360软件管家

360安全浏览器

第五节    系统漏洞修复

通过360安全卫士检测系统漏洞，修复系统全部漏洞。

在线升级反病毒软件病毒库。

 

第二部分  服务器管理

第一章    Windows 账户管理

1、系统管理员账户为Administrator，密码必须符合复杂性要求，采用英文大小写字母加数字组成，在组策略里设置密码长度最小值为10位，密码永不过期。

2、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登录无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

 

第二章    系统权限设置

第一节  磁盘权限

系统盘及所有磁盘只给Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

第二节  目录权限

系统盘\Documents andSettings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限。

 

第三章    系统安全设置

第一节  本地安全策略设置

开始菜单—>管理工具—>本地安全策略—>本地策略—>审核策略。

审核登录事件   成功

审核账户登录事件  成功

第二节  用户权限设置

开始菜单—>管理工具—>本地安全策略—>本地策略——>用户权限分配。

关闭系统：只有Administrators组、BackupOperations组、Power Users组，其它全部删除。

通过终端服务允许登陆：只加入Administrators, Remote DesktopUsers组，其他全部删除。

第三节  修改注册表

修改注册表，让系统更强壮。

(1)隐藏重要文件/目录可以修改注册表实现完全隐藏：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。

(2)防止SYN洪泛攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2；

新建EnablePMTUDiscovery REG_DWORD 0；

新建NoNameReleaseOnDemand REG_DWORD 1；

新建EnableDeadGWDetect REG_DWORD 0；

新建KeepAliveTime REG_DWORD 300,000；

新建PerformRouterDiscovery REG_DWORD 0；

新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文；

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0。

(3)防止ICMP重定向报文的攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0。

(4)禁止空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

(5)更改TTL值:

cracker可以根据ping回的TTL值来大致判断目标主机的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

修改TTL值如下：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字，本服务器改为258。

 

第三部分  系统备份

第一章    数据备份的定义

一般情况下，用户数据和重要的系统数据都需要备份，所以，备份一般分为两个层次：一是重要系统数据的备份，用以保证系统正常运行；二是用户数据的备份，用于保护用户各种类型的数据，防止数据丢失或破坏。

      备份分为以下类型：

 

类型

动作

清除存档标记

正常备份

选择的文件或文件夹

是

副本备份

选择的文件或文件夹

否

差异备份

上一次正常备份或增量备份后更改的或增加的文件或文件夹

否

增量备份

上一次备份后更改的或增加的文件或文件夹

是

每日备份

在一天内更改的或增加的文件或文件夹

否

 

第二章  系统数据备份

1、     打开备份工具“一键还原精灵” ，如下图所示。点击“确定”。

2、     出现对话框，如下图所示。点击“是”。系统重启。

3、     重启后显示界面如下，选择“手动GHOST操作”。

4、     显示界面如下，点击“确定”。

          

5、     同意许可证，界面如下，点击“OK”。

6、     选择备份磁盘到镜像，如下图所示。

7、     选择要备份的磁盘，如下图所示。

8、     选择镜像存放位置，输入镜像文件名，如下图所示。

9、     压缩文件选择快速压缩“Fast”，如下图所示。

10、   询问是否创建镜像文件，选择“Yes”，如下图所示。

11、   系统开始备份，如下图所示。

12、   备份进行中，如下图所示。

13、   备份完成，如下图所示。

由此，C盘系统盘备份完成。

D盘数据盘备份只需要将数据文件导出到移动设备上即可完成备份。

 

第四部分  后续工作说明

        本人已将数据备份并导出，想要对服务器重新安装一个较高级版本的系统，具体操作系统版本待试验，试验服务器硬件可以支持哪个最近版本。本人准备将新版本服务器系统从安装、账户创建、权限配置、注册表设置、组策略设置、活动目录设置、安全设置、服务器端软件搭建、应用部署到系统备份还原将服务器整体维护一下，不知是否可行。

第一部分  服务器环境介绍

第一章    机房环境

机房位置：内蒙古大学计算机学院四楼

机房部署：机房内部署有各位老师管辖的服务器

机房陈设：6台立体式空调

机房温度：25℃

第二章    硬件配置

服务器主机型号：IBM xSeries 226(8648I01)

显示器型号：方正显示器

键盘型号：联想SK-8825

鼠标型号：光学鼠标LC PIN 25011851

第三章    软件配置

操作系统：Windows Server 2003

系统软件：

SQL Server 2008

Apache-Tomcat-7.0.64

WampServer2.5

Visual SVN 2.5.25

Tortoise SVN1.8.11

MySQL 5.5.27

 

第二部分  服务器的安装配置

第一章    操作系统安装

第一节    安装系统软硬件

CPU：Xeon DP 2.8GHz

内存：2GB

最大内存容量：16GB

硬盘：146.8GB，2块

显卡：32M集成显卡

网卡：集成的千兆以太网卡

文件：Windows Server 2003安装光盘或镜像文件

第二节    BIOS设置（本部分转载自：http://www.2cto.com/os/201209/157966.html）

1、     启动计算机，按“Del”或“Esc”键进入计算机主板BIOS界面，进行Boot启动设置，设置第一启动项为“CDROM”。如下图所示：

2、     按“F10”键保存并退出BIOS设置。如下图所示：

第三节    操作系统安装（本部分转载自：http://www.2cto.com/os/201209/157966.html）

1、     完成上述过程后，将系统光盘放入光驱中重启电脑，进入Windows Server 2003安装界面，开始运行Windows Server2003安装程序，如下图所示：

2、     进入WindowsServer 2003安装向导，按“Enter”键继续安装，如下图所示：

3、     阅读WindowsServer 2003安装许可协议，按“F8”键同意。如下图所示：

4、     划分磁盘空间，按“C”键。如下图所示：

5、     配置磁盘分区容量后，按“Enter”键。如下图所示：

6、     在选定磁盘分区上安装Windows操作系统，按“Enter”键。如下图所示：

7、     选择对分区进行格式化的文件系统（NTFS），按“Enter”键。如下图所示：

8、     对磁盘格式化。如下图所示：

9、     向磁盘内复制安装文件。如下图所示：

10、   复制文件完成后自动重新启动计算机。如下图所示：

11、   重新启动后显示WindowsServer 2003启动界面。如下图所示：

12、   进入WindowsServer 2003配置界面。如下图所示：

13、   选择区域和语言选项，保持默认配置，单击“下一步”按钮。如下图所示：

14、   输入用户名和单位名称，单击“下一步”按钮。如下图所示：

15、   输入Windows Server2003产品密钥，单击“下一步”按钮。如下图所示：

16、   选择WindowsServer 2003授权模式，保持默认配置，单击“下一步”按钮。如下图所示：

17、   输入计算机名称和管理员密码，单击“下一步”按钮。如下图所示：

18、   设置日期和时间，保持默认配置，单击“下一步”按钮。如下图所示：

19、   安装网络组件。如下图所示：

20、   选择网络设置，保持默认配置，单击“下一步”按钮。如下图所示：

21、   选择工作组或计算机域的网络管理模式，保持默认配置，单击“下一步”按钮。如下图所示：

22、   继续复制文件。如下图所示：

23、   安装开始菜单项。如下图所示：

24、   注册组件。如下图所示：

25、   删除安装系统过程中的临时文件。如下图所示：

26、   重新启动计算机，显示WindowsServer 2003登录界面。如下图所示：

27、   在WindowsServer 2003登录对话框中，按“Ctrl+Alt+Delete”组合键。如下图所示：

28、   输入管理员密码，单击“确定”按钮。如下图所示：

29、   管理员第一次登录后，会显示管理您的服务器窗口。如下图所示：

30、   显示桌面图标。在“开始”->“控制面板”中双击“显示”选项。在“显示”对话框中选择“桌面”标签中“自定义桌面…”按钮。在“桌面项目”对话框中，勾选“我的文档”、“网上邻居”、“我的电脑”及“Internet Explorer”选项，单击“确定”按钮。如下图所示：

31、   配置IP地址。右击桌面上的“网上邻居”图标，选择“属性”选项。右击“本地连接”图标选择“属性”选项。在“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”选项。在“Internet协议（TCP/IP）属性”对话框中，配置计算机“IP地址”、“子网掩码”等参数，单击“确定”按钮。如下图所示：

 

第二章    操作系统设置

第一节    驱动程序安装

显卡驱动：光盘自带

网卡驱动：网上下载IBMx226网卡驱动程序

第二节    网络连接

IP地址：xxx.xxx.xxx.xxx

子网掩码：xxx.xxx.xxx.xxx

默认网关：xxx.xxx.xxx.xxx

首选DNS服务器：xxx.xxx.xxx.xxx

第三节    系统补丁更新

点击开始菜单-所有程序-Windows Update

按照提示进行补丁的安装。

第四节    反病毒软件安装

360安全卫士

360杀毒

360软件管家

360安全浏览器

第五节    系统漏洞修复

通过360安全卫士检测系统漏洞，修复系统全部漏洞。

在线升级反病毒软件病毒库。

 

第二部分  服务器管理

第一章    Windows 账户管理

1、系统管理员账户为Administrator，密码必须符合复杂性要求，采用英文大小写字母加数字组成，在组策略里设置密码长度最小值为10位，密码永不过期。

2、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登录无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

 

第二章    系统权限设置

第一节  磁盘权限

系统盘及所有磁盘只给Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

第二节  目录权限

系统盘\Documents andSettings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限。

 

第三章    系统安全设置

第一节  本地安全策略设置

开始菜单—>管理工具—>本地安全策略—>本地策略—>审核策略。

审核登录事件   成功

审核账户登录事件  成功

第二节  用户权限设置

开始菜单—>管理工具—>本地安全策略—>本地策略——>用户权限分配。

关闭系统：只有Administrators组、BackupOperations组、Power Users组，其它全部删除。

通过终端服务允许登陆：只加入Administrators, Remote DesktopUsers组，其他全部删除。

第三节  修改注册表

修改注册表，让系统更强壮。

(1)隐藏重要文件/目录可以修改注册表实现完全隐藏：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。

(2)防止SYN洪泛攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2；

新建EnablePMTUDiscovery REG_DWORD 0；

新建NoNameReleaseOnDemand REG_DWORD 1；

新建EnableDeadGWDetect REG_DWORD 0；

新建KeepAliveTime REG_DWORD 300,000；

新建PerformRouterDiscovery REG_DWORD 0；

新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文；

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0。

(3)防止ICMP重定向报文的攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0。

(4)禁止空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

(5)更改TTL值:

cracker可以根据ping回的TTL值来大致判断目标主机的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

修改TTL值如下：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字，本服务器改为258。

 

第三部分  系统备份

第一章    数据备份的定义

一般情况下，用户数据和重要的系统数据都需要备份，所以，备份一般分为两个层次：一是重要系统数据的备份，用以保证系统正常运行；二是用户数据的备份，用于保护用户各种类型的数据，防止数据丢失或破坏。

      备份分为以下类型：

 

类型

动作

清除存档标记

正常备份

选择的文件或文件夹

是

副本备份

选择的文件或文件夹

否

差异备份

上一次正常备份或增量备份后更改的或增加的文件或文件夹

否

增量备份

上一次备份后更改的或增加的文件或文件夹

是

每日备份

在一天内更改的或增加的文件或文件夹

否

 

第二章  系统数据备份

1、     打开备份工具“一键还原精灵” ，如下图所示。点击“确定”。

2、     出现对话框，如下图所示。点击“是”。系统重启。

3、     重启后显示界面如下，选择“手动GHOST操作”。

4、     显示界面如下，点击“确定”。

          

5、     同意许可证，界面如下，点击“OK”。

6、     选择备份磁盘到镜像，如下图所示。

7、     选择要备份的磁盘，如下图所示。

8、     选择镜像存放位置，输入镜像文件名，如下图所示。

9、     压缩文件选择快速压缩“Fast”，如下图所示。

10、   询问是否创建镜像文件，选择“Yes”，如下图所示。

11、   系统开始备份，如下图所示。

12、   备份进行中，如下图所示。

13、   备份完成，如下图所示。

由此，C盘系统盘备份完成。

D盘数据盘备份只需要将数据文件导出到移动设备上即可完成备份。

 

第四部分  后续工作说明

        本人已将数据备份并导出，想要对服务器重新安装一个较高级版本的系统，具体操作系统版本待试验，试验服务器硬件可以支持哪个最近版本。本人准备将新版本服务器系统从安装、账户创建、权限配置、注册表设置、组策略设置、活动目录设置、安全设置、服务器端软件搭建、应用部署到系统备份还原将服务器整体维护一下，不知是否可行。