“奥特曼之王”通过精心收集,向本站投稿了7篇WIN技巧:实战:全面保障FTP服务器的安全,下面是小编为大家整理后的WIN技巧:实战:全面保障FTP服务器的安全,以供大家参考借鉴!
- 目录
篇1:WIN技巧:实战:全面保障FTP服务器的安全
FTP即文件传输协议,是Internet上使用最广泛、信息传输量最大的应用之一,利用它可以从Internet上不同地点的FTP服务器中查询到大量的信息,拷贝到各种各样的文件。
而且它的一个特点是从一个FTP服务器上下载一个文件通常比从Web服务器上下载相同大小的文件需要的时间更少。如果知道可以从一个Web服务器或者可以从FTP服务器上获得同一个文件,那么就选择FTP服务器以减少下载的时间,特别当文件是一个大文件(大于1MB时)。在Internet上无论是通过FTP客户机软件或是通过WWW浏览器来进行文件传输,最终都要通过FTP协议来实现。
FTP的隐患
早期FTP并没有涉及安全问题,随着互连网应用的快速增长,人们对安全的要求也不断提高。目前在各种平台上包括UNIX、Linux、Windows NT以及Netware等网络操作系统,都实现了FTP的客户和服务器。 TP是为了共享资源、方便用户文件下载而制定的文件传输协议,那么必然有对系统读写的权利,所以它也是整个网络系统的薄弱环节,一些网上的 常常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系统,以窃取管理口令;有时利用FTP获取系统的passwd文件,从而了解系统的用户信息;有时利用FTP的puts和gets功能,增加系统负担,从而导致硬盘塞满甚至系统崩溃,
FTP主要工作原理
FTP是基于客户端/服务器方式来提供文件传输服务的。一个FTP服务器进程可同时为多个客户进程提供服务,即用户所在的一方是客户方,客户方翻译用户发出的命令,向提供FTP服务的文件服务器传送适当的请求。
服务器端则一直运行着ftpd守护程序,遵循TCP协议,服务进程ftpd在指定的通信端口监听客户发来的FTP请求,当ftpd确认该用户为合法时,就开始为其客户进程提供文件传输服务了。因此FTP协议在客户和服务器之间通过TCP来建立连接,并利用TCP提供的可靠传输在不同的站点间传输文件。当FTP客户与FTP服务器进行会话时,FTP建立了两个连接,一个是控制连接,一个是数据连接,如图所示。
在一个FTP会话中需建立一个控制连接和若干个数据连接。控制连接是执行ftp命令时由客户建立的通向FTP服务器的连接,该连接只能用来传送FTP执行的内部命令以及命令的响应等控制信息而非数据,数据连接是为在服务器与客户端,或两个ftp服务器之间传输文件(即FTP代理传输方式)而建立的连接,该连接是全双工的,允许同时进行双向数据的传输。一旦数据传输结束,就撤消数据连接,再回到交互会话状态,直到客户撤消控制连接,并退出FTP会话为止。
FTP的客户服务器模式
篇2:WIN技巧:如何保证文件传输服务器FTP的安全
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑 的第一个问题,其安全性主要包括以下几个方面:
一、未经授权的用户禁止在服务器上进行FTP操作
。
二、FTP用户不能读取未经系统所有者允许的文件或目录。
三、未经允许,FTP用户不能在服务器上建立文件或目录。
四、FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立“不受欢迎”的用户目录,拒绝这些用户访问。
只有在服务器的/etc/passwd文件中存在名为“FTP”的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用“anonymous”或“FTP”作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为“FTP”,并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为“root”(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为“root”,并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage### FTP/pub目录:将这个目录的所有者置为“FTP”,并且将它的属性设为所有用户均可读、写、执行,
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:
一、未经授权的用户禁止在服务器上进行FTP操作。
二、FTP用户不能读取未经系统所有者允许的文件或目录。
三、未经允许,FTP用户不能在服务器上建立文件或目录。
四、FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施
:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立“不受欢迎”的用户目录,拒绝这些用户访问。
只有在服务器的/etc/passwd文件中存在名为“FTP”的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用“anonymous”或“FTP”作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为“FTP”,并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为“root”(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为“root”,并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为“FTP”,并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
篇3:WIN技巧:如何保护日志服务器安全?
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息,通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩
1、Web服务器系统中的日志
以Windows Server 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为:
(1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt
(2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt
(3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt
(4).FTP日志默认位置:C:WINDOWSsystem32LogfilesMSFTPSVC1
(5).WWW日志默认位置:C:WINDOWSsystem32LogfilesW3SVC1
2、非法清除日志
上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的,
系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。
(1).利用CL彻底清除日志
这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。
在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。(图2)
篇4:WIN技巧:Web和Ftp服务器管理配置完全解析
Web和FTP服务器创建好之后,还需要进行适当的管理才能使用户的信息安全有效的被 其他访问者访问,Web和FTP 服务器的管理基本相同,包括一些常规管理和安全管理,下面对其中的七个主要方面进行介绍。
一、启用过期内 容
启用过期内容就是指通过设置来保证自己的站点的过期信息不被发布出去。当用户的Web和FTP站点上的信息有很强的时效性时,进行过期内容设置是非常必要的,这不但有利于净化用户的Web和FTP站点,而且有利于访问者进行信息查找。在启用过期内容时,用户可直接为整个站点设置,也可为某个目录设置。下面简要介绍过期内容设置过程。
注释:启动过期内容之后,Web浏览器会在浏览时比较当前日期或者时间与设置的过期时间或者时间,以决定是显示原有信息还是更新的信息。
1. 单击“ HTTP标头”选项卡,如图1所示。在该选项卡中,启用“启用内容失效”复选框,激活“启用内容失效”选项区域中的选项。
图1 HTTP“ HTTP标头”选项卡
2. 在“启用内容失效”选项区域中,用户可以设置内容的过期时间。选择“在此时刻以后过期”单选按钮,在其后的文本框中输入一个只值并在其后的下拉列表框中选择一个时间单位,例如, 2 0和天,则在2 0天以后,访问者就不能再访问该站点现在的信息;选择“在此时刻过期”单选按钮,从其后的下拉列表框中选择日期,并调节其后的时间微调器的值,用户可直接为过期内容设置过期时间,例如,所选择时间是1 9 9 9年1 2月3 1日1 2:0 0:0 0,那么该站点现在的信息将在1 9 9 9年1 2月3 1日1 2:0 0:0 0过期,不能再被访问;如果要将该站点现在的信息马上过期,选择“立即过期”单选按钮。
二、内容分级设置
如果用户站点的内容并不是针对所有的访问者,需要进行内容分级设置,以防止不具备分级要求的其他访问者查看站点内容。通过分级服务设置,用户可以在每一个Web页的HTTP标头插入一些描述性的标签。当访问者在对用户的站点进行访问时,他的Web浏览器能够先检查到每一个Web页的HTTP标头的分级服务要求,并根据浏览器的分级设置和站点的分级要求来决定哪些内容可以浏览哪些内容不可以浏览。
在预设的情况下,Windows 2000起用的是RSAC(Recreational Software Advisory Council)分级 服务系统进行分级 服务。该Internet分级是斯坦福大学的Donald F. Roberts博士研究的,它主要针对暴力、性、裸体和语言四个方面进行分级设置。在设置分级 服务内容之前,用户须要上网填写一个RSAC分级问卷,以获得一些推荐的内容分级,以便更好地进行分级设置。分级内容设置过程如下:
1. 在如图1所示的图中,单击“编辑分级”按钮,打开“内容分级”对话框,如图2所示。
图2 “内容分级” 对话框
2. 在“分级 服务”选项卡中,单击“详细信息”按钮,查看到RSAC分级 服务的Internet页,单击“分级问卷”按钮,可连接到RSAC站点上,填写分级问卷。
3. 对RSAC系统有所了解之后,用户就可以设置分级服务的内容,以过滤公司的Web页的内容。单击“分级”选项卡,并选择“分级”选项卡中的“此资源启用分级”复选框,则该选项卡如图3所示。
图3 “分级”选项卡
4. 在“类别”列表框中,选择暴力、性、裸体和语言四个类别中的一种,分级滑块就会显示出来,调节该滑块,可改变所选类别的分级级别。
5. 如果希望对自己的电子邮件进行分级 服务,用户可以在“岁此内容分级人员的电子邮件名”文本框中输入自己的电子邮件地址。
6. 如果希望单独为分级 服务设置失效时间,可单击“失效于”下拉列表框中的下三角按钮,从弹出的电子日历中选择一个日期。
7. 设置好之后,单击“确定”按钮返回到属性对话框,再单击“确定”按钮,保存设置。
三、添加网页页脚
在用户Web站点管理中,用户经常在每一个Web页的前面插入一个由HTML语言编写的脚本文件,作为网页页脚,以增加Web站点的内容,
例如,一个用HTML语言编写的脚本文件为Web页增加一些简单的文本和标识图形,甚至包括用户Web站点管理和服务方向等内容。这些内容不但会大大地增加用户Web站点的可读性,而且还可引导访问者对用户Web站点以后内容的阅读。另外,网页页脚还可以减少Web服务器的执行的时间,如果用户的Web站点被其他访问者频繁的访问,使用文档页脚是非常有用的。要添加网页页脚,可参照下面的步骤:
1. 创建一个HTML网页页脚文件,并把它保存在自己的Web 服务器所在的硬盘上。
2. 在Internet服务管理器的控制台目录树中(如图4所示),右击某一个Web站点或者目录子节点,例如,MSADC虚拟目录,从弹出的快捷菜单中,选择“属性”命令,打开“MSADC属性”对话框,单击“文档”选项卡,如图4所示。
图4 “文档”选项卡
3. 在“文档”选项卡中,选择“启用文档页脚”复选框;在“启用文档页脚”文本框中输入页脚文件的完整路径。如果用户不知道页脚文件的完整路经,可单击“浏览”按钮,打开“打开”对话框进行选择。
4. 单击“确定”按钮,返回到属性对话框,再单击“确定”按钮保存设置。
注释 文档页脚文件并不是一个完整的HTML文档, 它仅仅包含那些HTML标签信息,说明如何安排页脚的内容的显示。例如,通过一个页脚文件,在每一个Web页的前面增加用户所在组织的名称,则该页脚文件应该包含文本内容和如何格式文本的字体及颜色。
四、安全与权限设置
安全与权限设置是IIS保证其站点安全的最重要的保护措施,它可用来控制怎样验证用户的身份以及他们的访问权限。在权安全与限设置过程中,管理员不但可以设置权限和站点安全的继承关系,而且还可以选择要应用的设置,包括验证方法、访问许可、IP地址限制等设置。权限与安全设置过程如下:
1. 选择“所有任务” “权限向导”命令,打开“权限向导”对话框。单击“下一步”按钮,打开“安全设置”对话框,如图5所示。
图5 “权限向导”对话框
2.如果要从父站点或者虚拟目录继承安全性设置,应选择“继承所有的安全设置”单选按钮;如果需要选取新的安全性设置,应选择“请从模板选取新的安全设置。
3. 单击“下一步”按钮,打开“ Windows 目录和文件权限”对话框,如图6所示。
图6 “Windows 目录和文件权限”对话框
4. 如果要保持Windows 目录和文件权限,应选择“保持目录和文件权限”单选按钮;如果要保持原来Windows 目录和文件权限并加入新设置的权限,应选择“原封不动地保持当前的目录和文件许可配置,并加入推荐的许可权限”单选按钮。这里选择“推荐:替换全部的目录和文件访问权限”单选按钮,以新设置的权限替换原有的目录和文件权限。
5. 单击“下一步”按钮,打开如图7所示的“安全摘要”对话框,在设置列表框中选择要应用的设置,包括验证方法、访问许可、IP地址限制和文件ACL将不能被修改等设置。
图7 “安全摘要”对话框
6. 单击“下一步”按钮,打开“您已成功的完成IIS 5.0‘权限向导’”对话框,再单击“完成”即可完成设置。
五、安全认证
在Windows 2000中,对于通过HTTP协议访问,Internet 信息 服务提供了三种登录认证方式,它们分别是匿名方式、明文方式和询问/应答方式。用户采用那种方式取决于用户建立Internet信息 服务器的的目的。
如果用户建立站点的目的是为了做广告,那么可以选择匿名方式。因为访问者中的大多数是第一次访问用户的站点,用户不可能也没有必要为他们建立帐户。如果希望通过自己的Internet信息 服务器为访问者提供电子邮件寄存或信息交付等网络服务,则需要选用明文方式。因为在这种方式下,访问者必须使用用户名和密码进行访问,可有效的保护私人邮件或信息的安全性。如果用户的Internet信息服务器的访问者主要是企业内部的员工,并且希望服务器中的信息受到最安全的保护,可选择询问/应答方式。这种方式要求访问者在访问之前先进行访问请求,在得到许可后才可进行访问;这样,访问者对用户服务器的访问在用户直接控制下进行。不过这种方式要求访问者使用的浏览器必须是InternetExplorer浏览器,因为其他浏览器不支持这种认证方式。
由于在许多Internet信息 服务器上,对Web、FTP及SMTP虚拟 服务器的访问都是匿名的,本节就以匿名访问为例介绍如何进行安全认证设置。
1. 在如图所示的对话框中,单击“目录安全性”选项卡,如图8所示。
图8 “目录安全性”选项卡
2. 在“匿名访问和验证控制”选项区域中,单击“编辑”按钮,打开“验证方法”对话框,如图9所示。
< p=“”>
篇5:WIN技巧:巧打补丁保护服务器安全
作为网络管理员,为了保护单位重要服务器系统的运行安全,他们常常需要在各个服务器现场来回跑个不停,这不,最近伴随着网络病毒的疯狂肆虐,局域网中的不少服务器系统频频遭受到网络病毒的袭击。为了保证单位中的每一台服务器系统能够始终稳定运行,单位领导要求网络管理员迅速采取有效措施,来加强服务器系统的安全性能,避免由于网络病毒的泛滥影响单位的正常工作。接到命令后,网络管理员经过仔细分析,发现服务器系统之所以容易遭受病毒袭击,主要是因为许多病毒都充分利用了各种系统漏洞,只要想办法及时为服务器系统打上各种安全补丁程序,堵住服务器系统中的各种漏洞,就能避免服务器系统遭受网络病毒的袭击。
由于系统补丁程序不停更新,如果每次都要到现场为服务器系统安装补丁程序,那工作量无疑是非常巨大的,于是网络管理员们都想到了通过远程安装的方法及时为服务器系统打上各种补丁程序。在对服务器系统进行远程安装补丁程序时,许多人都认为通过远程桌面功能可以很轻松地做到这一点,事实上在默认状态下远程桌面连接功能并不支持文件的远程传输功能,那样一来我们就无法将本地的服务器补丁程序通过网络拷贝到远程服务器系统中;即使我们在服务器中开通了远程桌面连接的文件传输功能,但这一功能很容易被局域网中的一些非法攻击者趁机使用,那样一来服务器系统可能会遭受更大的安全威胁。为了既能实现不到服务器现场也能安装补丁程序目的,又能实现服务器安全防护目的,我们可以使用“远程控制任我行”这款专业程序来为服务器远程安装系统补丁程序,这款专业程序不但可以有效弥补远程桌面的安全隐患,而且能非常轻松地实现本地主机与远程服务器之间的文件传输目的,还能对服务器系统执行远程启动一系列特殊操作,借助这款专业程序的“帮忙”,我们可以高效、及时地为局域网中的多台服务器打上各种系统补丁程序,从而免除了网络管理员在各个服务器现场来回不停奔跑的麻烦,最终大大提高了服务器的管理维护效率!
1、生成远程连接控制程序
由于服务器系统自带的远程桌面连接功能如果轻易开通的话,会给服务器系统招惹更大的安全麻烦,为此我们肯定不能利用远程桌面连接功能来连接服务器,
为了能够在本地工作站与局域网中的各台服务器建立远程连接,我们可以先利用“远程控制任我行”这款专业程序来生成远程连接控制程序,并将生成的控制程序事先拷贝到每一台需要远程管理的服务器系统中,日后局域网中的任意一台普通工作站都能通过该程序轻易与服务器系统建立远程连接了。
要生成远程连接控制程序,我们可以先将“远程控制任我行”这款专业程序下载到本地工作站系统中,从下载得到的解压包文件中用鼠标双击“netsys.exe”文件,打开如图1所示的“远程控制任我行”主操作界面,在该操作界面的工具栏中单击“配置服务器”功能按钮,随后屏幕上将会自动出现一个标题为“选择配置类型”的设置对话框,从这里我们看到“远程控制任我行”这款专业程序为用户同时提供了正、反两种远程连接模式,用户可以根据实际需要进行随意选择使用。设置好远程连接模式后,在其后出现的设置窗口中我们可以单击“生成服务器”按钮,那样一来远程连接控制程序就会自动生成了,该控制程序会被系统自动保存到“远程控制任我行”这款专业程序的安装根目录下。紧接着打开本地工作站系统的资源管理器窗口,进入“远程控制任我行”程序安装根目录窗口,找到前面自动生成的远程连接控制程序文件DD“服务器程序.exe”,将该文件拷贝到闪盘中,之后再从闪盘中粘贴到需要远程安装安全补丁程序的服务器系统中,最后再在服务器系统中用鼠标双击“服务器程序.exe”文件,将该远程连接控制程序启动起来,以便局域网中的其他工作站能够与之建立远程连接。
图1
篇6:WIN技巧:用WINServer03搭建安全服务器
Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”,启动该工具之后 以看到当前服务器上启用的所有服务,并可对这些服务进行管理,
点击该界面上的“添加或删除角色”链接,将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤,在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”,开始启用和配置文件服务的过程。
根据系统提示进行配额设置,磁盘配额功能可以限制用户对磁盘空间的使用,方便进行磁盘空间管理。将磁盘空间限制设置为300MB,将警告设置为260MB,并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。
这种情况下用户将无法使用超过300MB以上的硬盘空间,并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。
完成配额设置后点击“下一步”进入索引服务设置界面,默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度,但是由于它要消耗不少的服务器资源,所以如果不需要很频繁检索文件的话,建议保留默认的设置。
在确认以上设置之后,安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径,例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面,通常情况下维持默认设置即可。点击下一步开始为共享设置权限,基本的权限包括了完全访问和读写权限。
选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限,例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限,为Guest用户设置读取权限,使匿名用户可以下载该文件夹中的文件,同时删除原有的Everyone这项,屏蔽所有其他用户权限。
至此就完成了基本的共享设置,如果还有其他文件夹需要设置成共享,可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后,可以看到“管理您的服务器”界面中多了一项文件服务器的内容,点击“管理此文件服务器”链接就可以打开文件服务器管理界面,在此可以进行各种文件服务的管理。
另外,在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的。
文件的备份与还原
由于数据的安全性和可用性对于文件服务器来说也是非常重要的,所以在设置完文件服务器的权限和配额等参数之后,需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本(Volume Shadow Copy)的技术。
在文件服务器管理界面可以找到“备份文件服务器”链接,在命令行执行ntbackup命令可以获得与点击该链接相同的效果,即执行备份向导。
将“总是以向导模式启动”的选项勾掉,在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到,Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导(AMR)的功能,该功能主要用于对系统分区进行备份,这里主要讲解以卷影副本技术为基础的标准备份功能,用户可以根据系统指示进行操作。
卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份,并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行,有效地提高数据还原的效率,不用每次都麻烦管理员来进行操作,用户也可以随时进行和自己数据相关的还原操作。
进行这些操作需要客户端机器上安装卷影副本客户端程序,通过这台客户端机器浏览到文件服务器上的共享之后,对该共享或该共享中的文件点击右键,其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本,可以将其恢复成任意一个版本。
只有管理员组的成员可以设置卷影副本功能,并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据(最少100MB),一旦超过空间的限制将覆盖早先创建的副本。
启用卷影副本功能非常简单,在文件服务器管理界面中找到“配置卷影副本”链接,也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页,通过这两种方式可以进入同样的管理界面,实现对卷影副本的启用、禁用以及容量和时间计划等设置。
在“备份工具”管理界面中,用户可以指定哪些文件(包括系统注册表数据及引导文件等)需要参与到备份计划中来,也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的,备份的结果文件要稍大于备份的内容。
建议用户维护一个按周进行的备份操作,将所有数据重新备份一次,备份过的文件将被标记为“已备份过”;在此同时维护一个按日进行的差异备份计划,备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理,而且能够有效保证数据的可恢复性。
需要注意的是:卷影副本备份占用空间的数量不仅仅取决于备份文件的大小,更决定于文件修改的频率,对于系统分区这样有很多交换文件操作的分区来说,不要进行整个磁盘卷的备份操作。
分布式文件系统
分布式文件系统是Windows系统网络存储构架的核心技术之一,可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具,首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”,选择“新建根目录”,按照向导填写所需要的信息就可以完成操作。
继续用右键点击刚刚建立的根目录,选择“新建链接”,可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后,就可以通过浏览这个根目录下的目录树访问这些文件,而不再需要通过访问多个实际的网络位置使用这些文件,
后记
在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能,并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 2000服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用,例如文件加密、虚拟磁盘等。
Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”,启动该工具之后 ,可以看到当前服务器上启用的所有服务,并可对这些服务进行管理。
点击该界面上的“添加或删除角色”链接,将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤,在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”,开始启用和配置文件服务的过程。
根据系统提示进行配额设置,磁盘配额功能可以限制用户对磁盘空间的使用,方便进行磁盘空间管理。将磁盘空间限制设置为300MB,将警告设置为260MB,并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。
这种情况下用户将无法使用超过300MB以上的硬盘空间,并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。
完成配额设置后点击“下一步”进入索引服务设置界面,默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度,但是由于它要消耗不少的服务器资源,所以如果不需要很频繁检索文件的话,建议保留默认的设置。
在确认以上设置之后,安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径,例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面,通常情况下维持默认设置即可。点击下一步开始为共享设置权限,基本的权限包括了完全访问和读写权限。
选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限,例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限,为Guest用户设置读取权限,使匿名用户可以下载该文件夹中的文件,同时删除原有的Everyone这项,屏蔽所有其他用户权限。
至此就完成了基本的共享设置,如果还有其他文件夹需要设置成共享,可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后,可以看到“管理您的服务器”界面中多了一项文件服务器的内容,点击“管理此文件服务器”链接就可以打开文件服务器管理界面,在此可以进行各种文件服务的管理。
另外,在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的。
文件的备份与还原
由于数据的安全性和可用性对于文件服务器来说也是非常重要的,所以在设置完文件服务器的权限和配额等参数之后,需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本(Volume Shadow Copy)的技术。
在文件服务器管理界面可以找到“备份文件服务器”链接,在命令行执行ntbackup命令可以获得与点击该链接相同的效果,即执行备份向导。
将“总是以向导模式启动”的选项勾掉,在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到,Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导(AMR)的功能,该功能主要用于对系统分区进行备份,这里主要讲解以卷影副本技术为基础的标准备份功能,用户可以根据系统指示进行操作。
卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份,并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行,有效地提高数据还原的效率,不用每次都麻烦管理员来进行操作,用户也可以随时进行和自己数据相关的还原操作。
进行这些操作需要客户端机器上安装卷影副本客户端程序,通过这台客户端机器浏览到文件服务器上的共享之后,对该共享或该共享中的文件点击右键,其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本,可以将其恢复成任意一个版本。
只有管理员组的成员可以设置卷影副本功能,并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据(最少100MB),一旦超过空间的限制将覆盖早先创建的副本。
启用卷影副本功能非常简单,在文件服务器管理界面中找到“配置卷影副本”链接,也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页,通过这两种方式可以进入同样的管理界面,实现对卷影副本的启用、禁用以及容量和时间计划等设置。
在“备份工具”管理界面中,用户可以指定哪些文件(包括系统注册表数据及引导文件等)需要参与到备份计划中来,也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的,备份的结果文件要稍大于备份的内容。
建议用户维护一个按周进行的备份操作,将所有数据重新备份一次,备份过的文件将被标记为“已备份过”;在此同时维护一个按日进行的差异备份计划,备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理,而且能够有效保证数据的可恢复性。
需要注意的是:卷影副本备份占用空间的数量不仅仅取决于备份文件的大小,更决定于文件修改的频率,对于系统分区这样有很多交换文件操作的分区来说,不要进行整个磁盘卷的备份操作。
分布式文件系统
分布式文件系统是Windows系统网络存储构架的核心技术之一,可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具,首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”,选择“新建根目录”,按照向导填写所需要的信息就可以完成操作。
继续用右键点击刚刚建立的根目录,选择“新建链接”,可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后,就可以通过浏览这个根目录下的目录树访问这些文件,而不再需要通过访问多个实际的网络位置使用这些文件。
后记
在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能,并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 2000服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用,例如文件加密、虚拟磁盘等。
篇7:WIN技巧:远程管理WIN服务器5大技巧
1、终端协议错误
如果用记事本或其他编辑器在远程终端编辑一些中文,当有乱码的时候,服务器会提示“由于协议错误,该会话将被中断。请尝试再次连接到远程计算机”。然后就再连接到这台服务器,就会一直出现协议错误,然后中断退出。
解决方法:如果服务器上有两个管理员用户,用另外一个管理员用户登录,然后断开这个错误连接即可,或者用另一个用户重新启动服务器也可。如果只有一个管理员用户,那么尝试修改本地显示到最小分辨率,如800X600,然后连接远程桌面,如果能连接上,立刻注销当前用户即可。
2、FileZilla连接不上IIS的FTP
使用FileZilla连接IIS的FTP服务,有时会登录成功,却出现提示信息“读取目录列表失败”,这时请确认服务器是否开通了20和21端口,如果开通了,则将本地FileZilla的传输模式修改为“主动”即可。
图1 站点管理设置
3、定时重启服务器
比较大的网站,可能由于系统资源限制,运行一段时间后资源负荷就很大,这时我们可能会考虑每天自动重启服务器,自动重启服务器可以利用,这个可以利用任务计划来完成,点击附件-系统工具-任务计划后,添加一个任务,每天自动执行shutdown程序,shutdown是Windows Server 2003自带的关机程序,使用命令“shutdown -r -f -t 5”(其中r参数表示重新启动服务器,f参数表示强制关闭系统进程和应用程序,t参数用来指定系统关闭倒记时的时间)来实现自动重启,服务器系统即使碰到无法关闭的系统进程时也会强行关闭,
4、IIS自带的SMTP无法发送邮件
Windows的Internet信息服务(IIS)自带了一个SMTP(简单邮件传输协议)服务,但是安装了之后,发送邮件提示错误信息“Unable to relay for user(at)domain.com”。这可能是默认的邮件中继设置有问题,选择SMTP属-访问-中继限制,选中“仅以下表除外”,然后重启SMTP即可。
图2 中继限制设置
5、防止别人发送垃圾邮件
服务器上开通SMTP后,如果不做限制的话,可能就会成为外部垃圾邮件的牺牲品,最简单的限制就是关闭服务器上的邮件发送端口25.在TCP/IP协议属性里,选择高级-选项-TCP/IP筛选属性中,不允许TCP的25端口即可。
图3 TCP/IP筛选设置
以上就是笔者总结的一些有效管理服务器的小技巧,尽管你可能已经掌握了不少这方面的技巧,但服务器管理方面还有许许多多的技巧在等着大家的总结。
★ 安全保障工作计划
★ 安全保障承诺书
WIN技巧:实战:全面保障FTP服务器的安全(精选7篇)
