區域管理提升伺服器
㈠ 如何提升伺服器的數據安全
四個提升伺服器數據安全的方法
方法一:定期備份數據
數據備份的意義就在於,當受到網路攻擊、病毒入侵、電源故障或者操作失誤等事故的發生後,可以完整、快速、簡捷、可靠地恢復原有系統,在一定的范圍內保障系統的正常運行。一些對備份數據重視程度較低的企業,一旦伺服器數據出現突然丟失或者損壞,往往會後悔莫及。在數據備份方面,企業應該定期進行磁帶備份、資料庫備份、網路數據備份和更新、遠程鏡像操作等,也可進行多重數據備份,一份出現了問題還有多餘的備份。
方法二:建立容災中心
有了備份不等於萬事大吉,面對區域性、毀滅性災難如地震和火災等,僅僅只是數據備份是無法恢復的,這時需要有一個容災中心,做數據的遠程備份,確保原有的數據不會丟失或者遭到破壞。數據容災的恢復時間比較長,但費用較低而且構建實施也相對簡單,方法主要有實時復制、定時復制和存儲轉發復制。當然,數據備份還是最基礎的,沒有數據備份,任何容災都沒有現實意義。
方法三:採用raid磁碟陣列存儲數據
raid,中文簡稱為獨立冗餘磁碟陣列。簡單的說,就是把多塊獨立的硬碟按不同的方式組合起來形成一個硬碟組,提供比單個硬碟更高的存儲性能和提供數據備份技術,從而大大增強數據的安全性。組成磁碟陣列的不同方式稱為raid級別,根據實際情況選擇適當的raid級別可以滿足用戶對存儲系統可用性、性能和容量的要求。採用這種的方式存儲數據,只要不是所有的硬碟同時損壞,我們就能比較容易地恢復受損的數據。
方法四:不盲目操作或者修改數據
人為的誤操作是數據丟失的一個重要原因。有時不小心將文件刪除,或者誤格式化、誤分區、誤克隆分區、分區表信息(MBR)丟失等,一個處理不好都可能會讓整個伺服器甚至整個系統陷入癱瘓乃至宕機的下場。除了不要順便修改或者盲目操作伺服器,還可以進行合理許可權的設置非常有必要,比如:給負責日常更新的用戶賦予「編輯」的用戶許可權。這樣可以大大降低非專業人員的誤操作,大大提高伺服器的數據安全。
㈡ 如何做好一個伺服器管理員有哪些管理技巧
總體來說,伺服器系統的管理是整個網路管理工作中的重中之重,特別是在小型單位網路中,單位的網路規模比較小,網路設備比較簡單,基本上是屬於傻瓜式的。
這里的伺服器系統包括網路伺服器和應用伺服器系統兩個方面。伺服器系統的管理是整個網路管理工作中最重要的部分,因為它是整個網路的核心所在,無論是網路操作系統本身,還是各種網路伺服器和應用伺服器。
具體來說,伺服器系統管理主要是安裝、配置和管理網路操作系統、文件伺服器、DNS、WINS、DHCP等網路伺服器,以及像Web、FTP、E-mail、RAS、NAT等應用伺服器。伺服器系統管理的最終目標,就是要確保伺服器各種協議和服務工作正常,確保伺服器的各項性能指標正常發揮。另外,還需要及時地更新伺服器系統的版本或補丁程序,這不僅關繫到伺服器的性能發揮,而且還關繫到整個網路系統的安全性,因為現在的操作系統不斷有新的安全漏洞被發現,及時安裝補丁可以有效地阻止、填補這些安全漏洞。
目前在伺服器系統管理方面的重點與難點當然是各種網路操作系統的管理了。在這其中又包括各種不同版本的主流Windows、Linux和UNIX網路操作系統的管理了。而每個系統中所包括的具體管理工作又非常多,非常復雜,但這些又是網路管理員所必須掌握的。至少,在大多數中小型企業中,網路管理員應該掌握主流的Windows和Linux網路操作系統的管理了。在一些較大企業,或者一些特殊行業(如金融、證券和保險等)中,UNIX、Linux系統又是最普遍採用的,所以UNIX和Linux系統管理對於專業網路管理員來說,又是必須要掌握的。當然,像其他應用伺服器的管理也是非常重要,而且必須掌握。
2.關鍵設備的維護與管理
這也是整個網路管理中的重點之一,同時也是非常重要的工作,特別是在網路規模比較大,網路設備比較高檔的單位網路中。因為單位網路系統更依賴這些關鍵設備的正常工作。
計算機網路的關鍵設備一般包括網路的核心交換機、核心路由器和伺服器,它們是網路中的「節點」。對這些節點的維護和管理,除了需要經驗積累外,還可以通過一些專門的網路管理系統來監視其工作狀態,以便及時發現問題,及時進行維護和故障排除。
另外,為了提高網路的可用性,對一些關鍵設備進行冗餘配置也是必不可少的。冗餘包括兩層含義,一是從埠角度進行,如對關鍵設備(如伺服器、核心交換機)採取冗餘鏈路連接,這樣當其中一個埠出現故障時,另一個冗餘鏈路就可以接替故障鏈路繼續保持正常工作狀態;另一層含義是對配置雙份的設備或部件,如伺服器中的電源、風扇、網卡,甚至內存等,核心交換機和路由器也可以配置兩個。在正常工作時,這些冗餘設備或部件起到負載均衡的作用,而在某部分出現故障時,則又起備份的作用。
在關鍵設備維護與管理中,伺服器和網路總體性能的監控與管理是個技術重點和難點。要用到各種監控和管理工具,如流量監控工具MRTG、網路性能和通信監控的Sniffer類工具,帶寬性能監控的Qcheck和IxChariot工具等。伺服器性能方面的監控與管理還可利用操作系統自帶的性能和監控管理工具進行。
當然,網路設備的配置與管理是整個關鍵設備維護與管理的重點與難點,這一點幾乎是所有從事網路管理,甚至網路工程技術人員的共識。目前在關鍵設備方面,主要是以Cisco、華為3COM等品牌為主,掌握這兩個主要品牌設備的配置與管理方法是網路管理員所必需的。
3. 用戶管理
用戶管理是網路管理中的一個重點和難點,所涉及到的方面非常多,如用戶賬戶、密碼、文件和網路訪問許可權、用戶權利、用戶配置文件及用戶安全策略等。既要保證各用戶的正常工作不受影響,同時又要避免分配過高許可權而給網路安全和管理帶來不必要的安全隱患。
在網路管理中,網路管理員要求在保證網路安全可靠運行的前提條件下,根據單位人員的工作職權和人員變動情況,為每個用戶設置賬戶、密碼和分配不同的網路訪問許可權;設置Web伺服器、VPN等遠程訪問伺服器中用戶的訪問許可權等;限制Web伺服器可登錄的賬號數量,及時注銷過期用戶和已掛斷的撥號用戶,關閉不用的網路服務等。
㈢ 如何管理各種伺服器
同Web站點一樣,用戶也可以使用多種方法來管理FTP站點伺服器。例如:設置FTP站點伺服器的虛擬目錄的訪問許可權、設置匿名訪問、創建用戶賬戶等。
10.2.1 為FTP的虛擬目錄設置寫許可權
在FTP的虛擬根目錄中,必須設置寫許可權才能發布信息。為了提高安全性,可以在准備向伺服器發布信息時設置該許可權,並在發布結束後立即消除許可權。
為FTP的虛擬目錄設置寫許可權的操作步驟如下:
(1) 打開「Internet信息服務」管理器窗口,展開伺服器站點。
(2) 在「默認FTP站點」中,右擊PBSData,從彈出的快捷菜單中選擇「屬性」命令,打開「PBSData屬性」對話框,如圖10-10所示。
圖10-10 「PBSData屬性」對話框
(3) 在「虛擬目錄」選項卡的「FTP站點目錄」選項組中,啟用「寫入」復選框,添加寫許可權。
(4) 單擊「確定」按鈕,保存設置。
10.2.2 為已知FTP用戶建立賬戶
如果用戶未被授權訪問某台Internet主機,則無法在該主機登錄,因此,為了保證FTP用戶能夠順利登錄,應為他們建立賬戶。
為已知FTP用戶建立賬戶的操作步驟如下:
(1) 打開「Internet信息服務」管理器窗口,並展開伺服器節點。右擊「默認FTP站點」,從彈出的快捷菜單中選擇「屬性」命令,打開「默認FTP站點屬性」對話框。切換到「安全賬號」選項卡,如圖10-11所示。
圖10-11 「安全賬號」選項卡
(2) 禁用「只允許匿名連接」復選框,此時將彈出一個消息對話框,表明可能通過網路傳輸未加的密碼,單擊「是」按鈕即可。
(3) 在「FTP站點操作員」選項組中單擊「添加」按鈕,打開「選擇用戶或組」對話框。如圖10-12所示。在「名稱」列表中選擇一個或多個用戶名,然後單擊「添加」按鈕。
圖10-12 「選擇用戶或組」對話框
(4) 單擊「確定」按鈕,將用戶添加到「操作員」列表中。gigi_miao
㈣ 有沒有那種可以集中批量管理伺服器的軟體,提高伺服器管理效率的
如果你是需要集中管理多台伺服器的話,推薦你使用雲幫手。
雲幫手是一款為用戶輕松管理雲伺服器的運維管理工具,提供跨雲多平台一站式批量雲伺服器安全管理服務。
1.全面兼容所有雲服務商,同時兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等雲伺服器操作系統。
2.目前已開放的功能有一鍵安全巡檢、一鍵修復、資源監控、資源告警、一鍵環境安裝、創建站點、遠程登錄、安全防護、系統管理等功能。
讓伺服器的集群化管理更高效、更方便,而且目前開放的功能全都不收費哦。
㈤ 如何提升AD域功能級別到Windows Server 2008 R2
提升功能級別的實際過程非常簡單——雙擊就可完成。但前提是每個域控制器都必須支持新的層級,因此,這意味著建立在早前Windows Server版本上的已有域控制器不可用。雖然這些域控制器還可以作為伺服器的一部分保留,但是我們必須用DCPROMO來取代域控制器的角色。在我們的實例中,最後一個域控制器恰好是新域中的第一個控制器,因此,這個域還要扮演FSMO(Flexible Single Master Operations)的角色,而FSMO仍然是AD Domain Services的一部分。此轉換無法自動完成,需要手動操作。
有五種可以用來轉換的角色,分別是:架構主機,域命名主機,PDC,RID 池管理器和基礎結構主機。若想知道環境中有哪個伺服器控制這些角色,可以打開命令窗口,輸入:
netdom query fsmo /domain:yourdomain.com
在本文的實例中,是由同一個伺服器控制這五個角色。筆者使用MMC管理單元來轉換下列角色,此MMC管理單元來自一個添加了域的工作站,而工作站上安裝了遠程伺服器管理工具(RSAT):
步驟一:轉換成PDC,RID池管理器和基礎結構主機
1.打開Active Directory Users and Computers。
2.右鍵單擊管理單元的左面板中的Active Directory Users and Computers,然後選擇 Connect to domain controller,再選擇需要進行轉換的域控制器。
3.再次右鍵單擊 Active Directory Users and Computers,選擇 All Tasks,然後選擇 Operations Masters。
4.對於RID,PCD和Infrastructure這三個標簽進行驗證,確認當前操作主機是否是我們需要執行轉換的雙方(FROM和TO的對象是否正確),最後點擊確認。
5.關閉對話。
步驟二:轉換成域命名主機
1.打開Active Directory Domain and Trusts
2.右鍵單擊Active Directory Domains and Trusts,選擇Change Active Directory Domain Controller,然後再選擇需要進行轉換的域控制器。
3.右鍵單擊Active Directory Domains and Trusts,然後選擇Operations Master。
4.驗證當前主機伺服器和新的主機伺服器是否安排得當,然後點擊更改。
5.關閉對話。
步驟三:轉換成架構主機
1.首先,注冊管理單元——啟動,運行,輸入regsvr32 schmmgmt.dll,確認鍵結束。
2.啟動,運行,mmc.exe。
3.在控制台屏幕上,找到文件菜單,然後選擇「添加/刪除 管理單元」。
4.從可用的管理單元中選擇Active Directory Schema,選擇添加,然後點擊確認。
5.右鍵單擊Active Directory Schema,選擇Change Active Directory Domain Controller。選擇需要轉換的域控制器。
6.右鍵單擊Active Directory Schema,選擇Operations Master。
7.驗證當前主機伺服器和新的主機伺服器是否安排得當,然後點擊更改。
8.關閉對話。
剩下要考慮的事情是分析在舊的域控制器上,當前運行的角色是哪一個。在此實例中,它還扮演著DHCP伺服器的角色,因此這些角色需要復制到新的架構和已遷移文件上,因為筆者此前的打算是完全關閉舊的域控制器。大家也要留意任何特殊的驗證情景——如,筆者擁有一個曾支持AD驗證的NAS,但是由於它曾使用遺留的驗證形式,因此必須指向它扮演PDC角色的AD伺服器。
找到舊的域控制器,啟動,運行DCPROMO,以運行ADDS安裝向導。
1.點擊「下一步」。
2.點「確認」,表示已經確認自己的網路上存在另一個可用的的全域資料庫目錄伺服器。
3.不要點擊下一頁面的復選框,因為這樣會刪除域。
4.如果DNS正在域控制器上運行,在復選框中打鉤標記,以刪除指向伺服器的DNS,再輸入管理憑證進行確認。
5.輸入新的管理員賬戶密碼。
該伺服器將配置並刪除ADDS,然後將已有數據復制到其他域控制器。該進程結束後重啟系統。一旦舊系統被重啟,就要使用新的本地管理賬戶登錄,然後卸載不需要的服務。
對AD Users and Computers,Sites and Services和DNS進行檢查,確保域控制器已經被成功刪除。暫時需要等待幾小時完成域的復制。
為了提升域的功能級別,要運行Active Directory Users and Computers。右鍵單擊域,選擇Raise domain functional level。在可用的域功能級別選擇區域選擇「Windows Server 2008 R2」,最後點擊升級。域的層級現在已經獲得提升,而這一更改也會復制到每個域控制器上。
為了提升林的級別,要運行Active Directory Domains and Trusts,再右鍵單擊Active Directory Domains and Trusts(不要選擇域)。點擊Raise Forest Functional Level,選擇升級到Windows Server 2008 R2,最後確認升級。而這一更改也會將林的更改復制到其他域控制器上。
㈥ 如何實現伺服器管理集中化
當運維需求隨著業務需求不斷變化,伺服器不斷增多,我們需要對其進行統一集中化管理,並在數量不斷增加的情況下保持穩定。雲幫手支持多IP伺服器集中可視化管理,功能覆蓋整個業務流程,避免多系統繁雜管理,保障業務高效運行。
㈦ windows2003伺服器提升問網域控制站的命令是什麼
參考資料,你看方法對不對.
把一台成員伺服器提升為域控制器
目前很多公司的網路中的PC數量均超過10台:按照微軟的說法,一般網路中的PC數目低於10台,則建議采對等網的工作模式,而如果超過10台,則建議採用域的管理模式,因為域可以提供一種集中式的管理,這相比於對等網的分散管理有非常多的好處,那麼如何把一台成員伺服器提升為域控?我們現在就動手實踐一下:
本篇文章中所有的成員伺服器均採用微軟的Windows Server 2003,客戶端則採用Windows XP。
首先,當然是在成員伺服器上安裝上Windows Server 2003,安裝成功後進入系統,
我們要做的第一件事就是給這台成員伺服器指定一個固定的IP,在這里指定情況如下:
機器名:Server
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1(因為我要把這台機器配置成DNS伺服器)
由於Windows Server 2003在默認的安裝過程中DNS是不被安裝的,所以我們需要手動去添加,添加方法如下:「開始—設置—控制面板—添加刪除程序」,然後再點擊「添加/刪除Windows組件」,則可以看到如下畫面:
向下搬運右邊的滾動條,找到「網路服務」,選中:
默認情況下所有的網路服務都會被添加,可以點擊下面的「詳細信息」進行自定義安裝,由於在這里只需要DNS,所以把其它的全都去掉了,以後需要的時候再安裝:
然後就是點「確定」,一直點「下一步」就可以完成整個DNS的安裝。在整個安裝過程中請保證Windows Server 2003安裝光碟位於光碟機中,否則會出現找不到文件的提示,那就需要手動定位了。
安裝完DNS以後,就可以進行提升操作了,先點擊「開始—運行」,輸入「Dcpromo」,然後回車就可以看到「Active Directory安裝向導」
在這里直接點擊「下一步」:
這里是一個兼容性的要求,Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器,我建議大家盡量採用Windows 2000及以上的操作系統來做為客戶端。然後點擊「下一步」:
在這里由於這是第一台域控制器,所以選擇第一項:「新域的域控制器」,然後點「下一步」:
既然是第一台域控,那麼當然也是選擇「在新林中的域」:
在這里我們要指定一個域名,我在這里指定的是demo.com,
這里是指定NetBIOS名,注意千萬別和下面的客戶端沖突,也就是說整個網路里不能再有一台PC的計算機名叫「demo」,雖然這里可以修改,但個人建議還是採用默認的好,省得以後麻煩。
在這里要指定AD資料庫和日誌的存放位置,如果不是C盤的空間有問題的話,建議採用默認。
這里是指定SYSVOL文件夾的位置,還是那句話,沒有特殊情況,不建議修改:
第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面,主要是因為雖然安裝了DNS,但由於並沒有配置它,網路上還沒有可用的DNS伺服器,所以才會出現響應超時的現像,所以在這里要選擇:「在這台計算機上安裝並配置DNS,並將這台DNS伺服器設為這台計算機的首選DNS伺服器」。
「這是一個許可權的選擇項,在這里,我選擇第二項:「只與Windows 2000或Window 2003操作系統兼容的許可權」,因為在我做實驗的整個環境里,並沒有Windows 2000以前的操作系統存在」
這里是一個重點,還原密碼,希望大家設置好以後一定要記住這個密碼,千萬別忘記了,因為在後面的關於活動目錄恢復的文章上要用到這個密碼的。
這是確認畫面,請仔細檢查剛剛輸入的信息是否有誤,尤其是域名書寫是否正確,因為改域名可不是鬧著玩的,如果有的話可以點上一步進入重輸,如果確認無誤的話,那麼點「下一步」就正式開安裝了:
幾分鍾後,安裝完成:
點完成:
點「立即重新啟動」。
然後來看一下安裝了AD後和沒有安裝的時候有些什麼區別,首先第一感覺就是關機和開機的速度明顯變慢了,再看一下登陸界面:
多出了一個「登陸到」的選擇框:
進入系統後,右鍵點擊「我的電腦」選「屬性」,點「計算機」
怎麼樣?和安裝AD以前不一樣吧,其它的比如沒有本地用戶了,在管理工具里多出么多圖標什麼的,這些將在以後的文章里講述,這里就不再詳談了。
把一台成員伺服器提升為域控制器(二)
在我的上一篇文章中,已經把一台名為Server的成員伺服器提升為了域控制器,那我們現在來看一下如何把下面的工作站加入到域。
由於從網路安全性考慮,盡量少的使用域管理員帳號,所以先在域控制器上建立一個委派帳號,登陸到域控制器,運行「dsa.msc」,出現「AD用戶和計算機」管理控制台:
先來新建一個用戶,展開「demo.com」,在「Users」上擊右鍵,點「新建」-「用戶」:
然後出現一個新建用戶的向導,在這里,我新建了一個名為「swg」的用戶,並且把密碼設為「永不過期」。
這樣點「下一步」,直到完成,就可以完成用戶的創建。然後在「demo.com」上點擊右鍵,先擇「委派控制」:
就會出現一個「委派控制向導」:
點擊「下一步」:
點擊中間的「添加」按鈕,並輸入剛剛創建的「swg」帳號:
然後點「確定」:
再點「下一步」:
在上面的畫面中,暫時不需要讓該用戶去「管理組策略鏈接」,所以在這里,僅僅選擇「將計算機加入到域」,然後點「下一步」:
最後是一個信息核對畫面,要是沒有什麼問題的話,直接點「完成」就可以了。
接下來轉到客戶端,看看怎麼把XP進來,在實驗中採用的客戶端操作系統是Windows XP專業版,需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶,所以不能加入域,大家別弄錯了喲,我們先來設置一下這台XP的網路:
計算機名:TestXP
IP:192.168.5.5
子網掩碼:255.255.225.0
DNS伺服器:192.168.5.1,
設置完網路以後,在「我的電腦」上擊右鍵,選「屬性」,點「計算機名」。
在這里把「隸屬於」改成域,並輸入:「demo.com」,並點確定,這是會出現如下畫面:
輸入剛剛在域控上建的那個「swg」的帳號,點確定:
出現上述畫面就表示成功加入了,然後點確定,點重啟就算OK了。來看一下登陸畫面有沒有什麼不一樣:
看到那個「登陸到」了吧,可以選擇域登陸還是本機登陸了,在這里選擇域「DEMO」,這樣就可以用域用戶進行登陸了。進入系統後,在「我的電腦」上擊右鍵,選「屬性」,點「計算機名」:
看到用黑框標出來的地方和沒有加入到域的時候的區別的吧?
當把下面的客戶端加入到域後,如果域控制器處於關閉狀態或者死機的話,那麼,會發現下面的客戶機無法登陸到域,所以再建立一台域控制器,用來防止其中一台出現意外損壞的情況是很有必要的。後來建立的那台域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:
當然網路設置永遠是在第一步的:
計算機名:Bserver
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.1
既然是提升為域控制器,那麼DNS組件也是要添加的,添加方法和我的第一篇文章中所定的一樣,這里就不再重復了。添加完成後,同樣是點擊「開始」-「運行」-「dcpromo」:
出現的向導和操作系統兼容性同安裝第一台域控時是一樣的,唯一要注意的是下面的那個畫面:
安裝第一台時選擇的是「新域的域控制器」,這里要選擇的是「現有域的額外域控制器」,然後點「下一步」:
在這里,輸入域的管理員帳號的密碼,在「域」里填入相應域的DNS全名或NetBios名,點「下一步」:
在這里一定要填入現有域的DNS全名,然後再點「下一步」,接下去的操作和安裝第一台域控制器時是一樣的,所以就不再寫下去了,直到完成就可以了。
活動目錄之用戶配置文件
關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了,所以在這里開設用戶的方法就不再重復了,本篇文章主要向大家介紹一下用戶配置文件。
首先,什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合,它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:
用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下,有一個和你的登陸用戶名相同的文件夾,該用戶配置文件就保存在這里,順便提示一下,如果本機和域上有一個同名用戶,並且都登陸過的話,那麼就會出現在同名文件夾後面拖後綴的情況,舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp),本地有一個swg的帳號,域上也有一個swg的帳號,並且都登陸過這台計算機,那麼會發生如下情況:
本地帳號先登陸:那麼本地的swg的用戶配置文件夾為swg,而域用戶的用戶配置文件夾為swg.demo。
域帳號先登陸:那麼域用戶的用戶配置文件夾為swg,本地用戶的配置文件夾為swg.testxp。
通過上面的截圖,我們可看出,用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在「Documents and Settings」文件夾下有一個名為「All Users」的文件夾,如果你在這個文件夾下的「桌面」文件夾下新建一個文件的話,你會發現所有用戶在登陸時的桌面上都有這個文件,所以這個文件夾里的配置是對這台計算機的每個用戶均起作用的。
當網路變成域構架後,所有的域用戶可以在任意一台域內的計算機登陸,當你在一台計算機上的用戶配置文件修改後,你會發現到另一台計算機上登陸時,所有的設置還是原來的,並沒有發生修改,這是因為用戶的配置文件是保存在本地的,不管是域用戶還是本地用戶,都是保存在那台登陸的計算機上。我們可以在「我的電腦」上擊「右鍵」,選「屬性」,點「高級」,然後在「用戶配置文件」里點「設置」:
請注意「類型」里用紅框標出的部分,全部是「本地」,這就說明用戶配置文件保存在本地,那麼如何才能讓用戶的配置文件隨著帳號走,也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題,就要用到漫遊用戶配置文件,原理就是把用戶配置文件保存在一個網路的公共位置,當用戶在計算機上登陸里,會從網路公共位置把用戶配置文件下載到本地並加以應用,然後當用戶注銷時,會把本地的用戶配置文件同步到網路公共位置,以保證公共位置用戶配置文件的有效性,以便下一次使用。那麼如何來實現這個功能呢?現在就來實踐一下:
首先,要在一個網路的公共位置開設一個共享文件夾,用來存放用戶配置文件,在個實驗里,就在域控制器上開設一個為share的共享文件夾,並開放許可權:
然後,點擊「開始-設置-控制面板-管理工具」,雙擊「AD用戶和計算機」,並選中相應的用戶,這里以「swg」帳號為例:
在「swg」帳號上雙擊,然後選「配置文件」,在「用戶配置文件-配置文件路徑」里輸入:\\192.168.5.1\share\%username%,「192.168.5.1」是域控制器的IP地址,如下圖所示:
然後點確定,接下去就到客戶端去,用「swg」帳號登陸一下,看看會發生什麼變化。
如上圖所示,DEMO\swg的狀態由剛剛的「本地」變成了「漫遊」,此時注銷一下用戶,那麼就會自動的將該用戶的本地用戶配置文件同步到網路公共位置,如果再用「swg」到另外的域內計算機上去登陸的話,會發現所有的用戶配置文件和這台計算機上是一樣的。那麼伺服器上發生了些什麼變化呢?
如上圖所示,伺服器的「share」文件夾里會自動創建一個和用戶名一樣的「swg」文件夾,默認情況下這個文件夾只允許對應的用戶打開:
畫面很熟悉吧?
目前很多公司的IT Pro都有共同的感嘆,就是用戶喜歡把自己的桌面什麼的搞得亂七八糟,雖然通過組策略可以限制掉一部份,但總覺得不是很完善,在這里,向大家推薦使用強制用戶配置文件,用戶可以對自己個人配置文件任意修改,但是一旦注銷後,這些修改將不會被保存,這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣,那麼如何實現這個功能呢?其實只要將用戶配置文件夾下的「Ntuser.dat」改成「Ntuser.man」就可以了,來看一下修改過程:
首先,在顯示隱藏文件和已知文件的擴展名,可以在「工具-文件夾選項-查看」里進行修改:
~
點「確定」後,就可以在看到那個「Ntuser.dat」文件了,但此時會有一個問題,如果去修改C:\Documents and Settings\swg下的「Ntuser.dat」,會發現根本沒有辦法修改這個文件,因為文件在使用中,無法修改;如果去修改網路公共位置的「Ntuser.dat」,也就是\\192.168.5.1\share\swg下的「Ntuser.dat」,修改當然可以修改,但是由於在「swg」用戶注銷的時候,本地的「Ntuser.dat」會把網路公共位置的「Ntuser.man」覆蓋掉,也就是等於沒有修改。很多人都想直接在伺服器上更改 「swg」文件夾的所有者,然後給管理員帳號添加許可權,這樣就可以直接在伺服器上把「Ntuser.dat」改掉,但本人實踐過幾次,都發現這樣的操作會引起一些許可權無法繼承,而導致出錯的情況,所以不建議大家使用,這里推薦一種方法:
先把「swg」帳號注銷掉,然後用另外一個帳號登陸,比如管理員,當然,如果在登陸成功後直接去訪問\\192.168..5.1\share\swg以試圖修改的話,那麼你將會感到失望,因為還是拒絕訪問的,那麼如何訪問並修改呢,可以這樣操作,「開始-運行-cmd」然後回車,這樣就啟動了命令行,在命令行下輸入:net use \\192.168.5.1 password /user:swg,顯示「命令成功完成」,這樣就利用「swg」和伺服器建立一個連接,此時就可以\\192.168.5.1\share\swg,里進行修改了,
然後再注銷管理員帳號,用「swg」登陸,看看有沒有成功:
看到了吧,類型由「漫遊」變成了「強制」,現在可以在桌面這些地方進行任意的修改,你會發現注銷再登陸,又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。
最後再請大家注意兩個問題:
1、 在配置強制用戶配置文件時,當用其它用戶登陸修改時,請保證被修改的用戶處於注銷狀態,為什麼?大家不妨自己想一想!
2、 當使用漫遊用戶配置文件時,請不要在桌面等地方存放一些大型的程序或文件,因為用戶在登陸和注銷過程中會下載和上傳配置文件,如果文件過大,會影響登陸和注銷的速度。
㈧ dns系統中,有哪些措施提高域名伺服器的可靠性
DNS軟體是黑客熱衷攻擊的目標,它可能帶來安全問題,在網路安全防護中,DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS伺服器
只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋,它把結果保存在高速緩存中,然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器,只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。
3.使用DNS廣告者
DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如,如果你的主機對於domain.com 和corp.com是公開可用的資源,你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。
除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成遞歸查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一台DNS伺服器,授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也可以讓DNS解析者同時被內、外部用戶使用。
㈨ 部署一個200人左右的域管理伺服器,需要什麼樣的配置
現在的pc已經很強大了,普通電腦可以跑,關鍵不在能不能跑而在於跑起來安不安全,如果測試用可以,真的投入使用,老闆等不上去了,他怎麼知道你是想省錢,只認為你能來不行。其實伺服器主要是穩定性要好些。
㈩ 如何使用區域網的伺服器
構建一個成功的存儲區域網,第1步和最重要的一步是網路本身的設計。首先應該明確網路設計的目標。一個成功的存儲區域網設計,應該保證在實施後能夠滿足用戶對存儲設備性能和容量方面的要求,能夠滿足數據的高可用性和抗災的要求,能夠提供強大的數據管理功能,能夠滿足數據備份的要求,能夠滿足未來數據與業務增長的要求,還要具有較高的性價比。存儲區域網的設計過程,通常包括以下步驟。
1.需求分析
設計存儲區域網之前,設計者必須首先了解和收集用戶需求信息,了解不同應用對存儲容量的要求,以及系統所需要總存儲容量的需求;了解可能需要接入存儲區域網的伺服器;分析數據備份與恢復的要求與策略,決定不同數據的重要性級別;確定可以在晚間按照計劃停機備份的數據量大小;了解有關數據高可用性的要求;了解數據抗災的要求;了解異構連接的要求。
2.用戶應用環境信息的收集與分析
在了解用戶的業務需求與對整體方案的要求後,需要進一步了解用戶應用環境並進行分析。需要了解的應用環境信息包括:相關伺服器的軟硬體配置信息;相關伺服器所需的I/O性能要求與容量要求;每台伺服器所需要的邏輯卷組的數目;相關的當前伺服器的關系;每個邏輯卷組所對應的I/O性能要求。
3.選擇大型存儲設備
在了解用戶業務需求和應用環境情況後,存儲區域網的設計就到了選擇適當的磁碟陣列、帶庫等大型存儲設備這關鍵的一步。在選擇時設計者需要重點考慮的問題包括:相關應用程序對存儲備份的要求;整體環境對存儲設備的性能要求;未來業務及數據增長對存儲設備的可擴充性要求;數據的高可用性要求;抗災方式與災難恢復要求;相關存儲設備與伺服器、網路組件互連的要求;環境中異構機型及不同平台應用的備份要求;建設SAN的預算。在綜合考慮以上因素及相關產品的性能指標後,設計者可以基本確定需要購買的存儲區域網路設備。
4.存儲區域網的網路拓撲設計與存儲設備的內部劃分設計
存儲區域網設計的最後一步,是網路拓撲結構設計與存儲設備的內部劃分設計。設計者需要考慮的因素包括:光纖通道設備的選擇,如集線器、路由器或交換機;光纖通道設備的選型,如8埠、16埠等光纖通道設備;伺服器光纖通道數據介面適配器的選擇;伺服器群集與相關光纖通道設備間邏輯區的劃分;數據傳輸鏈路的冗餘性及相關的流量分析;存儲設備的邏輯卷的設計。