K3Windows 高级应用文档格式.docx
《K3Windows 高级应用文档格式.docx》由会员分享,可在线阅读,更多相关《K3Windows 高级应用文档格式.docx(34页珍藏版)》请在冰豆网上搜索。
C、应用程序池大小,对业务压力比较大的模块或经常使用而又不会出现“死锁”的模块,可以应用程序池大小调正到4~7个,例如Ebopublic和Ebosystem和EBOK3
如下图所示:
3)Windows2003中IIS6.0进程管理。
相比Windows2000中IIS5.0,同样存在进程管理的优点。
经典案例:
“金蝶集团人力资源管理系统”,即金蝶数字神经系统中的HR.,往年金蝶员工清楚记得在做绩效评估时,要求员工分部门,按照不同时段去完成,而且即使这样还无法保证系统不“死机”,而自从HR2004年初更换为Windows2003操作系统后,还没有发现过上述现象。
系统非常稳定。
3K/3中间层Windows2003下配置步骤
3.1可用操作系统版本:
1)WindowsServer2003EnterpriseEdition(32bit),中文/英文版本。
2)WindowsServer2003StandardEdition(32bit),中文/英文版本。
3)WindowsServer2003WebEdition(32bit)英文版本(暂无中文版)。
3.2配置步骤:
1)安装应用程序服务——“启用网络COM+访问”和启用网络DTC访问。
安装步骤如下图所示,控制面板→添加或删除程序→添加或删除Windows组件→应用程序服务器。
如果没有安装该服务,也就是我们平常为何安装K/3中间层无法正常运行的关键原因。
2)安装应用程序服务——“ASP.net”和“Internet信息服务(IIS)”。
安装步骤同上。
如果没有安装该服务,也就不能安装K/3HR和K/3Web。
3.3MSDTC安全设置
一般安装好上述Windows组件后,如果未安装SP1,也同样要求检查MSDTC安全设置是否正常,其操作步骤如下:
进入组件服务->
我的电脑->
MSDTC->
安全配置,默认选项如下图
3.4EBO组件包安全设置
在Windows2003环境中安装K3中间层,特别是早期版本,要求对EBO包属性中安全设置部分进行修改,其默认设置如下图所示:
(默认设置)设置前
强烈要求安装红色标记部分进行修改,否则K/3系统运行不稳定.
设置后
重要说明:
如果客户端采用K3域用户账户登录方式,则要求对EBOsystem、EBOPUBLic设置为默认方式,否则不能登录,如下图所示。
3.5Windows2003+SP1组件安全设置
由于Windows2003安装SP1后,MSDTC的安全机制有了改变,要求按照以下步骤进行设置方可正常
Windows2003+SP1MSDTC服务设置要求按照以下步骤完成方可正常。
步骤一:
安全配置,如下图所示:
设置前
Windows2003安装SP1后,MSDTC安全配置发生了变化,需要在按照上图中的参数选项进行修改。
步骤二:
COM安全的安全设置
进入组件服务->
COM安全->
启动和激活权限的编辑限制,可以看到对于EveryOne默认是不允许远程启动和远程激活的。
我们需要设置其对于EveryOne允许远程启动和远程激活。
如下图:
设置后,K/3系统可正常使用。
3.6中间层组件信任注册
说明:
此项设置为可选项,详细配置见附录2。
应用场景:
a)没有域服务器;
b)客户端在不同域(域服务器之间建立双向信任关系);
c)域服务器配置低;
d)域服务器为WindowsNT4.0或更低版本。
3.6K/3的防火墙应用设置
中间层与防火墙(高端应用要求)应用设置:
详细配置见附录3。
4Windows2003与K3应用场景设置对照表
项目
WindowsServer2003EnterpriseEdition
(中英文)
WindowsServer2003StandardEdition
WindowsServer2003WebEdition(英文)
数据库(SQL)
1、SQL2000Enterprise
2、SQL2000Standard
3、MSDE
仅支持MSDE
A.英文操作系统特别强调要求安装SQL之前区域预置中文语言为默认选项。
无要求
.支持64位服务器
.支持SQL群集(32/64位)
仅支持32位服务器?
仅支持32位服务器
非域成员要求修改注册表:
中间层
.支持网络负载均衡
.支持组件负载均衡
.建议使用组件信任注册,以提升安全性或降低域服务器负载
.账套注册支持Windows身份验证和SQL身份验证
.MSDTC不支持克隆操作系统—当数据库和中间层服务器采用克隆方式,也就是常见的Ghost方式,常见于服务器预装系统等等。
.账套注册仅支持SQL身份验证
.MSDTC不支持克隆操作系统
客户端
支持K3GUI客户端终端访问。
注意系统默认“限制每个用户使用一个会话”,如要变动,打开终端服务配置中“服务器设置”修改相应设置即可。
提供120天临时终端服务
不支持终端服务
插入的文件Msdtc.reg,使用鼠标右键即可保存.
其内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC]
"
TurnOffRpcSecurity"
=dword:
00000001
也可以通过手工方式创建。
重新启动SQL服务器中Msdtc服务方可生效
5Windows2003与K/3网络负载均衡高级应用
在网络应用中,如果一台服务器不能满足客户端的要求时,通过使用Windows2003中的网络负载平衡群集,同样可以满足客户端的需求。
网络负载均衡为共同工作且使用两个或两个以上主机群集的Web服务器,提供了高度可用性和可伸缩性。
由于互联网用户在使用单一的IP地址(或一个多主机的一组地址)访问群集时,不能将单一服务器从群集中区分开来,所以服务器程序不能识别它们正在运行的一个群集。
由于网络负载均衡群集即使在群集主机发生故障的情况下,仍能提供不间断的服务,故而它与运行单一服务器程序的单一主机大相径庭。
与单一主机相比,群集还能对客户需求做出更迅捷的反应。
网络负载均衡通过在主机发生故障或脱机的情况下,将网络通讯量重新指定给其它工作群集主机来提供高度的可用性。
这样,在与脱机主机现存的连接丢失的情况下,互联网的服务仍然处于可用状态。
在大多数情况下(就Web服务器而言),用户软件会自动重试发生故障的连接,而且用户仅需几秒的延迟即可得到响应。
网络负载均衡使用全面分布式的算法,从统计意义上将引入的客户映射到基于IP地址、端口和其它信息的群集主机上。
在检查收到的数据包时,所有主机均同步执行这种映射,以迅速决定哪个主机应处理该数据包。
除非群集主机数量发生变化,这种映射会保持不变。
网络负载均衡也可以通过硬件来实现,其效果比软件更好,下面就Windows2003实现网络负载均衡步骤进行说明
环境要求:
A、Windows2003EnterpriseEdition(中/英)+SP1
B、服务器2台,双网卡(1G),100~1G交换机
实现步骤
a.IP地址设置
a)设置要求:
内网IP,外网IP,数据库服务器IP同内网IP一致,防止客户端访问内网以确保数据库安全.
b)内网:
10.10.10.5/255.255.255.0,外网:
192.168.14.5/255.255.255.0
c)群集IP:
192.168.14.234/255.255.255.0
b.从管理工具中打开“网络负载平衡管理器”,鼠标右键新建群集,并输入群集IP地址确认
c.按“下一步”继续
d.按照默认方式继续“下一步”操作
e.输入作为群集成员的服务器
f.“下一步”操作后,选择优先级
g.点击“完成”后,等待数秒钟,其结果如果
h.同样方法,将第二、第三台服务器添加到该群集中
i.其操作步骤略
j.验证:
关闭任何一台服务器,Ping群集IP:
192.168.14.234均正常。
销售一空说明:
群集成员之间的IP已经关闭Ping包,所以在下一个步骤中K/3系统服务重定向,要求使用内网IP地址,否则将出现错误。
k.说明:
如果没有双网卡,绑定多IP地址也可以实现,但效果不理想,特别是启动群集服务的时候,会中断。
l.K/3中间层系统服务设置
a)一般说来K/3用户加密卡只有一个,那么对中间层只有一个加密卡如何处理?
方法比较简单:
1.如果是K3v10.1以下的版本,打开组件服务→Dcom并找到KdSvrMgr.clsAct属性后(有的版本可能为8005BBB8-E3B0-11D5-9FA1-00E04C54B3B6同样可以)
,
2.上述IP地址就是有加密卡的服务器IP地址
3.如果是K3V10.2版本,则使用下列方法来实现:
从客户端拷贝一个kdsvrmgr.vbr到中间层,用clireg32.exe手工注册该组件到另外一台有加密卡的中间层(内网IP)
m.验证:
客户端K3注册群集IP地址,停止任何一台计算机中COM+服务是否正常,当然如果有2个加密卡则关闭任何一台均正常
附录1:
K3&
SQL2000(64位)解决方案
为确保金蝶K3产品线支持SQLServer2000EnterpriseEdition(64位),自2003-12月底实现了K3V9.0以上版本的数据库支持,以实现客户业务数据量激增的需要。
一、环境要求
a)CPU:
IntelItaniumProcessorFamly,建议配置4~8个以上;
b)内存:
最小4G以上,简易配置16G以上;
c)WindowsServer2003EnterpriseEdition(64位)+SPn
d)Raid配置
二、高级应用环境(可选项)
a)SQLServer2000EnterpriseEdition(64位)群集支持(视硬件厂商是否支持);
b)支持接点N+1,合理配置:
SQL2+1群集,即两节点在线,一节点待机;
c)具体安装步骤和说明,由厂家提供。
三、K3数据库服务装机步骤
a)将系统添加到域,并以域用户账号登录;
b)安装K3数据库服务部件
c)检查系统环境,如下图所示,否则系统将不正常。
d)手工创建组件包,例如K3SQL
i.安装新组件PKDAc64.dll,类似于K3组件打补丁报包做法;
文件下载:
ii.在下图中的角色位置,添加中间层登录(Windows域用户)账号,
iii.重新启动服务器
四、中间层账套管理测试
a)用户管理、账套备份、账套恢复均正常
b)高级应用(可选)
i.确保系统未登录操作系统情形时,可采取以下措施和方法
1.采用自动登录;
2.或在DcomConfig对PKDACNEW属性进行设置,具体方法类似与中间层信任注册,仅将常规选项授权级别更改为无,标识(Identity),修改为本地用户账号,或域用户账号。
如下图所示。
五、
K3数据库服务装机步骤(非域用户情形)
1、启用Guest用户
2、创建COM+应用程序组建包,添加用户Everyone
3、修改Dcomcnfg属性、PKDACNEW属性、类似与信任注册。
具体步骤如下图所示:
附录2:
附录3:
K/3中间层组件信任注册
1应用目的
Ø
中间层信任客户端注册安全身份验证多选择方式。
扩充广域网应用灵活性,避免因域用户、同名账号所引发的设置操作难度。
提高系统性能。
2应用方式
传统认证方式:
域用户验证确认,是通过第三方域用户特权账户(DomainAdmin)确认来获取相关权限。
新增认证方式:
在网络安全区内,允许信任访问。
新增认证方式,主要解决应用环境问题:
中间层允许客户端非同域时能够正常注册访问。
3应用背景
即同域验证确认,是依靠第三方域用户特权账户(DomainAdmin)确认。
一般情况下,过多的身份验证,或由第三方进行身份验证,是靠牺牲网络性能为代价换来的,如果大量的数据包均要求第三方进行身份验证,则从某种程序上来说,降低了系统的性能,所以新增认证方式性能上肯定有所提高,但安全上局部有所下降,但可以依靠本地安全策略来控制,在本篇幅中不做说明。
该技术主要应用于跨网段非域用户情形。
例如:
DDN、VPN等环境。
减少因域用户权限认证减少系统资源利用,最终提高一定速度;
其次,减少不必要的添加到域的麻烦;
即使在域用户情形,也可以确保降低域服务器负载,最重要的一点是,即使域服务器出现故障时,也可确保K/3业务正常运行而不受其影响。
4设置步骤
4.1中间层COM属性设置
4.1.1账号设置
修改本机账号:
将Administrator
账号修改成其他名称,例如Admin。
添加本地系统管理员账号,例如K3srv及密码,以便在K/3信任注册中使用。
注:
如果不修改Administrator账号,则在客户端注册时,可能会出现KdSvrMgr、TransXmlLib无法通过。
4.1.2Dcomcnfg信任设置
操作系统
账号要求
Dcomcnfg
设置
说明
Windows2000
方法1
(推荐)
中间层:
◆Guest:
启用并修改名称,例如Guest_kd
◆Administrator:
修改名称,例如Admin
◆新增组件服务专用账号,例如K3Srv
保留默认“连接”、“标识”(客户端默认方式)
可以实现系统服务重定向
方法2
(不推荐)
◆Guest禁用
◆Administrator:
默认属性:
“无”“标识”(含客户端)
系统服务不能重定向
客户端改动量大,不推荐使用该方法
Windows2003
◆Guest:
保留默认“连接”、“标识”(客户端默认方式)
运行:
Dcomcnfg.exe,设置如下图。
图1:
采用方法2时Windows2000Dcomcnfg设置图
.KdSvrMgr.clsAct/TransXmlLib.clsXml属性设置
仅将身份表示由原默认启动用户更改为“指定用户”,并输入本地系统管理员用户名和密码,见下图所示。
图2
图3
指定用户后,可以实现中间层服务器不登录操作系统同样可以确保K/3客户端正常连接使用。
设置完成后,注销操作系统重新登录。
4.2中间层组件包设置
4.2.1方法A,使用“注册中间层组件”工具方法:
在注册中间层组件界面点击“高级”按钮,进入中间层组件运行属性设置界面。
图4
在上图中,一般输入本地系统管理员账号及密码,例如上表中的K3srv账号。
如果客户端注册正常,但在操作某些模块异常错误,例如EBSlegder等等错误,则只要重新使用MtsSpins.exe工具即可(一般此类问题是在安装K/3SP补丁引起某些OCX文件未注册。
)
按照客户的不同选择对中间层组件包设置不同的属性。
若选择“信任注册方式”,还需执行以下几步。
4.2.2方法B:
K/3组件包手工设置
(一般情况下,建议采用上述工具进行设置)
原K/3V9.3.1以前版本,在WindowsSP2环境下,采用上述工具系统运行正常,但安装WindowsSP3后,需要前图中的“默认模拟级别”从原“匿名”状态修改成“标识”状态,否则,系统CPU将达到100%不下降,具体修改方法如下。
在下图中,直接在组件服务工具中,对K/3组件包全选后,将相应设置更改成下图所示的方式,即在中间层按照默认方式安装完毕后,手工修改,无需重新按照方法A,可能要注册相当一段时间。
图5
客户端设置
⏹Windows20000(任意网络身份登录)
⏹Windows98环境
以网络身份登录即可。
K/3系统与防火墙配置
1名词解释
防火墙(FireWall)——是通过创建一个中心控制点来实现网络安全控制的一种技术。
通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流,并决定哪些是可以通过的,哪些是不可以的。
安全的防火墙意味着网络的安全。
端口(Port)——计算机用于通讯所使用的通道,如web用的端口80,开放的端口越多,则越容易被非法入侵。
TCP——TransmissionControlProtocol的简称,是Internet上广为使用的一种计算机协议。
UDP——UserDatagramProtocol的简称,WindowsNT常使用的协议。
DCOM——分布式组件对象模型。
2配置步骤
由于安全性的问题,防火墙只允许通过Internet信息数据交换使用特定端口(如web用80),而DCOM创建对象时使用的是1024-65535之间的动态port,并且由于防火墙的IP伪装特性,这使DCOM在有防火墙的服务器上是不能进行正常连接的,为解决此问题,需如下处理:
2.1K/3数据库端口设置
由于开放Port越多,则安全性越差,一般防火墙都关闭了大量端口,以防止非法入侵,但DCOM要使用大量的Ports,要解决二者的矛盾,可通过统一的RPC管理(远程过程调用),(由RPC统一进行创建DCOM对象所需的port的映射处理)所以需在防火墙服务器上打开RPC端口135。
具休操作如下:
1)运行DCOMCNFG.EXE
如下图所示,选择默认协议→面向连接的TCP/IP→属性→添加端口范围(至少5个以上),例如:
4000-4005,当然如果使用其他连续5个端口也可以,最后确定保存并重新启动计算机。
2)为数据库开放的端口:
a)TCP端口:
135(RPC)、1433(数据库)、4000、4001、4002、4003、4004、4005(COMInternet端口范围)
b)UDP端口:
无
3)重新启动服务器即可。
4)测试(可选项):
打开网卡属性→TCP/IP→高级→选项,重新启动,使用中间层藏套管理测试是否正常。
2.2K/3中间层端口设置
如下图所示,选择默认协议→面向连接的TCP/IP→属性→添加端口范围(至少35个以上,有多少个组件包,就必须设置开放相同数量连续端口),例如:
4000-4035,当然如果使用其他连续35个端口也可以,最后确定保存并重新启动计算机。
2)为中间层开放的端口:
A、TCP端口:
135(RPC)、4000、4001、4002、…、4035(COMInternet端口范围)
B、UDP端口:
3数据库服务器与中间层服务器操作系统相关设置
A、非域用户情形
约定:
登录中间层账号A_count属于本地系统管理员组,密码为99999
则:
数据库服务器需创建本地账号为A_count,密码为99999,同时务必将该账号属性USERS组删除。
测试:
账套备份和恢复立即正常
建议:
不要使用administrator账号登录。
防止可能性的计算机病毒由于账号和密码完全一样,且均为系统管理员组,造成病毒蔓延。
B、数据库服务器信任设置(类
升级会员 