系统管理员必备的十个Windows服务器管理工具.docx
《系统管理员必备的十个Windows服务器管理工具.docx》由会员分享,可在线阅读,更多相关《系统管理员必备的十个Windows服务器管理工具.docx(23页珍藏版)》请在冰豆网上搜索。
系统管理员必备的十个Windows服务器管理工具
系统管理员必备的十个Windows服务器管理工具
(1)
2010-08-0315:
48 黄永兵译 51CTO.com 我要评论(0)
这么多年来,微软已经默默地为我们提供了大量的服务器管理工具,工具多了,烦心的事情也随之而来了,究竟哪一个工具是最好的呢?
这个问题可能在很多系统管理员心中一直纠结着,本文列举出我个人最喜欢的10个Windows服务器管理工具,也许正好可以解开你心中那道结。
1、SystemCenterCapacityPlanner
你可能会感到奇怪,我为什么要从一个微软已经停止更新的工具开始介绍呢,那是因为我发现SystemCenterCapacityPlanner的确是那样的出众,我想提提也无妨,如果你不熟悉这个工具,那我告诉你吧,它是一款可以预算服务器工作负载的工具,根据微软的说法,SystemCenterCapacityPlanner已经被SystemCenterConfigurationManagerDesigner取代了,虽然它已经被其它工具取代,但截至目前仍然可从TechNet和其它第三方网站下载,SystemCenterCapacityPlanner运行界面如下图所示。
图1永不消逝的SystemCenterCapacityPlanner
SystemCenterCapacityPlanner官方下载地址:
2、PowerShell
微软的服务器产品已经发展到可以使用PowerShell命令执行所有操作的地步,如下图所示,很多新的服务器管理工具实际上都是构建在PowerShell之上的,这意味着任何可从GUI执行的管理任务,也可以通过PowerShell脚本来完成,你可以从这里下载PowerShell2.0。
图2越来越强大的PowerShell
PowerShell官方下载地址:
3、最佳实践分析器
最佳实践分析器实际上不是一个独立的工具,而是一系列帮助你分析服务器部署的工具集,确保它们遵守微软的最佳实践,微软为Exchange,SQLServer,SmallBusinessServer和其它服务器产品提供了最佳实践分析器,我们常见的Exchange最佳实践分析器如下图所示。
图3Exchange最佳实践分析器
4、安全配置向导
安全配置向导旨在帮助你减少服务器的攻击面,它自动分析你的服务器配置,并给出更安全的配置建议,如下图所示,安全配置向导包含在WindowsServer2008和WindowsServerR2中,但也可以从这里下载WindowsServer2003版本。
图4安全配置向导,简化安全配置
安全配置向导官方下载地址:
5、ADSIEdit
ADSIEdit允许系统管理员手动编辑活动目录数据库,如下图所示,我总是拿它与注册表编辑器比较,注册表编辑器允许你手动修改系统的各种配置参数,但如果使用不当,可能会造成Windows崩溃,ADSIEdit也与此类似,它允许你自由编辑活动目录参数,但如果操作不当,也可能会摧毁活动目录,其后果想必会更严重,因此需要小心使用。
我发现ADSIEdit对于Exchange部署也是很有用的,有时通过常规手段不能移除Exchange公共文件夹,这个时候可以用ADSIEdit试试,或许有意想不到的结果。
图5能成事,也能败事的ADSIEdit
6、DCDIAG
虽然域控制器通常都是非常可靠的,但偶尔可能也会出点小问题,特别是有活动目录复制的环境下,包含在Windows服务器中的DCDIAG允许你对域控制器执行完整的故障诊断测试,如下图所示。
图6DCDIAG:
域控制器故障诊断全靠你了
7、Microsoft文件服务器迁移向导
随着时间的推移,服务器硬件变得越来越强大,有些组织发现可以通过整合文件服务器降低管理成本,包含在文件服务器迁移工具箱中的Microsoft文件服务器迁移向导可以帮助组织合并文件服务器上的内容,如下图所示。
图7Microsoft文件服务器迁移向导
Microsoft文件服务器迁移向导官方地址:
8、LDIFDirectoryExchange
LDIFDirectoryExchange并不是很常用的工具,但它强大的功能给我留下了深刻的印象,因此我决定将它列在这里。
LDIFDirectoryExchange是一个导入导出活动目录对象的命令行工具,和ADSIEdit一样,使用这个工具时你必须小心,因为使用不当会打乱你的活动目录,即便如此,它的含金量毋庸置疑,因为你可以用它做一些让你自己都感到很吃惊的事情,例如,你可以从一个域导出所有的用户账号,然后在另一个域利用导出的文本文件重新创建相同的用户账号。
LDIFDirectoryExchange包含在Windows服务器中,你可以在命令提示符窗口中输入LDIFDE来使用它,Windows将会显示命令的全部语法,以及可以使用的命令行参数,如下图所示。
图8LDIFDirectoryExchange总是能让你事半功倍
9、服务器核心配置程序
到目前为止,上述所有工具都无一例外全部是由微软发布的,但这里我要浓重介绍一款第三方提供的管理工具:
服务器核心配置程序(ServerCoreConfigurator),如下图所示,它是由GuyTeverovsky贡献的一款开源工具。
执行WindowsServer2008核心安装时,安装完成后必须执行一些配置任务服务器才能使用,虽然微软提供了一些PowerShell脚本,但执行初始配置的过程仍然很乏味,服务器核心配置程序提供了一个简单的GUI用于服务器的初始配置,简化了整个配置过程。
图9想远离PowerShell,就用服务器核心配置程序
10、Microsoft应用程序兼容性管理程序
Microsoft应用程序兼容性管理程序(MicrosoftApplicationCompatibilityManager)属于应用程序兼容性工具箱的一部分,它为各种Windows版本提供了应用程序兼容性列表,当你要过渡到新的Windows颁布时,可以用它检查你使用的应用程序是否与新版本Windows完全兼容,如下图所示。
图10应用程序兼容性管理程序,一切尽在掌握中
下一代windows服务器操作系统longhorn简介
服务器操作系统Longhorn的主要特点如下:
统一了旧文件系统
微软将FAT16,FAT32,NTFS等文件系统将统一起来,形成一个叫WinFS的文件系统,该文件系统既非基于NTFS也非基于FAT,是以SQLServer数据库为基础,这样就可以通过文件名称或位置确定数据的位置,而完全不用考虑数据是包含在电子表格、字处理文档还是电子邮件中,因此届时用户对所有文件的操作将是非常抽象并且非常灵活了。
正式对64位处理器硬件支持
Longhorn将是一款正式提供对64位处理器支持的操作系统,包括Intel的安腾(Itanium)和AMD的Hammer等,它们都得到了良好的支持。
内置了安全模块
Longhorn特别强调了TCPA技术,也就是将反病毒技术内嵌在操作系统中,这样可以更加有效地阻止病毒和黑客的侵入,而杀毒软件厂商也可以根据这一标准开发出与Windows无缝兼容的新版本。
而且,Longhorn也融入了微软的Palladium(微软正在开发之中的安全架构代码的名称)技术,不过该技术需要硬件和软件两方面的支持才能实现。
I/O速度
Longhorn是第一个支持PCIExpress技术的操作系统,这样I/O总线的传输速度将达到2.5GB/s,而且最多可以支持32个连接,理论上每秒将能传送9.5GB/s的数据。
Windows服务器安全设置经验详谈
(1)
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windowsupdate,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。
这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以找出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。
我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(?
M)来划分。
在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个`IIS匿名用户`所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个?
M里,然后设置这个组在各个分区没有权限或者完全拒绝。
然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和?
M,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。
真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。
当然,如果我有空,我会写我的具体设置方法,很可能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。
那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。
将下面的代码保存为一个.BAT文件,(以下均以WIN2000为例,如果使用2003,则系统文件夹应该是C:
WINDOWS)
QuotedfromUnkown:
regsvr32/uC:
WINNTSystem32wshom.ocx
delC:
WINNTSystem32wshom.ocx
regsvr32/uC:
WINNTsystem32shell32.dll
delC:
WINNTsystem32shell32.dll
然后运行一下,WScript.Shell,Shell.application,WScript.Network就会被卸载了。
可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示`×安全`了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。
下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:
`{13709620-C279-11CE-A49E-444553540000}`和`Shell.application`。
为了确保万无一失,把这两个注册表项导出来,保存为.reg文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000
改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
QuotedfromUnkown:
WindowsRegistryEditorVersion5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@=`ShellAutomationService`
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@=`C:
\WINNT\system32\shell32.dll`
`ThreadingModel`=`Apartment`
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@=`Shell.Application_ajiang.1`
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@=`{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}`
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@=`1.1`
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@=`Shell.Application_ajiang`
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@=`ShellAutomationService`
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@=`{13709620-C279-11CE-A49E-444553540001}`
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@=`Shell.Application_ajiang.1`
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject(`WINNT`)获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:
LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。
另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。
另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。
这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
后记
也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜,但我想我的经验里毕竟还是存在很多正确的地方,有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章,所以我必须写,我不管别人怎么说我,我也不怕后世会有千千万万的人对我唾骂,我一个人承担下来,我也没有娘子需要交代的……
因为这其实只是抛砖引玉的做法,从别人的笑声中,我和我的读者们都可以学到更多有用的东西。
Windows服务器中的负载均衡技术简介
运行Windows2000的单一计算机可以提供有限级别的服务器可靠性和可伸缩性。
但是,通过将两个或两个以上运行Windows2000高级服务器的主机连成群集,网络负载均衡就能够提供关键任务服务器所需的可靠性和性能。
每个主机运行一个所需服务器程序的独立拷贝,诸如Web、FTP、Telnet或e-mail服务器程序。
对于某些服务(如运行在Web服务器上的那些服务)而言,程序的一个拷贝运行在群集内所有的主机上,而网络负载均衡则将工作负载在这些主机间进行分配。
对于其他服务(例如e-mail)只有一台主机处理工作负载,针对这些服务,网络负载均衡允许网络通讯量流到一个主机上,并在该主机发生故障时将通讯量移至其它主机。
网络负载均衡配置概述
网络负载均衡是Windows2000的一个网络驱动程序。
它的操作对TCP/IP网络栈而言是透明的。
为确保网络性能达到最优,网络负载均衡通常使用一个网络适配器来处理客户到群集的通讯量,而其它对服务器的网络通讯量则经由一个单独网络适配器。
然而,第二个网络适配器是不需要的。
来自负载均衡服务器应用的数据库访问
某些服务器程序需要访问由客户请求来更新的数据库。
当这些程序的负载在群集内得到均衡分配时,相关的更新工作则应保持同步状态。
每个主机均使用一个本地、独立的数据库拷贝,而该数据库在必要时可脱机并入。
另一种方法是,群集主机能够共享对一个独立的网络数据库服务器的访问。
也可以组合使用这些方法。
例如,静态Web网页能够在全部群集服务器间进行复制,以确保快速访问和全面容错。
但是,数据库访问请求将转发至为多个Web服务器进行更新处理的公共数据库服务器。
某些关键任务程序可能需要使用高度可用的数据库引擎以确保全面容错。
逐渐地,具有群集识别能力的数据库软件将得到部署,用以在整个群集模式中提供具有高度可用性与可伸缩性的数据库访问。
MicrosoftSQLServer就是一个例子,它能够使用群集服务功能以双节点方式进行部署。
群集服务可确保在一个节点发生故障的情况下,剩余的节点将承担起故障电脑的职责,这样,就能够为MicrosoftSQLServer客户提供近乎连续的服务。
由于两台电脑共享一个公共磁盘子系统,则上述功能是可以实现的。
通过讨论在以下两个群集解决方案之间进行比选是十分重要的。
第一方案,网络负载均衡主要是分配引入的传输控制协议/网际协议(TCP/IP)通讯量;加入这一解决方案的计算机形成一种群集。
第二方案,群集服务主要是提供从一台计算机到另一计算机的故障应急服务;加入这一解决方案的计算机形成另一种群集。
网络负载均衡群集通常运行Web服务器程序。
群集服务通常运行数据库程序(当与网络负载均衡联合使用时)。
通过将两个群集连接在一起以互补方式发挥作用,用户创建了全面群集解决方案。
网络负载均衡如何工作
网络负载均衡为共同工作且使用两个或两个以上主机群集的Web服务器提供了高度可用性和可伸缩性。
因特网客户使用单一的IP地址(或一个多主主机的一组地址)访问群集。
客户不能将单一服务器从群集中区分开来。
服务器程序不能识别它们正运行于一个群集中。
但是,由于网络负载均衡群集即使在群集主机发生故障的情况下仍能提供了不间断的服务,故而,它与运行单一服务器程序的单一主机大相径庭。
与单一主机相比,群集还能对客户需求做出更迅捷的反应。
网络负载均衡通过在主机发生故障或脱机的情况下将网络通讯量重新指定给其它工作群集主机来提供高度的可用性。
与脱机主机现存的连接虽然丢失,但因特网服务仍然处于可用状态。
在大多数情况下(例如,就Web服务器而言),客户软件会自动重试发生故障的连接,而且,客户仅需几秒的延迟即可收到响应。
网络负载均衡通过在群集的一个或一个以上虚拟IP地址当中分配引入的网络通讯量来提供伸缩能力。
群集中的主机于是对不同客户请求做出响应,即使是来自同一客户的多重请求也如是。
例如,Web浏览器可能在单一Web网页内获得群集内不同主机处的多重映射。
这就加速了处理过程并缩短了对客户的响应时间。
网络负载均衡使在一个子网上的全部群集主机能够为群集的主IP地址(以及多主主机上的额外IP地址)同时检测引入的网络通讯量。
在每个群集主机上,网络负载均衡驱动程序充当了一个介于群集适配器驱动程序和TCP/IP栈之间的过滤器,以这种方式
升级会员 