K3Windows 高级应用.docx

1、K3Windows 高级应用 K/3 _Windows 2003高级应用金蝶软件(中国)有限公司系统集成部K/3_Windows 2003高级应用简介自Windows2003推出以来，金蝶K/3基于该平台的应用验证了其强大的优势，为了让金蝶K/3系统性能安全得到更合理的应用部署，本文就现有的典型客户应用模型详细介绍。1 K/3在Windows2003面临问题1) 微软公司从2004年5月份开始，已经不销售Windows 2000，开始全面销售Windows2003系列产品，那么如何应对Windows 2003操作系统环境问题？2) 为什么K/3在Windows 2003默认安装环境下，K/3中

2、间层无法运行？3) 数据库和K/3中间层服务器，如果两服务器分别安装在Windows 2003操作系统中，且均为非域成员时，如何确保系统正常？4) Windows 2003有那几种版本可以作为K/3系统平台使用？5) Windows 2003 64位与K/3那些部件可以使用，对K/3将有那些影响？6) Windows2003网络负载均衡与K/3中间层组合成K/3大型高级应用，如何解决？2 K/3系统在Windows 2003上的优势Windows 2003 在K/3中间层组件服务应用中，提供以下Windows 2000不具备的功能优势：1) 组件多进程池设置。金蝶K/3中间层组件包EBO*，目

3、前已经达到40多个，一般情形下，不要随意更改该组件包的其它属性，除非本文档中有介绍可以使用以外，否则，可能产生负面影响。K/3中间层在默认情形下，Windows 2003与Windows 2000一样，要求手工添加进程数量，一般如果操作系统剩余内存比较充足，建议进程池数量为2个，特别充裕时可以设置为3个甚至更高。2) 应用程序回收时间限制。系统默认不限制。K/3系统在Windows 2000环境下最大的性能问题，其中就包括组件进程“死锁”，至今仍然没有一个较好的解决办法。而在Windows 2003操作系统下，略做组件服务设置，那么可以基本上解决上述“死锁”问题。一般来说，该“死锁”问题解决，

4、那么数据库中的记录“死锁”，相应也大大缓解。可以这样理解：同样服务器硬件条件下，在Windows 2003做上述进程池设置和应用程序回收时间限制，其综合性能指标比Windows 2000要优越很多。也许有人会问，如果某单一业务处理时间（例如40分钟），如何操作回收时间限制？其实系统不会强制关闭您正在运行处理的业务请求，直到完成后该进程将自动关闭。简略设置如下图所示：特别说明：A、 某些客户在可能由于基础资料特别大，达到几万条，在按F7功能健时，特别慢，一般要求对Ebopublic和Ebosystem服务两个组件包“生成时间限制”要大，一般设置为240分钟或更大。B、 如果某些模块非常慢，可以找

5、到相对应的EBO组件包，调整生存时间限制。例如EBOK3一般要求调整大于60分钟以上.C、 应用程序池大小，对业务压力比较大的模块或经常使用而又不会出现“死锁”的模块，可以应用程序池大小调正到47个,例如Ebopublic和Ebosystem和EBOK3如下图所示：3) Windows 2003中IIS 6.0进程管理。相比Windows 2000中IIS 5.0，同样存在进程管理的优点。经典案例：“金蝶集团人力资源管理系统”，即金蝶数字神经系统中的HR.，往年金蝶员工清楚记得在做绩效评估时，要求员工分部门，按照不同时段去完成，而且即使这样还无法保证系统不“死机”，而自从HR2004年初更换为

6、Windows 2003操作系统后，还没有发现过上述现象。系统非常稳定。3 K/3中间层Windows 2003下配置步骤3.1 可用操作系统版本：1) Windows Server 2003 Enterprise Edition(32bit)，中文/英文版本。2) Windows Server 2003 Standard Edition (32bit)，中文/英文版本。3) Windows Server 2003 Web Edition (32bit) 英文版本（暂无中文版）。3.2 配置步骤：1) 安装应用程序服务“启用网络COM+访问”和启用网络DTC访问。安装步骤如下图所示，控制面板添

7、加或删除程序添加或删除Windows组件应用程序服务器。如果没有安装该服务，也就是我们平常为何安装K/3中间层无法正常运行的关键原因。2) 安装应用程序服务“ASP.net”和“Internet信息服务（IIS）”。安装步骤同上。如果没有安装该服务，也就不能安装K/3 HR和K/3 Web。3.3 MSDTC安全设置 一般安装好上述Windows组件后，如果未安装SP1,也同样要求检查MSDTC安全设置是否正常，其操作步骤如下：进入组件服务我的电脑MSDTC安全配置，默认选项如下图3.4EBO组件包安全设置 在Windows2003环境中安装K3中间层，特别是早期版本，要求对EBO包属性中安全

8、设置部分进行修改，其默认设置如下图所示：(默认设置）设置前强烈要求安装红色标记部分进行修改，否则K/3系统运行不稳定.设置后重要说明：如果客户端采用K3域用户账户登录方式,则要求对EBOsystem、EBOPUBLic设置为默认方式，否则不能登录，如下图所示。3.5 Windows2003+SP1组件安全设置由于Windows2003安装SP1后，MSDTC的安全机制有了改变，要求按照以下步骤进行设置方可正常Windows2003+SP1 MSDTC服务设置 要求按照以下步骤完成方可正常。步骤一：进入组件服务我的电脑MSDTC安全配置，如下图所示：设置前设置后 Windows2003安装SP1

9、后，MSDTC安全配置发生了变化，需要在按照上图中的参数选项进行修改。 步骤二：COM安全的安全设置 进入组件服务我的电脑COM 安全启动和激活权限的编辑限制，可以看到对于Every One默认是不允许远程启动和远程激活的。我们需要设置其对于Every One允许远程启动和远程激活。如下图：设置后，K/3系统可正常使用。3.6中间层组件信任注册说明：此项设置为可选项，详细配置见附录2。应用场景：a) 没有域服务器；b) 客户端在不同域（域服务器之间建立双向信任关系）；c) 域服务器配置低；d) 域服务器为Windows NT4.0或更低版本。3.6 K/3的防火墙应用设置中间层与防火墙（高端应

10、用要求）应用设置：详细配置见附录3。4 Windows2003与K3应用场景设置对照表项目Windows Server 2003 Enterprise Edition(中英文)Windows Server 2003 Standard Edition(中英文)Windows Server 2003 Web Edition(英文)数据库（SQL）1、SQL2000 Enterprise2、SQL2000 Standard3、MSDE1、SQL2000 Enterprise2、SQL2000 Standard3、MSDE仅支持MSDEA.英文操作系统特别强调要求安装SQL之前区域预置中文语言为默认选

11、项。A.英文操作系统特别强调要求安装SQL之前区域预置中文语言为默认选项。无要求.支持64位服务器.支持SQL群集（32/64位）仅支持32位服务器？仅支持32位服务器非域成员要求修改注册表：非域成员要求修改注册表：中间层.支持网络负载均衡.支持组件负载均衡.建议使用组件信任注册，以提升安全性或降低域服务器负载.支持网络负载均衡.支持组件负载均衡.建议使用组件信任注册，以提升安全性或降低域服务器负载.支持网络负载均衡.支持组件负载均衡.建议使用组件信任注册，以提升安全性或降低域服务器负载.账套注册支持Windows身份验证和SQL身份验证.MSDTC不支持克隆操作系统当数据库和中间层服务器采用

12、克隆方式，也就是常见的Ghost方式，常见于服务器预装系统等等。.账套注册仅支持SQL身份验证.MSDTC不支持克隆操作系统.账套注册支持Windows身份验证和SQL身份验证.MSDTC不支持克隆操作系统客户端支持K3GUI客户端终端访问。注意系统默认“限制每个用户使用一个会话”，如要变动，打开终端服务配置中“服务器设置”修改相应设置即可。提供120天临时终端服务不支持终端服务说明：插入的文件Msdtc.reg，使用鼠标右键即可保存.其内容如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSD

13、TCTurnOffRpcSecurity=dword:00000001也可以通过手工方式创建。重新启动SQL服务器中Msdtc服务方可生效5 Windows2003与K/3网络负载均衡高级应用在网络应用中，如果一台服务器不能满足客户端的要求时，通过使用Windows 2003中的网络负载平衡群集，同样可以满足客户端的需求。网络负载均衡为共同工作且使用两个或两个以上主机群集的Web服务器，提供了高度可用性和可伸缩性。由于互联网用户在使用单一的IP地址(或一个多主机的一组地址)访问群集时，不能将单一服务器从群集中区分开来，所以服务器程序不能识别它们正在运行的一个群集。由于网络负载均衡群集即使在群集

14、主机发生故障的情况下，仍能提供不间断的服务，故而它与运行单一服务器程序的单一主机大相径庭。与单一主机相比，群集还能对客户需求做出更迅捷的反应。 网络负载均衡通过在主机发生故障或脱机的情况下，将网络通讯量重新指定给其它工作群集主机来提供高度的可用性。这样，在与脱机主机现存的连接丢失的情况下，互联网的服务仍然处于可用状态。在大多数情况下(就Web服务器而言)，用户软件会自动重试发生故障的连接，而且用户仅需几秒的延迟即可得到响应。 网络负载均衡使用全面分布式的算法，从统计意义上将引入的客户映射到基于IP地址、端口和其它信息的群集主机上。在检查收到的数据包时，所有主机均同步执行这种映射，以迅速决定哪个

15、主机应处理该数据包。除非群集主机数量发生变化，这种映射会保持不变。网络负载均衡也可以通过硬件来实现，其效果比软件更好，下面就Windows2003实现网络负载均衡步骤进行说明环境要求：A、 Windows2003 Enterprise Edition(中/英)+SP1B、 服务器2台，双网卡（1G），1001G交换机实现步骤a. IP地址设置a) 设置要求：内网IP,外网IP，数据库服务器IP同内网IP一致，防止客户端访问内网以确保数据库安全.b) 内网：10.10.10.5/255.255.255.0,外网：192.168.14.5/255.255.255.0 c) 群集IP:192.168

16、.14.234/255.255.255.0b. 从管理工具中打开“网络负载平衡管理器”,鼠标右键新建群集，并输入群集IP地址确认c. 按“下一步”继续d. 按照默认方式继续“下一步”操作e. 输入作为群集成员的服务器f. “下一步”操作后，选择优先级g. 点击“完成”后，等待数秒钟，其结果如果h. 同样方法，将第二、第三台服务器添加到该群集中i. 其操作步骤略j. 验证：关闭任何一台服务器，Ping 群集IP:192.168.14.234均正常。销售一空说明：群集成员之间的IP已经关闭Ping包，所以在下一个步骤中K/3系统服务重定向，要求使用内网IP地址，否则将出现错误。k. 说明：如果没有

17、双网卡，绑定多IP地址也可以实现，但效果不理想，特别是启动群集服务的时候，会中断。l. K/3中间层系统服务设置a) 一般说来K/3用户加密卡只有一个，那么对中间层只有一个加密卡如何处理？方法比较简单：1. 如果是K3v10.1以下的版本，打开组件服务Dcom并找到KdSvrMgr.clsAct属性后（有的版本可能为8005BBB8-E3B0-11D5-9FA1-00E04C54B3B6同样可以），2. 上述IP地址就是有加密卡的服务器IP地址3. 如果是K3V10.2版本，则使用下列方法来实现:从客户端拷贝一个kdsvrmgr.vbr到中间层，用clireg32.exe手工注册该组件到另外一

18、台有加密卡的中间层（内网IP）m. 验证：客户端K3注册群集IP地址，停止任何一台计算机中COM+服务是否正常，当然如果有2个加密卡则关闭任何一台均正常附录1：K3&SQL2000(64位)解决方案为确保金蝶K3产品线支持SQL Server 2000 Enterprise Edition（64位），自2003-12月底实现了K3V9.0以上版本的数据库支持，以实现客户业务数据量激增的需要。一、 环境要求a) CPU :Intel Itanium Processor Famly，建议配置48个以上；b) 内存：最小4G以上，简易配置16G以上；c) Windows Server 2003 En

19、terprise Edition(64位)+SPnd) Raid配置二、 高级应用环境（可选项）a) SQL Server 2000 Enterprise Edition（64位）群集支持（视硬件厂商是否支持）；b) 支持接点N+1，合理配置：SQL 2+1群集，即两节点在线，一节点待机；c) 具体安装步骤和说明，由厂家提供。三、 K3数据库服务装机步骤a) 将系统添加到域，并以域用户账号登录；b) 安装K3数据库服务部件c) 检查系统环境，如下图所示，否则系统将不正常。d) 手工创建组件包，例如K3SQLi. 安装新组件PKDAc64.dll，类似于K3组件打补丁报包做法；文件下载： ii.

20、 在下图中的角色位置，添加中间层登录（Windows域用户）账号，iii. 重新启动服务器四、 中间层账套管理测试a) 用户管理、账套备份、账套恢复均正常b) 高级应用（可选）i. 确保系统未登录操作系统情形时，可采取以下措施和方法1. 采用自动登录；2. 或在Dcom Config对PKDACNEW属性进行设置，具体方法类似与中间层信任注册，仅将常规选项授权级别更改为无，标识（Identity）,修改为本地用户账号，或域用户账号。如下图所示。五、 K3数据库服务装机步骤（非域用户情形）1、 启用Guest用户2、 创建COM+应用程序组建包，添加用户Everyone3、 修改Dcomcnfg

21、属性、PKDACNEW属性、类似与信任注册。具体步骤如下图所示：附录2：附录3：K/3中间层组件信任注册1 应用目的 中间层信任客户端注册安全身份验证多选择方式。 扩充广域网应用灵活性，避免因域用户、同名账号所引发的设置操作难度。 提高系统性能。2 应用方式 传统认证方式：域用户验证确认，是通过第三方域用户特权账户（Domain Admin）确认来获取相关权限。 新增认证方式：在网络安全区内，允许信任访问。 新增认证方式，主要解决应用环境问题：中间层允许客户端非同域时能够正常注册访问。3 应用背景 传统认证方式：即同域验证确认，是依靠第三方域用户特权账户（Domain Admin）确认。一般情

22、况下，过多的身份验证，或由第三方进行身份验证，是靠牺牲网络性能为代价换来的，如果大量的数据包均要求第三方进行身份验证，则从某种程序上来说，降低了系统的性能，所以新增认证方式性能上肯定有所提高，但安全上局部有所下降，但可以依靠本地安全策略来控制，在本篇幅中不做说明。该技术主要应用于跨网段非域用户情形。例如：DDN、VPN等环境。减少因域用户权限认证减少系统资源利用，最终提高一定速度；其次，减少不必要的添加到域的麻烦；即使在域用户情形，也可以确保降低域服务器负载，最重要的一点是，即使域服务器出现故障时，也可确保K/3业务正常运行而不受其影响。4 设置步骤4.1 中间层COM属性设置4.1.1 账号

23、设置 修改本机账号：将Administrator账号修改成其他名称，例如Admin。 添加本地系统管理员账号，例如K3srv及密码，以便在K/3信任注册中使用。 注：如果不修改Administrator账号，则在客户端注册时，可能会出现KdSvrMgr、TransXmlLib无法通过。4.1.2 Dcomcnfg信任设置操作系统账号要求Dcomcnfg设置说明Windows 2000方法1（推荐）中间层： Guest:启用并修改名称,例如Guest_kd Administrator:修改名称，例如Admin 新增组件服务专用账号，例如K3Srv保留默认“连接”、“标识”（客户端默认方式）可以实

24、现系统服务重定向方法2（不推荐）中间层： Guest禁用 Administrator：修改名称，例如Admin 新增组件服务专用账号，例如K3Srv默认属性：“无”“标识”（含客户端）系统服务不能重定向客户端改动量大，不推荐使用该方法Windows 2003 Guest：启用并修改名称,例如Guest_kd Administrator：修改名称，例如Admin 新增组件服务专用账号，例如K3Srv保留默认“连接”、“标识” （客户端默认方式）可以实现系统服务重定向运行：Dcomcnfg.exe,设置如下图。图1：采用方法2时Windows 2000 Dcomcnfg设置图.KdSvrMgr.c

25、lsAct/TransXmlLib.clsXml属性设置仅将身份表示由原默认启动用户更改为“指定用户”，并输入本地系统管理员用户名和密码，见下图所示。图2图3指定用户后，可以实现中间层服务器不登录操作系统同样可以确保K/3客户端正常连接使用。设置完成后，注销操作系统重新登录。4.2 中间层组件包设置4.2.1 方法A，使用“注册中间层组件”工具方法：在注册中间层组件界面点击“高级”按钮，进入中间层组件运行属性设置界面。 图4在上图中，一般输入本地系统管理员账号及密码，例如上表中的K3srv账号。如果客户端注册正常，但在操作某些模块异常错误，例如EBSlegder等等错误，则只要重新使用MtsS

26、pins.exe工具即可（一般此类问题是在安装K/3 SP补丁引起某些OCX文件未注册。）按照客户的不同选择对中间层组件包设置不同的属性。若选择“信任注册方式”，还需执行以下几步。4.2.2 方法B：K/3组件包手工设置(一般情况下，建议采用上述工具进行设置)特别说明：原K/3 V9.3.1以前版本，在Windows SP2环境下，采用上述工具系统运行正常，但安装Windows SP3后，需要前图中的“默认模拟级别”从原“匿名”状态修改成“标识”状态，否则，系统CPU将达到100%不下降，具体修改方法如下。在下图中，直接在组件服务工具中，对K/3组件包全选后，将相应设置更改成下图所示的方式，即

27、在中间层按照默认方式安装完毕后，手工修改，无需重新按照方法A，可能要注册相当一段时间。图5 客户端设置 Windows 20000（任意网络身份登录） Windows 98环境以网络身份登录即可。附录3：K/3系统与防火墙配置1 名词解释防火墙（FireWall）是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。端口（Port）计算机用于通讯所使用的通道，如web用的端口80，开放的端口越多，则越容易被非法入侵。TCPTransmission

28、 Control Protocol的简称，是Internet上广为使用的一种计算机协议。UDPUser Datagram Protocol的简称，Windows NT常使用的协议。DCOM分布式组件对象模型。2 配置步骤由于安全性的问题，防火墙只允许通过Internet信息数据交换使用特定端口（如web用80），而DCOM创建对象时使用的是1024-65535之间的动态port，并且由于防火墙的IP伪装特性，这使DCOM在有防火墙的服务器上是不能进行正常连接的，为解决此问题，需如下处理：2.1 K/3数据库端口设置由于开放Port越多，则安全性越差，一般防火墙都关闭了大量端口，以防止非法入侵，

29、但DCOM要使用大量的Ports，要解决二者的矛盾，可通过统一的RPC管理(远程过程调用)，（由RPC统一进行创建DCOM对象所需的port的映射处理）所以需在防火墙服务器上打开RPC端口135。具休操作如下：1) 运行DCOMCNFG.EXE如下图所示，选择默认协议面向连接的TCP/IP属性添加端口范围（至少5个以上），例如：4000-4005，当然如果使用其他连续5个端口也可以，最后确定保存并重新启动计算机。2) 为数据库开放的端口：a) TCP端口：135（RPC）、1433（数据库）、4000、4001、4002、4003、4004、4005（COM Internet 端口范围）b)

30、UDP端口：无3) 重新启动服务器即可。4) 测试（可选项）：打开网卡属性TCP/IP高级选项，重新启动，使用中间层藏套管理测试是否正常。如下图所示：2.2 K/3中间层端口设置具休操作如下：1) 运行DCOMCNFG.EXE如下图所示，选择默认协议面向连接的TCP/IP属性添加端口范围（至少35个以上,有多少个组件包，就必须设置开放相同数量连续端口），例如：4000-4035，当然如果使用其他连续35个端口也可以，最后确定保存并重新启动计算机。2) 为中间层开放的端口：A、 TCP端口：135（RPC）、4000、4001、4002、4035（COM Internet 端口范围）B、 UDP端口：无3 数据库服务器与中间层服务器操作系统相关设置A、非域用户情形约定：登录中间层账号A_count属于本地系统管理员组，密码为99999则：数据库服务器需创建本地账号为A_count，密码为99999,同时务必将该账号属性USERS组删除。测试：账套备份和恢复立即正常建议：不要使用administrator账号登录。防止可能性的计算机病毒由于账号和密码完全一样，且均为系统管理员组，造成病毒蔓延。B、数据库服务器信任设置（类