不同的服务器有不同的使用和维护标准。普遍意义上的服务器维护主要是:
1、对服务器上的冗余文件进行整理;
2、检查服务器是否是否有异常情况:使用是否正常、服务状态是否正常、有否被黑客入侵的迹象;
3、对重要数据的备份;
4、安装系统或程序的补丁;
长期维护就是长期都要做以上事情。
服务器可不是拿给人上网玩的,不会装很多莫名其妙的软件,所以一般不容易中毒、中木马或者出现家用机上的一些怪毛病。
你所问的,“关机有效果吗?”就是典型的家用机毛病,家用机中,有很多的软件,在使用过后,大部分软件信息和软件计算过程存放在内存中无法卸载干净,导致机器越用越慢,(用讯雷下BT后速度超慢也是这个原因)。
所以,除非你在服务器上到处逛网站,开3D MAX,PHOTOSHOP后又处理300M一张的图片等等.....那你的服务器关机后重开,效果和明显,否则,不要轻易关机服务器。
网络管理员90%的工作往往是诊断和解决各种各样的故障。虽然说没有人喜欢麻烦,但麻烦总是自己找上门来。只有拥有高超的诊断技能,你才能在紧急情况下迅速响应,保障网络流畅地运行。当你面临网络故障的挑战时,首先向自己问几个简单的问题:有哪些地方被改变了?这个问题以前遇到过吗?如果是,是什么时候?是否有可能让问题再次出现?用户做了什么特别的操作吗?其他用户有没有遇到过同样的问题?接下来尝试隔离问题,每次排除一部 分可能引起该问题的因素,逐步找出问题的真正根源。例如,如果一个工作站不能连接到服务器,那就先确定是网络问题还是工作站本身的问题。如果能够迅速地肯定问题出在工作站本身,你就排除了一大半可能导致问题的因素,向真正的故障根源接近一大步了。即使你最终拿不出解决办法,不得不寻找外援,隔离问题也会节省你大量的时间。
为了说明诊断网络故障的一般过程,本文例举了几种故障情形,有的是常见的小问题,有的是比较艰巨的挑战。当你遇到类似的问题时,就可以按照本文例子的介绍,先问自己几个简单的问题,逐步隔离问题所在,最后找到真正的问题根源。
一、找不到验证密码的域服务器
毫无疑问,你也一定遇到过这样的情形:当你坐在一台工作站之前准备登录网络,windows却报告说找不到用来验证密码的域服务器。要解决这个故障,首先要确定问题到底出在网络、工作站还是服务器上。从下面几个问题开始:
→哪些地方改变了?最近是否改动过网络,而这些改动可能导致当前的问题?有没有添加新的服务器、拆除原有的服务器、改动过交换机或HUB?有没有添加或减少域控制器、将成员服务器提升为DC(域控制器)或者相反?
→其他工作站也存在类似的问题吗?
→服务器正在运行吗?
经过检查,你发现此前工作站一直顺利地运行,其他工作站没有遇到类似的问题,服务器也正常。根据故障现象,基本上可以确定故障出在工作站本身。接下来要确定工作站的那个地方出了故障,试试下面几个问题:
→工作站能够Ping到服务器吗?
→工作站获得了一个IP地址吗?
检测表明,工作站能够Ping到服务器,但Ping操作有时超时,这表明工作站和服务器之间只有断断续续的通信。在命令行上执行ipconfig /renew命令,多执行几次,工作站有时会更新IP地址,有时不会。这是工作站和服务器之间断续通信的症状。
现在将问题工作站的网络连接和另一台工作站的对换一下,新工作站在问题工作站的位置上也不能连接网络,而问题工作站却能从另一个网络位置顺利地连接网络。现在已经很清楚:问题工作站所在位置的电缆或Hub出了问题。
拆下故障位置上网络电缆连接Hub的那一端,将它接到另一个Hub上,故障依旧。现在可以肯定电缆就是引起故障的罪魁祸首了。
二、windows服务不能启动
在一台Windows 2000服务器上,部分服务设置成不用本地的系统帐户启动。一次重新启动Windows 2000服务器之后,发现这些服务没有启动,必须手工打开服务,重新输入密码,然后启动服务。每次重新输入密码,都收到消息说:<用户名字>已被授予作为服务登录的权限。
要解决该故障,首先回答下面几个问题:
→哪些地方改变了?是否有人修改了服务器?
→这个服务以前能够启动吗?
→用户名称和密码正确吗?
查询修改记录发现,该服务器是一个DC,不久之前还是域控制器组织单元(OU,Organizational Unit)的成员。在移出该OU之前,这些服务一直能够顺利启动。另外,用来启动这些服务的用户名称和密码都是合法的。进一步研究发现,域控制器OU的成员有一些特殊的权限,其中包括作为服务登录的权限。当出现问题的服务器移出该OU时,服务器失去了那些权限。现在要做的是恢复服务器的权限。
要将权限授予服务器,请按照如下步骤操作:
→在管理控制台(MMC)中打开活动目录用户和计算机管理单元,再打开域控制器OU的“属性”对话框。
→在组策略页中,点击“默认域控制器策略”,然后点击“编辑”,打开组策略管理器。
→依次扩展计算机配置/Windows设置/安全设置,再扩展“本地策略”,然后点击“用户权利指派”。
→在右边的窗格中,右击“作为服务登录”,选择菜单“安全”。
→把用来启动服务的用户帐户加入到策略,完成后点击“确定”。
有关该问题的更多资料,请参见微软的文章“如何解决服务启动权限问题”(http://support.microsoft.com/?kbid=259733)。
三、无法收到外面发来的邮件
单位用Exchange 2000 Server作为内部和外部的邮件服务器。有一天原来的ISP不能再提供服务了,所以你迅速换了一个新的ISP。用户仍旧能够照常访问Internet,却收不到外面来的邮件。不过,发出去的邮件看来没有问题。
要排解这一故障,第一个要问的问题是:
→在改变ISP之前,邮件系统工作正常吗?
要确定Exchange Server是否正常工作,防火墙配置是否正确,可以从Internet连接到Exchange Server 25端口(具体操作办法,请参见微软文章:Telnet 到 IMC 的端口 25 以测试 IMC 通信, http://support.microsoft.com/?kbid=153119),发送一个测试消息,确认服务器和防火墙都在正常运行。故障的原因很可能是因为改变ISP。
再回答下面这个问题:
→域名信息正确转移到了新的ISP吗?
用Nslookup工具,测试一下是否能够找到域的邮件交换(MX)记录,结果却什么也没有找到。根据这一现象,可以推断在更换ISP时,域名注册公司没有正确转移域名信息。现在你可以联系域名注册公司,要求登记MX记录,以及将域名信息正确转到新的ISP。只要MX记录在Internet上一传播开,Exchange Server又可以收到外面来的邮件了。
四、网络上看不到服务器
Win2K Pro工作站遇到了奇怪的问题:偶尔能够看到Win 2K Server,但大部分时间里服务器就象从网络上消失了一样。在排解这一网络故障的过程中,首先要回答的问题是:
→过去出现过该故障吗?
→是否所有的工作站都出现相同的情况?
经调查后发现,这一故障现象自服务器从 Windows NT 4.0升级到Win2K就开始存在了,网络上的所有工作站都出现同样的现象。现在要确定的是:故障的根源是服务器呢,还是网络。
登录一个工作站,打开命令控制台,执行ping/pathping命令来连接服务器。结果发现,Ping服务器的IP地址没有问题,但却Ping不到服务器的名字。可以肯定,故障的原因是名称解析或DNS错误。
接下来执行ipconfig/all,注意到工作站上DNS服务器指向了ISP的DNS服务器。Win2K将DNS作为其基本的名称解析机制,但现在工作站却用ISP的DNS服务器来解析本地网络的Win2K服务器名称。当工作站向ISP的DNS服务器查询Win2K服务器名称时,只能得到超时错误,导致Win2K服务器从网络上隐身了。要解决该故障,必须把主DNS服务器指向内部的Win2K DNS服务器,让内网的工作站向Win2K DNS服务器查询本地服务器名称。
首先证实Win2K服务器上确实已经安装了DNS服务,且DNS服务在正常运行,然后修改Win2K DNS服务器IP地址指向它自己。接下来利用DNS管理器,验证DNS服务器位于根位置,且已经启用转发。启用转发之后,就可以解析非本地的任何IP地址了。不要忘记将ISP的DNS服务器输入转发栏。最后配置一下服务器上的DHCP,将DNS服务器从ISP的改成Win2K服务器,刷新工作站上的IP地址。现在网络已经能够稳定地运行了。有关在这类环境下配置DNS的信息,请参见微软的文章“HOW TO:配置 DNS 以访问 Internet”(http://support.microsoft.com/?kbid=300202)。
五、LAN连接到多个WAN
不久前在A市安装了一个LAN,它有两个WAN连接,其中一个连接通向私有的帧中继网络,另一个连接通向Internet,这是为了防止出现故障和提高性能(图二显示了网络结构)。现在出现的故障是:A市的用户有时不能顺利访问B市的服务器。
要解决该故障,首先要搞清楚下面两个问题:
→故障何时出现?
→默认网关是什么?
故障出现是间歇性的。在A市的DHCP配置中,默认网关是192.168.1.11(即防火墙)。由于A市LAN里面的所有机器都会出现同样的故障现象,所以问题很可能出在A市网络上的全局性路由配置上。
在防火墙上有一条静态路由,从192.168.2.0(掩码255.255.255.0)到192.168.1.10,用Route Print可以验证这一规则。A市服务器有时可以Ping到B市的服务器,但有时不能。运行Tracert,结果如图三所示,它显示出了数据包应当通过的路径。但有的时候,运行Tracert却显示出数据包在第一个跃点(192.168.1.11)之后遇到超时错误。根据这一现象,可以推测防火墙没有可靠地将数据包转发到控制192.168.2.0通信的Cisco路由器。
查阅防火墙的日志,可以看到数据包有时被禁止转发到192.168.1.10,虽然存在这样一条转发规则也无济于事。防火墙的种类很多,但大多数防火墙厂商都反对将防火墙当作路由器,如果防火墙被攻击者劫持,有关WAN连接的大量信息就会泄露。
因此现在要重新配置网络,使用默认的网关192.168.1.10(即路由器),执行命令Ip route 0.0.0.0 0.0.0.0 192.168.1.11在路由器上建立一个默认的路由。用户访问Internet时先通过路由器,再穿越防火墙。
如果A市的路由器(192.168.1.10)出现故障,会对Internet访问产生哪些影响?如果帧中继网络失效,但Internet连接仍正常,情况又如何?一旦A市的路由器故障,Internet连接也会丢失,这是因为默认的网关指向了该路由器,该路由器故障导致数据包不能转发到防火墙。在A市,将DHCP默认网关配置成防火墙可以恢复Internet连接,当然,在恢复A市路由器之前,其他地区的私有WAN和Internet访问仍旧无效。
六、工作站不能连接网络
办公大楼五楼的工作站看不到服务器,也不能访问Internet。故障间歇性出现。首先要搞清楚的问题是:
→故障出现多长时间了?
→有哪些地方被改变了?
经Pathping工具测试,检测到一些数据包丢失错误。问题看来可以归结到五楼之内。
利用信号发生器或线缆扫描器追踪故障,跟踪网络连接一直到了六楼的Ethernet交换机,五楼和六楼共用该交换机。考虑到可能是交换机端口故障,所以将端口和六楼的一台机器对换了一下,但故障仍旧存在,而且仍只出现在五楼的工作站上,由此推断,交换机应该没有问题。
返回五楼,注意到一个办公室里有个五口的小Hub。进一步查看,注意到还有四个小Hub菊形相连。现在故障的根源找到了。在100 Base-T Ethernet中,每个网络只能有一个Class I转发跃距(0.7毫秒延迟),或者两个Class II转发跃距(0.4毫秒延迟)(由于这个原因,所以不推荐在重要场合使用大量小Hub)。现在拆除所有小Hub,将线头直接接到六楼的交换机,故障消失。
总地来说,不能认为靠死记硬背就能够解决所有常见的网络问题,相反地,应当以开放的心态审视每一种故障现象,从几个简单的问题开始,逐步排除可能的故障原因。记住,隔离问题是迅速排解故障的关键所在。
七、附录:常用网络诊断工具
Windows XP和Windows 2000提供了许多基本的网络检测工具:
■ Pathping
Pathping用来检验是否能够联系到指定的主机。命令行语法是:pathping 。pathping将显示出数据包丢失情况的基本信息。
■ Ipconfig
Ipconfig命令用来显示出工作站的IP配置。命令行语法是:ipconfig /all。通过ipconfig命令的运行结果,至少可以:
→验证工作站具有正确的IP地址和子网掩码。错误的IP地址和子网掩码会导致连接出错。 →如果启用了DHCP,则可以验证工作站已经租到了一个IP地址。如果不能获得IP地址,则表明与DHCP服务器联系方面出了问题。
→验证默认的网关。如果网关错误,连接远程网络或Internet时就会出现问题。
→验证DNS服务器。XP和Win 2K依靠DNS进行名称解析。一般地,工作站应当指向一台Win 2K服务器以获得DNS解析。
■ Nslookup
Nslookup即名称服务器查找(Name Server Lookup),用来查找DNS服务器上的DNS记录。命令语法:nslookup。在前文的例子中,我们用NSLookup来验证邮件交换(MX)记录,排解Internet邮件传送问题。
■ Route Print
Route Print命令显示出本地机器上的路由规则。这个工具和Ping、Tracert以及Pathping命令结合很有用,能够帮助确定数据包通过的路由器。命令语法是:route print。另外,利用Route Add可以将静态路由规则加入到服务器或工作站。
硬件维护1、储存设备的扩充
当资源不断扩展的时候,服务器就需要更多的内存和硬盘容量来储存这些资源。所以,内存和硬盘的扩充是很常见的。增加内存前需要认定与服务器原有的内存的兼容性,最好是同一品牌的规格的内存。如果是服务器专用的ECC内存,则必须选用相同的内存,普通的SDRAM内存与ECC内存在同一台服务器上使用很可能会引起统严重出错。在增加硬盘以前,需要认定服务器是否有空余的硬盘支架、硬盘接口和电源接口,还有主板是否支持这种容量的硬盘。尤其需要注意,防止买来了设备却无法使用。
2、设备的卸载和更换
卸载和更换设备时的问题不大,需要注意的是有许多品牌服务器机箱的设计比较特殊,需要特殊的工具或机关才能打开,在卸机箱盖的时候,需要仔细看说明书,不要强行拆卸。另外,必须在完全断电、服务器接地良好的情况下进行,即使是支持热插拔的设备也是如此,以防止静电对设备造成损坏。
3、除尘
尘土是服务器最大的杀手,因此需要定期给服务器除尘。对于服务器来说,灰尘甚至是致命的。除尘方法与普通PC除尘方法相同,尤其要注意的是电源的除尘。
软件维护
1、操作系统的维护
操作系统是服务器运行的软件基础,其重要性不言自明。多数服务器操作系统使用Windows NT或Windows 2000 Server作为操作系统,维护起来还是比较容易的。
在Windows NT或Windows 2000 Server打开事件查看器,在系统日志、安全日志和应用程序日志中查看有没有特别异常的记录。现在网上的黑客越来越多了,因此需要到微软的网站上下载最新的Service Pack(升级服务包)安装上,将安全漏洞及时补上。
2、网络服务的维护
网络服务有很多,如WWW服务、DNS服务、DHCP服务、SMTP服务、FTP服务等,随着服务器提供的服务越来越多,系统也容易混乱,此时可能需要重新设定各个服务的参数,使之正常运行。
3、数据库服务
数据库经过长期的运行,需要调整数据库性能,使之进入最优化状态。数据库中的数据是最重要的,这些数据库如果丢失,损失是巨大的,因此需要定期来备份数据库,以防万一。
4、用户数据
经过频繁使用,服务器可能存放了大量的数据。这些数据是非常宝贵的资源,所以需要加以整理,并刻成光盘永久保存起来,即使服务器有故障,也能恢复数据。
不可能在一篇文章中谈遍电脑安全问题,毕竟,市面上的已有许多这方面的书籍,不过,我倒是可以告诉你七个维护服务器安全的技巧。
技巧一:从基本做起
从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理,防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外,Exchange Server(邮件服务器)也应该安装防毒软件,这类软件可扫描所有寄进来的电子邮件,寻找被病毒感染的附件,若发现病毒,邮件马上会被隔离,减低使用者被感染的机会。
另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如,上白天班的员工不该有权限在三更半夜登录网络。
最后,存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时,必须混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。你还应该设定定期更新密码,且密码长度不得少于八个字符。若你已经做了这些措施,但还是担心密码不安全,你可以试试从网络下载一些黑客工具,然后测试一下这些密码到底有多安全。
技巧二:保护备份
大多数人都没有意识到,备份本身就是一个巨大的安全漏洞,怎么说呢?试想,大多数的备份工作多在晚上10点或11点开始,依数据多寡,备份完成后大概也是夜半时分了。现在,想像一下,现在是凌晨四点,备份工作已经结束。有心人士正好可趁此时偷走备份磁盘,并在自己家中或是你竞争对手办公室里的服务器上恢复。不过,你可以阻止这种事情发生。首先,你可利用密码保护你的磁盘,若你的备份程序支持加密功能,你还可以将数据进行加密。其次,你可以将备份完成的时间定在你早上进办公室的时间,这样的话,即使有人半夜想溜进来偷走磁盘的话也无法了,因为磁盘正在使用中;如果窃贼强行把磁盘拿走,他一样无法读取那些损毁的数据。
技巧三:使用RAS的回拨功能
Windows NT最酷的功能之一就是支持服务器远端存取(RAS),不幸的是,RAS服务器对黑客来说实在太方便了,他们只需要一个电话号码、一点耐心,然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。
你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网,建议你使用回拨功能,它允许远端用户登录后即挂断,然后RAS服务器会拨出预设的电话号码接通用户,因为此一电话号码已经预先在程序中了,黑客也就没有机会指定服务器回拨的号码了。
另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上,再将远端用户的登录限制在一台服务器上,而非整个网络。如此一来,即使黑客入侵主机,他们也只能在单一机器上作怪,间接达到减少破坏的程度。
最后还有一个技巧就是在RAS服务器上使用“另类”网络协议。很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度,如此选择相当合理,但是RAS还支持IPX/SPX和NetBEUI协议,如果你使用NetBEUI当作RAS协议,黑客若一时不察铁定会被搞得晕头转向。
技巧四:考虑工作站的安全问题
在服务器安全的文章里提及工作站安全感觉似乎不太搭边,但是,工作站正是进入服务器的大门,加强工作站的安全能够提高整体网络的安全性。对于初学者,建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统,如果你没有Windows 2000,那至少使用Windows NT。如此你便能将工作站锁定,若没有权限,一般人将很难取得网络配置信息。
另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumb terminal)或者说,智慧型的简易终端机。换言之,工作站上不会存有任何数据或软件,当你将电脑当作dumb terminal使用时,服务器必须执行Windows NT 终端服务程序,而且所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本,和一份微软Terminal Server Client。这种方法应该是最安全的网络设计方案。
技巧五:执行最新修补程序
微软内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)有时会被收集成service pack(服务包)发布。服务包通常有两种不同版本:一个任何人都可以使用的40位的版本,另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。
一个服务包有时得等上好几个月才发行一次,但要是有严重点的漏洞被发现,你当然希望立即进行修补,不想苦等姗姗来迟的服务包。好在你并不需要等待,微软会定期将重要的修补程序发布在它的FTP站上,这些最新修补程序都尚未收录到最新一版的服务包里,我建议你经常去看看最新修补程序,记住,修补程序一定要按时间顺序来使用,若使用错乱的话,可能导致一些文件的版本错误,也可能造成Windows当机。
技巧六:颁布严格的安全政策
另一个提高安全性的方式就是制定一强有力的安全策略,确保每一个人都了解,并强制执行。若你使用Windows 2000 Server,你可以将部分权限授权给特定代理人,而无须将全部的网管权利交出。即使你核定代理人某些权限,你依然可县制其权限大小,例如无法开设新的使用者帐号,或改变权限等。
技巧七:防火墙,检查,再检查
最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份,因为它能使公司电脑不受外界恶意破坏。
首先,不要公布非必要的IP地址。你至少要有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,工作站和其他服务器的IP地址则必须隐藏。
你还可以查看所有的通讯端口,确定不常用的已经全数关闭。例如,TCP/IP port 80是用于HTTP流量,因此不能堵掉这个端口,也许port 81应该永远都用不着吧,所以就应该关掉。你可以在网络上查到每个端口的详细用途。
服务器安全问题是个大议题,你总不希望重要数据遭病毒/黑客损毁,或被人偷走做为不利你的用途,本文介绍了7个重要的安全检查关卡,你不妨试试看。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)