Windows Server 2003服务器版的好坏

分类: 电脑/网络 >>操作系统/系统故障

问题描述:

最近忽然想装上Windows Server 2003服务器版

但不知道 这个版本的性能如何

请大家 详细介绍一下

他和xp 有什么区别？

最好列一下 2003服务器版能支持的软件？

解析:

Win2003下Asp配置技巧

windows 2003粉墨登场，很多赶时髦的用户已经早就试用了，但尽管2003号称安全性有很大突破，但其默认支持架构，而抛弃使用了很久的大众化的Asp的路线缺饱受质疑，需要我们手动去配置很多东西。

在 IIS 6.0 中，默认设置是特别严格和安全的，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。比如说默认配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节，并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中，没有张贴限制。导致我们的应用系统往2003移植经常会出错。现汇总解决方案如下。

一、启用Asp支持

Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。

第一步，启用Asp，进入：控制面板 ->管理工具 ->IIS(Inter 服务器)- Web服务扩展 ->Active Server Pages ->允许

控制面板 ->管理工具 ->IIS(Inter 服务器)- Web服务扩展 ->在服务端的包含文件 ->允许

第二步,启用父路径支持。

IIS-网站－主目录－配置－选项－启用父路径

第三步，权限分配

IIS-网站－（具体站点）－（右键）权限－Users完全控制

二、解决windows2003最大只能上载200K的限制。

先在服务里关闭iis admin service服务

找到windows\system32\inesrv\下的metabase.xml,

打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，

然后重启iis admin service服务

1、在web服务扩展 允许 active server pages和在服务器端的包含文件

2、修改各站点的属性

主目录－配置－选项－启用父路径

3、使之可以上传大于 200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了)

c:\WINDOWS\system32\isrv\MetaBase.xml

（企业版的windows2003在第592行，默认为 AspMaxRequestEntityAllowed="204800" 即200K

将其加两个0，即改为，现在最大就可以上载20M了。

AspMaxRequestEntityAllowed="***********"

在WIN2003上配置IIS注意几点

配置 Windows Server 2003 -- IIS 6

Microsoft Knowledge Base Article - 324742

这篇文章中的信息适用于:

Microsoft Windows Server 2003, Datacenter Edition

Microsoft Windows Server 2003, Enterprise Edition

Microsoft Windows Server 2003, Standard Edition

Microsoft Windows Server 2003, Web Edition

Microsoft Windows Server 2003, 64-Bit Datacenter Edition

Microsoft Windows Server 2003, 64-Bit Enterprise Edition

Microsoft Inter Information Services version 6.0

本分步指南介绍了如何在 Windows Server 2003 环境中设置一个用于匿名访问的 WWW 服务器。

安装 Inter 信息服务

Microsoft Inter 信息服务 (IIS) 是与 Windows Server 2003 集成的 Web 服务。

要安装 IIS、添加可选组件或删除可选组件，请按以下步骤操作：

1. 单击开始，指向控制面板，然后单击“添加或删除程序”。

“添加或删除程序”工具就会启动。

2. 单击添加/删除 Windows 组件。

显示“Windows 组件向导”。

3. 在Windows 组件 列表中，单击Web 应用程序服务器。

4. 单击详细信息，然后单击Inter 信息服务 (IIS)。

5. 单击详细信息 ，以查看 IIS 可选组件列表。

6. 选择您要安装的可选组件。默认情况下，下列组件是选中的：

--- 公用文件

--- FrontPage 2002 Server Extentions

--- Inter 信息服务管理单元

--- Inter 信息服务管理器

--- NNTP 服务

--- SMTP 服务

--- World Wide Web 服务

7. 单击“World Wide Web 服务”，然后单击详细信息 ，以查看 IIS 可选子组件（如 Active Server Pages 组件和“远程管理 (HTML) 工具”）的列表。选择您要安装的可选子组件。默认情况下，下列组件是选中的：

--- World Wide Web 服务

8. 单击确定 ，直到返回“Windows 组件向导”。

9. 单击下一步，然后完成“Windows 组件向导”。

配置匿名身份验证

要配置匿名身份验证，请按以下步骤操作：

1. 单击开始，指向管理工具，然后单击Inter 信息服务 (IIS)。

2. 展开“* 服务器名称”（其中服务器名称 为该服务器的名称），右键单击Web 站点，然后单击属性。

3. 在Web 站点属性 对话框中，单击目录安全性 选项卡。

4. 在“身份验证和访问控制”下，单击编辑。

5. 单击“启用匿名访问”复选框，将其选中。

备注：“用户名”框中的用户帐户只用于通过 Windows *** 帐户进行匿名访问。

默认情况下，服务器会创建并使用帐户 IUSR_putername。匿名用户帐户密码仅在 Windows 中使用；匿名用户不使用用户名和密码登录。

6. 在“已验证身份的访问”下，单击“集成的 Windows 身份验证”复选框，将其选中。

7. 单击确定 两次。

基本 Web 站点配置

1. 单击开始，指向管理工具，然后单击Inter 信息服务 (IIS)。

2. 展开“* 服务器名称”（其中服务器名称 为该服务器的名称），然后展开Web 站点。

3. 右键单击默认 Web 站点，然后单击属性。

4. 单击Web 站点 选项卡。如果您已为计算机分配了多个 IP 地址，则请在IP 地址 框中单击您要指定给此 Web 站点的 IP 地址。

5. 单击性能 选项卡。使用Web 站点属性 - 性能 对话框可设置影响内存、带宽使用和 Web 连接数量的属性。

通过配置某个特定站点上的网络带宽，您可以更好地控制该站点的通信量。例如，通过在低优先级的 Web 站点上限制带宽，您可以放宽对他站点的访问量的限制。同样，当您指定到某个 Web 站点的连接数量时，您就可以为其他站点释放资源。设置是站点专用的，应根据网络通信量和使用变化情况进行调整。

--- 单击“限制可用于此 Web 站点的带宽”复选框，将其选中，可配置 IIS 将网络带宽调节到选定的最大带宽量，以千字节每秒 (KB/S) 为单位。

--- 单击Web 服务连接 复选框，将其选中，可选择特定数目或者不限定数目的 Web 服务连接。限制连接可使计算机资源能够用于其他进程。

备注：每个浏览 Web 站点的客户机通常都使用大约三个连接。

6. 单击主目录 选项卡。

--- 如果您想使用存储在本地计算机上的 Web 内容，则单击“此计算机上的目录”然后在本地路径 框中键入您想要的路径。例如，默认路径为 C:\Ipub\root。

备注：为了增加安全性，请不要在根目录下创建 Web 内容文件夹。

--- 如果要使用存储在另一台计算机上的 Web 内容，则单击“另一计算机上的共享位置”，然后在显示的网络目录 框中键入所需位置。

--- 如果您要使用存储在另一个 Web 地址的 Web 内容，则单击“重定向到 URL”，然后在“重定向到”框中键入所需位置。在“客户会送到”下，单击相应的复选框，将其选中。

7. 单击文档 选项卡。请注意可由 IIS 用作默认启动文档的文档列表。如果您要使用 Index 作为启动文档，就必须添加它。添加方法是：

a. 单击添加。

b. 在添加默认文档 对话框中，键入 Index，然后单击确定。

c. 单击向上箭头 按钮，直到 Index 显示在列表的顶部。

8. 单击确定 ，关闭默认 Web 站点属性 对话框。

9. 右键单击默认 Web 站点，然后单击权限。

10. 请注意在此 Web 站点上具有操作权限的用户帐户。单击添加 添加其他可操作此 Web 站点的用户帐户。

11. 单击确定 ，返回到“Inter 信息服务”窗口。

12. 右键单击默认 Web 站点，然后单击停止。

13. 右键单击默认 Web 站点，然后单击开始。

WINDOWS2003上安装OA系统要注意:

如何启用 ASP 支持：

Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是：

控制面板 ->管理工具 ->Web服务扩展 ->Active Server Pages ->允许。

Q： ASP文件包含文件的时候提示Active Server Pages 错误 'ASP 0131'不允许的父路径，如何解决？

A：在站点属性中选择主目录－配置－应用程序选项，将“启用父目录”选上。

Q：登陆OA系统提示“未发现OA所必需文件”，如何解决？

A：在OASERVER的文件夹上选择属性－安全－选择USER组，将所有权限打开，点击“高级”，把“重置所有对象权限并允许传播可继承权限”勾上，点击“确定”两次，稍后登陆即可

您可以下载定时关机3000试试。

定时关机3000有11种执行条件和可以执行电脑定时关机在内的14种任务。

11 种执行条件是：等待多少时间、开机多长时间、全天电脑累计开机多长时间、上传网速连续多长时间低于多少、下载网速连续多长时间低于多少、电脑空闲多长时间、指定的具体时间、每天的几点几分、每周的周几的几点几分、每月那天的几点几分、每年的哪天的几点几分。

14种执行的任务是电脑关机、电脑重启、电脑注销当前用户、系统锁定、电脑睡眠、提醒、关闭显示器、电脑待机、运行软件、打开文件、打开网址、关闭软件、系统垃圾清理和断开网络。并且可以设置任务开机自动启动和同时执行多项任务。

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:\

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹，子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT)

TTL=108(win2000)

TTL=127或128(win9x)

TTL=240或241(linux)

TTL=252(solaris)

TTL=240(Irix)

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0URL=/">这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.

---