domino 服务器周维护要做哪些事情

a 保存验证者ID文件及其口令  验证者标识符文件(certid及所有组织单元的ID文件)是Domino系统中最重要的的文件。特别是certid，所有其它的ID文件都是由它创建的。如果丢失了这个文件或忘记了它的口令，就无法在创建新的服务器和用户了。因此，从系统建立之初就要注意保存验证者ID文件及其口令。一定要将它保存在安全的地方并作备份，不要将它放在共享的网络驱动器上；将口令记录下来，但不要将口令告诉无关的人员。注意不要将口令设为“password”或其它易猜的单词。  b 定期运行Compact、Fixup和Updall任务 Compact、Fixup和Updall任务是服务器自身的维护性任务。Compact用于释放数据库中的无用空间；Fixup检测无效的文档和损坏的数据库，并尝试修复它们；Updall重建视图索引和全文索引。这三个任务至少每周要运行一次。可以按以下步骤设置它们的运行时间。 1) 在Domino管理员客户端中打开要管理的服务器 2) 在“配置”标签下，展开“服务器”-“程序”，点击“添加程序” 3) 在“基本”标签下，  “程序名”中输入任务的名称，即Compact、Fixup或Updall “命令行”中输入所需的命令行选项  “运行的服务器”中输入运行此任务的服务器的层次名  4) 在“日程安排”标签下，将日程安排设为“启用”，并按需要设置任务启动的时间  如果到了Compact、Updall和Fixup所安排的运行时间，而系统正在执行其它任务，这三个任务可能不被执行。因此，在设置时间安排时，应当尽量避免和其它任务以及定时代理重合。可以在服务器的控制台上输入命令“show schedule”来查看其它程序的时间安排，输入命令“tell amgr schedule”来查看定时代理的时间安排。  每个任务都有自己的命令行选项。例如，“updall -R”将会重建已有的索引，而不加“-R”选项时则只是更新已有的索引。必需选择适当的选项以完成所需的任务。每个任务的选项列表都可以在《Domino 5 管理员帮助》数据库中找到。 c 创建拒绝访问群组  禁止某些用户访问服务器是十分必要的。当用户离开公司时，需要确保他们不能使用原来的Notes ID文件来访问服务器。管理员可以将这些用户的层次名加入拒绝访问群组来保证这一点。创建拒绝访问群组的步骤如下：  1) 在Domino管理员客户端中打开要管理的服务器 2) 在“个人和群组”标签下，点击“拒绝访问群组”，点击“添加群组”按钮   3) 在“群组名称”中输入一个名字，如DenyGroup；将“群组类型”选为“仅禁止存取列表” 4) 在“成员”中输入或选择要禁止访问的用户名 5) 保存并退出此文档  6) 在“配置”标签下打开要拒绝用户访问的服务器文档  7) 在“安全性”标签下“拒绝访问的服务器”中输入上面创建的拒绝访问群组名称，在此例中是DenyGroup。   提示：创建了拒绝访问群组之后，管理员删除用户时可以将用户名自动地加入此群组中，这样，不需手工 *** 作就可以保证每个被删除的用户不再能访问服务器。 d 了解服务器上的应用  要确定服务器所支持的数据库的类型。服务器是主要用于一两个大型数据库，还是用于多个小的应用数据库？服务器上的应用设计怎样？是否使用了对性能有较大影响的方式，如在视图中使用日期/
  文档名称  创建人: 创建日期： 信息技术部 DOMINO 服务器日常维护SOP  版本:    67223722doc                         4/16/2013        2 of 4  时间查询？如果应用数据库的设计不合理，管理员所能做的调整不可能起太大作用。  管理员还需要留意服务器的日志(Lognsf)。服务器日志中的信息是了解服务器及用户活动的关键。特别是日志中的“其它事件”视图，大部分需要观察的信息都包含在其中。每天都应当浏览lognsf，从中找出错误信息和异常信息，判断服务器是否正常运行。  e 去掉不必要的服务器任务  缺省情况下，Domino服务器会自动启动一组服务器任务，其中有些任务用户可能不会用到。去掉这些不必要的任务可以节省系统资源，有利于其他任务和应用的运行。  服务器上自动启动的任务列表在服务器的notesini文件中。用任一文本编辑器打开Domino程序目录中的notesini文件，找到“ServerTasks=”行，删除其中不需要的任务名称，则下一次启动服务器时，这些任务就不会再启动了。例如，如果不使用Notes的日历和日程安排功能，可以将“calconn”和“sched”任务去掉。  在指定时间运行的服务器任务也可以考虑去掉。在服务器的notesini文件中，找到“ServerTasksAtY=”行，其中Y是代表时间的数字(1代表凌晨1点，5代表凌晨5点，以此类推)，删除其中不需要的任务名称。例如，如果不使用共享邮件，则“ServerTasksAt2=, Object Collect mailobjnsf”行中的“Object Collect mailobjnsf”可以去掉。下一次重新启动服务器后，这些被去掉的任务就不会再定时运行了。  关于每个服务器任务的名称和用途，可参阅《Domino 5管理员帮助》中“Domino服务器任务”主题。 f 监视存取控制列表(ACL)  管理员必须保证每个用户对每个数据库都有适合其需要的访问权限。存取控制列表(ACL)是服务器安全性的核心，如果用户能够访问到他不应接触的信息，则会威胁到服务器的安全和信息的安全。 要想方便地查看每个用户对每个数据库的权限，可以打开服务器上的“目录 (R5)”数据库，查看“存取控制列表”-“按级别”视图。“目录 (R5)”数据库的文件名是catalognsf，它是由服务器自动创建并更新的，如果在服务器上未找到catalognsf，可以在服务器控制台上输入命令“load catalog”来立即创建它。  某些关键数据库的ACL必须被严格监控，这包括通讯录(namesnsf)、目录(catalognsf)、服务器日志(lognsf)及所有包含重要信息的数据库。  进一步来说，管理员需要查看哪些用户对数据库具有管理者(Manager)权限。由于管理者可以改变数据库的ACL及其他设置，只应给予需要管理这些设置的用户这一权限。建议最好使用群组来设置管理者权限。例如，可以创建名为DomainManagers的群组，将系统管理员的名字加入其中，然后在数据库的ACL中将DomainManagers设为管理者。这样，即使系统管理员有所变动，也只需修改该群组的定义。  在服务器上安装新数据库时，需要注意其ACL的缺省设置，特别是Default和Anonymous的权限设置。对于重要的数据库，最好不要让Default和Anonymous的权限高于“不能存取者”。当服务器可以从Web上进行访问时， Anonymous或Default的权限高于“不能存取者”时会更为危险。 g  *** 作系统和Domino的补钉程序  各种 *** 作系统都会发布一些补钉程序，用于修补所发现的错误和漏洞。管理员应该留意这些补钉程序，并将需要的补钉程序及时安装在服务器上。

服务器维护规划
对服务器的初步了解做出以下几点维护规划，局提供体现为三部分
硬件部分，系统安全部分，及WEB站点安全部分，详细工作规划如下：
1、 硬件部分
经过实地勘察，发现服务器为X此款机器，已有至少有四年以上的使用时间，必须对服务器硬件进行全面的硬件检查，需向系统内安装IBM专用的硬件检查专用软件及RAID和硬盘预分析软件（需客户同意），防止突发硬件问题影响到数据安全。
DSA 软件
具体工作如下
对系统错误进行分析，及时进行现场维修、更换（需客户配合并同意，维修、更换硬件的费用另算）；
对系统板卡、设备的微代码进行升级，采取系统检测判断（需客户配合并同意）；
对设备实行定期预防性维护，提前发现硬件问题防止因为硬件而照成的损失；
提供设备维护、维修记录和报告；
2、 软件部分
服务器安全策略：
1、 系统帐号安全检查及加固：
2、 密码与用户策略：（定期更改及密码策略）
3、 Windows防火墙：（开启防火墙及对端口检查，无用端口的关闭，防黑及木马）
4、 本地策略（安全选项和审核策略启用和更改）
5、 关闭无用的服务
6、 修改端口号（更改远程端口，禁用和更改常用端口号）
以下是服务器日常维护策略：
系统帐号密码一个月更换一次满足复杂性；
每星期清理一次系统日志文件，并查看做记录；
每半个月全面杀毒一次，杀毒软件打开自动更新并半个月手动更新一次；
系统更新设置为自动，并半个月检查更新一次；
服务器硬件状况每月检查一次，CPU、内存、硬盘使用率每月做一次统计；
安装补丁、安装杀毒软件。
3、WEB站点部分（检测软件部分为自选）
首先要做的就是做入侵检测的工作，需植入软件
1、Snort（通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为）（需客户同意）、
2、OSSEC HIDS（执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应）（都是开源免费的）（需客户同意）、
3、360安全卫士（为系统打补丁，及监测网络，系统进程）（需客户同意）
系统安全管理应当包括下列所示的内容：
(1) *** 作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作，
(2)网络应用程序版本更新。
(3)杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库，我还是建议你养成按时手动更新病毒库的习惯，并且，在每次手动杀毒前进行手动更新病毒库一次。同时，对于防火墙规则，尤其是应用程序规则，我们要经常检查是否添加了不明规则，以便及时取消。
(4)定期检查系统审核日志。经常检查这些审核产生的日志，能及时发现系统是否已经被入侵，或者已经受到过某种入侵行为的侵扰。
(5)在使用计算机过程中，要养成查看系统运行进程的习惯。
(6)要经常查看目前的网络连接情况。

---