用于管理的远程桌面
通过用于管理的远程桌面,管理员可以从任意终端服务客户端远程管理基于 Microsoft Windows 2000 的服务器和基于 Windows Server 2003 的服务器。为了进行演示和协作,两个管理员可以共享一个会话。此外,管理员还可以使用 -console 命令远程连接到实际的服务器控制台。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
278845 如何使用 Windows Server 2003 终端服务连接到并隐藏控制台会话
注意
无须具有终端服务器客户端访问许可证即可使用用于管理的远程桌面。不过,只有管理员组的成员才能访问服务器。
默认情况下,用于管理的远程桌面随 Windows Server 2003 一同安装。不过,出于安全原因而禁用用于管理的远程桌面。
终端服务器
终端服务器允许多个远程客户端同时访问服务器上运行的基于 Windows 的程序。这是终端服务器常规部署方式。
在使用终端服务器模式时,服务器接受由管理员以外的人员进行的两个以上的同时连接。使用此模式时,可以在任何成员服务器上安装终端服务授权服务。不过,必须在所有终端服务器上配置一个首选许可证服务器,该服务器必须能够与配置为域许可证服务器的非域控制器许可证服务器通信。会自动搜索在非域控制器上部署的企业域许可证服务器。
有关如何配置首选许可证服务器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
279561 如何覆盖 Windows Server 2003 终端服务中的许可证服务器发现进程
301932 终端服务许可服务发现
239107 建立首选 Windows 2000 终端服务许可证服务器
有关终端服务许可的其他信息,请访问下面的 Microsoft 网站:
>linux 系统管理,linux 网络服务,linux 安全,数据库等等,关于编程最好会一点,这主要根据企业要求。关于网络最好也要会一点。反正做运维接触面一点要广。
目前很多企业信息化系统都有自己的监控平台和监控手段,无论是采用哪种手段去实现对系统的实时监控和故障告警,大多采用的方式也只有两种:集中式监控和分布式监控。
为了更好、更有效的保障系统上线后的稳定的运行。对于服务器的硬件资源、性能、带宽、端口、进程、服务等都必须有一个可靠和可持续的监测机制,统计分析每天的各种数据,从而能及时反映出服务器哪里存在性能瓶颈、安全隐患等。另外是要有危机意识,就是了解服务器有可能出现哪些严重的问题,出现这些问题后该如何去迅速处理。比如数据库的数据丢失,日志容量过大,被黑客入侵等等。
一、上线之前的准备工作
1、首先是备份,做好定时备份策略,备份所有你认为重要的数据,并且定期检查你的备份是否有效、全面;
2、日志轮换,无论你想用哪种轮换方式,控制日志增长避免驱动器已满是你的目的;
3、做一定的安全措施,如防火墙iptables的访问控制,用denyhosts防止黑客远程暴力破解;
4、mysql远程登录权限等等;
5、最后就是服务器、网元设备的监控。
二、监控策略
1、定义告警优先级策略
一般的监控到的结果是成功或者失败,如Ping不通、访问网页出错、连接不到Socket,发生时这些称之为故障,故障是最优先的告警。除此之外,还能监控到返回的延时、内容等,如Ping返回的延时、访问网页的时间、访问网页取到的内容等。利用返回的结果可以自定义告警条件,如Ping监控的返回延时一般是10-30ms之间,当延时大于100ms时候,表示网络或者服务器可能出现问题,引起网络响应慢,需要立即检查是否流量过大或者服务器CPU太高等问题。
2、定义告警信息内容标准
当服务器或应用发生故障时告警信息内容非常多,如告警运行业务名称、服务器IP、监控的线路、监控的服务错误级别、出错信息、发生时间等。预先定义告警内容及标准使收到的告警内容具有规范性及可读性。这点对于用短信接受告警内容特别有意义,短信内容最多是70个字符,要在70个字符完全知道故障内容比较困难,更需要预先定义内容规范。如:“视频直播服务器10021165 在2012-10-18 13:00电信线路监控第到1次失败”,清晰明了的知道故障信息。
3、通过邮件接收汇总报表
每天收到一封网站服务器监控的汇总报表邮件,花个两三分钟就大致了解网站和服务器状态。
4、 集中监控和分布式监控相结合
主动(集中)监控虽然能不需要安装代码和程序,非常安全和方便,但缺少很多细致的监控内容,如无法获取硬盘大小、CPU的使用率、网络的流量等,这些监控内容非常有用,如CPU太高表示有网站或者程序出问题,流量太高表示可能被攻击等。
被动(分布式)监控常用的是SNMP(简单网络管理协议),通过SNMP能监控到大部分你感兴趣的内容。大部分 *** 作系统支持SNMP,开通管理非常方便,也非常安全。SNMP缺点是比较占用带宽,会消耗一定的CPU和内存,在CPU太高和网络流量大情况下,无法有效进行监控。
5、定义故障告警主次
对于监控同一台服务器的服务,需要定义一个主要监控对象,当主要监控对象出现故障,只发送主要监控对象的告警,其它次要的监控对象暂停监控和告警。例如用Ping来做主要监控对象,如果Ping不通出现Timeout,表示服务器已经当机或者断网,这时只发送服务器Ping告警持续监控Ping,因为再继续监控和告警其它服务已经没有必要。这样能大大减少告警消息数量,又让监控更加合理、更加有效率。
本地监控脚本的规范化部署
6、对在本地部署的监控脚本要进行统一规范的部署并记录到KM系统。
7、实现对常见性故障业务自我修复功能
实现对常见性故障业务自我修复功能脚本进行统一部署并对修复后故障进行检查告警检查频次不多于3次。
8、对监控的业务系统进行分级
一级系统实现724小时告警,二级系统实现712小时告警,三级系统实现58小时告警。
9、 监控范围及目标
实现对负载均衡设备、网络设备、服务器、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面监控管理;同时自动收集、过滤、关联和分析各种管理功能产生的故障事件,实现对故障的提前预警和快速定位;对网络和业务应用等IT资源的性能进行监控,定期提供性能报表和趋势报表,为性能优化及未来系统扩容提供科学依据。
通常情况下,我们可以将监控对象这么来分:
1服务器监控,主要监控服务器如:CPU 负载、内存使用率、磁盘使用率、登陆用户数、进程状态、网卡状态等。
2应用程序监控,主要监控该应用程序的服务状态,吞吐量和响应时间,因为不同应用需要监控的对象不同,这里不一一列举。
3数据库监控,只所以把数据库监控单独列出来,足以说明它的重要性,一般监控数据库状态,数据库表或者表空间的使用情况,是否有死锁,错误日志,性能信息等等。
4网络监控,主要监控当前的网络状况,网络流量等。
以上四条应该算是最基本的,也是保证网站正常运行必须要知道的几点内容,这样才能实现我们常说的“运筹帷幄之中,决胜千里之外”。
Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品,方便好用,但是,你必须要不断的patch它。Freebsd是一种优雅的 *** 作系统,它简洁的内核和优异的性能让人感动。关于这几种 *** 作系统的安全,每种都可以写一本书。我不会在这里对它们进行详细描述,只讲一些系统初始化安全配置。
Windows2000 Server的初始安全配置
Windows的服务器在运行时,都会打开一些端口,如135、139、445等。这些端口用于Windows本身的功能需要,冒失的关闭它们会影响到Windows的功能。然而,正是因为这些端口的存在,给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息,包括 *** 作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等,并可用来枚举帐号和口令。今年8月份和9月份,微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告,分别是MS03-026和 MS03-039,该漏洞风险级别高,攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的 *** 作系统中经常存在。
解决这类问题的通用方法是打补丁,微软有保持用户补丁更新的良好习惯,并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外,在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。
Microsoft的SQLServer数据库服务也容易被攻击,今年3月份盛行的SQL蠕虫即使得多家公司损失惨重,因此,如果安装了微软的'SQLServer,有必要做这些事:1)更新数据库补丁;2)更改数据库的默认服务端口(1433);3)在防火墙上屏蔽数据库服务端口;4)保证 sa口令非空。
另外,在Windows服务器上安装杀毒软件是绝对必须的,并且要经常更新病毒库,定期运行杀毒软件查杀病毒。
不要运行不必要的服务,尤其是IIS,如果不需要它,就根本不要安装。IIS历来存在众多问题,有几点在配置时值得注意:1) *** 作系统补丁版本不得低于SP3;2)不要在默认路径运行WEB(默认是c:inetpub,请编辑>
为了确保社会保障信息系统的安全运行,应成立系统运行管理部门。对系统运行进行统一的组织、协调和实施。管理部门的职能包括计算机及其外部设备的维护、社会保障网络平台的安全、社会保障各应用系统的版本控制、各项管理制度的实施等。
图6-12 系统运行管理部门职能图
6451 网络平台管理
(1)信息中心管理制度建议。省市各地的为“大社保”所建的信息中心(虚拟机构,目前不存在)是社会保障信息系统的各种网络设备、服务器设备的集中地点,系统的关键设备都安放在信息中心内,对其管理的好坏,直接影响着整个系统的运行。为了保证整个系统高效的运行,需要建立信息中心管理制度。
图6-13 管理制度的详细分类图
针对社会保障信息系统提出以下建议,建议用户在建立信息中心管理制度时在具体制度中包括以下几个方面。
规定每个管理人员的职责。在社会保障信息系统中,采用许多设备,并同时运行多个系统,需要的管理维护人员不止一人,因此,对于系统的各个管理人员,应明确每个人的具体职责,除非经过指定的领导批准,禁止管理人员在工作中做超越本人工作职责的工作。
建立管理日志。如同计算机系统的管理日志一样,在对计算机中心机房进行管理的过程中,由于需要根据系统运行的情况和需求,对系统的有关参数、软件设置等进行修改。为便于管理,需要建立相应的管理日志,在日志中需要每个计算机中心机房管理人员登记进出计算机机房的时间、工作内容、对系统 *** 作的修改以及工作中遇到的异常情况、设备故障情况、处理结果等进行记录,留案备查。
机房设备检查制度。建立中心机房设备检查制度。定期对计算机中心机房的各种硬件设备、供电情况、专线设备情况、软件运行情况、空调、房屋情况进行检查,并对检查情况进行记录,及时发现和排除影响系统运行的各种隐患。
中心机房资料管理。在计算机中心机房中,会存放一些系统运行、维护以及相关设备的资料、软件、光盘等,应指定专门的管理人员,建立中心机房资料管理档案,对其进行管理。
加强中心机房卫生环境管理。制定管理制度,定期、定人对中心机房卫生环境进行清理,保证系统设备及系统的正常运行。
限制人员的进入。计算机中心是社会保障信息系统的关键部位,为了加强管理,对进出计算机中心的人员要加以限制,与计算机中心工作无关的人员,应设定相应的制度限制其进入,对违反规定的人员,按照规定进行处罚。
(2)计算机中心安全管理制度建议。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。因此诸多不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起领导的重视。
安全管理原则。信息处理系统的安全管理主要基于三个原则:①多人负责原则,每项与安全有关的活动都必须有两人或多人在场,这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作;②任期有限原则,一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的;③职责分离原则,除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
安全管理的实现。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,具体工作是:①确定该系统的安全等级;②根据确定的安全等级,确定安全管理的范围;③制订相应的中心机房管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;④制订严格的 *** 作规程, *** 作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;⑤制订完备的系统维护制度,当内部人员对设备维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录,维护完毕口令需及时更换;⑥制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;⑦建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
6452 培训计划
人员培训作为社会保障信息系统工程实施的一个重要环节,对整个项目至关重要。为了确保社会保障信息系统在使用中稳定、高效率的工作,应在对系统技术特点、客户人员状况以及项目实施计划进行具体分析的基础上,针对网络的管理、维护、应用以及日常故障的处理,提供了一系列行之有效的培训实施方案。并针对工程的特点设计专用教材,结合具有教学经验的教员进行培训。还应按照此方案对社会保障信息系统工作人员提供全面、系统、专业及高质量的培训。
培训力求使社会保障信息系统中更多的用户接受到一系列系统的培训并掌握应有的网络工作技能后再进行工作,以确保网络的安全、稳定、高效运行。
图6-14 项目培训流程图
在社会保障信息系统工程中,提供的培训分为项目预培训和项目过程培训。
(1)工程理论培训。工程理论培训是在整个项目设备安装实施前进行的专业技术培训,采取集中培训的方式进行。这种培训是承建方为社会保障信息系统用户安排的教室培训。课程主要讲述相关系统的基本原理、设备的安装配置及网络的安全维护等方面的技术。此培训的特点为:学员能在良好的计算机环境下仿真实际网络状况参加培训,边上机边授课。此培训正规、封闭、上机环境良好、学员上课专心。培训完成后,客户可以掌握计算机网络相关设备的基本 *** 作,并可以通过仿真教学实现对实际网络一般故障的维护。从而,保障系统安全、高效的运行。
培训内容分为系统管理员培训和 *** 作人员培训。培训课程包括服务器及 *** 作系统培训,客户机 *** 作系统培训,双机集群系统管理,网络设备培训,网络管理系统培训,网络安全技术培训,数据库管理系统培训,应用软件维护培训,应用软件 *** 作培训。承建方应为客户方提供教师来完成培训任务,培训教师均具有三年以上的教学经验。培训地点由承建方和客户方共同商议确定。
(2)工程现场培训。承建方在与客户方签订合同后,在进行设备安装调试时进行现场培训。由安装调试工程师担任培训教师在安装现场负责完成培训任务。工程现场培训的主要内容包括以下方面:
数据库服务器双机群集系统设备的安装和测试,设备参数的配置和调试,设备的日常使用和维护;数据库系统的安装,配置、调试;应用服务器设备的安装和测试,设备参数的配置和调试,设备的日常使用和维护;服务器 *** 作系统的安装、调试、配置;呼叫自动应答系统设备的安装和测试,设备参数的配置和调试,设备的日常使用和维护;路由器设备的安装和测试,设备参数的配置、设置、调试,设备的日常使用和维护;拨号访问服务器的安装和测试,设备参数的配置、设置、调试,设备的日常使用和维护;网络交换机设备的安装和测试,设备参数的配置和调试,设备的日常使用和维护;防火墙系统的安装和测试,设备参数的配置和调试,设备的日常使用和维护;个人计算机的安装和测试,网络参数的配置和调试,设备的日常使用和维护;打印机的安装和测试,网络参数的配置和调试,设备的日常使用和维护;扫描仪的安装和测试,设备的日常使用和维护方法;数码相机的使用;IC卡读写设备的使用、安装以及维护方法、使用中的注意事项;UPS设备的安装和测试,设备参数的配置和调试,设备的日常使用和维护;社会保障信息管理系统各应用软件子系统的安装和配置,日常使用和维护;网络系统集成、调试、维护和管理;网络中日常故障的排除;网络综合问题答疑等。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)