CA证书与DHCP服务

北京科小弟信息技术有限公司
网址：>这里提及的参数是和IPv4网络有关的Linux内核参数。我们可以将这些内核参数的值追加到Linux系统的/etc/sysctlconf文件中，然后使用如下命令使修改生效：

这些常用的参数包括以下这些。
1 netcorenetdev_max_backlog参数
netcorenetdev_max_backlog，表示当每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许发送到队列的数据包的最大数目。一般默认值为128（可能不同的Linux系统该数值也不同）。Nginx服务器中定义的NGX_LISTEN_BACKLOG默认为511我们可以将它调整一下：

2netcoresomaxconn参数
该参数用于调节系统同时发起的TCP连接数，一般默认值为128。在客户端存在高并发请求的情况下，在默认值较小，可能导致链接超时或者重传问题，我们可以根据实际需要结合并发请求数来调节此值。

3netipv4tcp_max_orphans参数
该参数用于设定系统中最多允许存在多少TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，没有与用户文件句柄关联的TCP套接字将立即被复位，同时给出警告信息。这个限制只是为了防止简单的DoS(Denial of Service，拒绝服务)攻击。一般在系统内存比较充足的情况下，可以增大这个参数的赋值：

4netipv4tcp_max_syn_backlog参数
该参数用于记录尚未收到客户端确认信息的连接请求的最大值。对于拥有128MB内存的系统而言，此参数的默认值是1024，对小内存的系统则是128。一般在系统内存比较充足的情况下，可以增加这个参数的赋值：

5netipv4tcp_timestamps参数
该参数用于设置时间戳，这可以避免序列号的卷绕。在一个1Gb/s的链路上，遇到以前用过的序列号的概率很大。当此值赋值为0时，禁用对于TCP时间戳的支持。在默认情况下，TCP协议会让内核接受这种“异常”的数据包。针对Nginx服务器来说，建议将其关闭：

6netipv4tcp_synack_retries参数
该参数用于设置内核放弃TCP连接之前向客户端发送SYN+ACK包的数量。为了建立对端的连接服务，服务器和客户端需要进行三次握手，第二次握手期间，内核需要发送SYN并附带一个回应前一个SYN的ACK，这个参数主要影响这个进程，一般赋值为1，即内核放弃连接之前发送一次SYN+ACK包，可以设置其为：

7netipv4tcp_syn_retries参数
该参数的作用和上一个参数类似，设置内核放弃建立连接之前发送SYN包的数量，它的赋值和上个参数一样即可：

在Nginx配置文件中，有这样两个指令：worker_processes和worker_cpu_affinity，它们可以针对多核CPU进行配置优化。
1worker_processes指令
worker_processes指令用来设置Nginx服务的进程数。官方文档建议此指令一般设置为1即可，赋值太多会影响系统的IO效率，降低Nginx服务器的性能。为了让多核CPU能够很好的并行处理任务，我们可以将worker_processes指令的赋值适当的增大一些，最好是赋值为机器CPU的倍数。当然，这个值并不是越大越好，Nginx进程太多可能增加主进程调度负担，也可能影响系统的IO效率。针对双核CPU，建议设置为2或
4。如果是四核CPU，设置为：

设置好worker_processes指令之后，就很有必要设置worker_cpu_affinity指令。

2 worker_cpu_affinity指令
worker_cpu_affinity指令用来为每个进程分配CPU的工作内核。这个指令用来为每个进程分配CPU的工作内核。这个指令的设置方法有些麻烦。
如下图所示：

worker_cpu_affinity指令的值是由几组二进制值表示的。其中，每一组代表一个进程，每组中的每一位表示该进程使用CPU的情况，1表示使用，0表示不使用。注意，二进制位排列顺序和CPU的顺序是相反的。建议将不同的进程平均分配到不同的CPU运行内核上。
如果设置的Nginx服务的进程数为4，CPU为4核，因此会有四组值，并且每组有四位，所以，此指令的设置为：

四组二进制数值分别对应4个进程，第一个进程对应0001，表示使用第一个CPU内核。第二个进程对应0010，表示使用第二个CPU内核，以此类推。
如果将worker_processes指令的值赋值为8，即赋值为CPU内核个数的两倍，则worker_cpu_affinity指令的设置可以是：

如果一台机器的CPU是八核CPU，并且worker_processes指令的值赋值为8，那么worker_cpu_affinity指令的设置可以是：

1keepalive_timeout指令
该指令用于设置Nginx服务器与客户端保持连接的超时时间。
这个指令支持两个选项，中间用空格隔开。第一个选项指定客户端连接保持活动的超时时间，在这个时间之后，服务器会关闭此连接。第二个选项可选，其指定了使用Keep-Alive消息头保持活动的有效时间，如果不设置它，Nginx服务器不会向客户端发送Keep-Alive消息头以保持与客户端某些浏览器（如Mozilla、Konqueror等）的连接，超过设置的时间后，客户端就可以关闭连接，而不需要服务器关闭了。你可以根据自己的实际情况设置此值，建议从服务器的访问数量、处理速度以及网络状态方面考虑。下面是此指令的设置示例：

该设置表示Nginx服务器与客户端连接保持活动的时间是60s，60s后服务器与客户端断开连接。使用Keep-Alive消息头保持与客户端某些浏览器（如Mozilla、Konqueror等）的连接时间为50s，50s后浏览器主动与服务器断开连接。

2send_timeout指令
该指令用于设置Nginx服务器响应客户端的超时时间，这个超时时间仅针对两个客户端和服务器之间建立连接后，某次活动之间的时间。如果这个时间后客户端没有任何活动，Nginx服务器将会关闭连接。此指令的设置需要考虑服务器访问数量和网络状况等方面。下面是此指令的设置示例：

该设置表示Nginx服务器与客户端建立连接后，某次会话中服务器等待客户端响应超时10s，就会自动关闭连接。

3client_header_buffer_size指令
该指令用于设置Nginx服务器允许的客户端请求头部的缓冲区大小，默认为1KB。此指令的赋值可以根据系统分页大小来设置。分页大小可以用以下命令取得：

有过Nginx服务器工作经验的可能遇到Nginx服务器返回400错误的情况。查找Nginx服务器的400错误原因比较困难，因为此错误并不是每次都会出现，出现错误的时候，通常在浏览器和日志里也看不到任何有关提示信息。根据实际的经验来看，有很大一部分情况是客户端的请求头部过大造成的。请求头部过大，通常是客户单cookie中写入了较大的值引起的。于是适当增大此指令的赋值，允许Nginx服务器接收较大的请求头部，可以改善服务器对客户端的支持能力。一般将此指令赋值为4KB大小，即：

4multi_accept指令
该指令用于配置Nginx服务器是否尽可能多的接收客户端的网络连接请求，默认值为off。

本节涉及的指令与Nginx服务器的事件驱动模型密切相关。

其中，number为设置的最大数量。结合worker_processes指令，我们可以计算出Nginx服务器允许同时连接的客户端最大数量Client = worker_processes worker_connections / 2;
在使用Nginx服务器的过程中，笔者曾经遇到过无法访问Nginx服务器的情况，查看日志发现一直在报如下错误:

根据报错信息，推测可能是Nginx服务器的最大访问连接数设置小了。此指令设置的就是Nginx服务器能接受的最大访问量，其中包括前端用户连接也包括其他连接，这个值在理论上等于此指令的值与它允许开启的工作进程最大数的乘积。此指令一般设置为65535：

此指令的赋值与linux *** 作系统中进程可以打开的文件句柄数量有关系。按照以上设置修改此项赋值以后，Nginx服务器报以下错误：

究其原因，Linux系统中有一个系统指令open file resource limit，它设置了进程可以打开的文件句柄数量。worker_connections指令的赋值当然不能超过open file resource limit的赋值。可以使用以下命令查看在你的Linux系统中open file resource limit的赋值。

可以通过一下命令将open file resource limit指令的值设为2390251：

这样，Nginx的worker_connections指令赋值为65535就没问题了。

其中，limit为Linux平台事件信号队列的长度上限值。
该指令主要影响事件驱动模型中rfsig模型可以保存的最大信号数。Nginx服务器的每一个工作进程有自己的事件信号队列用于暂存客户端请求发生信号，如果超过长度上线，Nginx服务器自动转用poll模型处理未处理器的客户端请求。为了保证Nginx服务器对客户端请求的高效处理，请大家根据实际的客户端并发请求数量和服务器运行环境的处理能力设定该值。设置示例为：

其中，number为要设置的数量，默认值均为32。

其中，number为要设置的数量，默认值均为512
使用kequeue_changes方式，可以设置与内核之间传递事件的数量。

其中，number为要设置的数量，默认值均为512。

7rtsig_signo指令
该指令用于设置rtsig模式使用的两个信号中的第一个，第二个信号是在第一个信号的编号上加1，语法为：

默认的第一个信号设置为SIGRTMIN+10。

提示
在Linux中可以使用一下命令查看系统支持的SIGRTMIN有哪些。

8rtsig_overflow_ 指令
该指令代表三个具体的指令，分别为rtsig_overflow_events指令、rtsig_overflow_test指令和rtsig_overflow_threshold指令。这些指令用来控制当rtsig模式中信号队列溢出时Nginx服务器的处理方式，语法结构为：

其中，number是要设定的值。
rtsig_overflow_events指令指定队列溢出时使用poll库处理的事件数，默认值为16。
rtsig_overflow_test指令设定poll库处理完第几件事件后将清空rtsig模型使用的信号队列，默认值为32。

rtsig_overflow_threshold指令指定rtsig模式使用的信号队列中的事件超过多少时就需要清空队列了。

Windows 2003是微软公司研发的新一代网络服务器 *** 作系统,和以前的同类 *** 作系统相比，他更加安全、性能更加稳定，而 *** 作和使用却更加轻松,为此,无论是服务器、客户机还是家庭用户，安装Windows2003都是很轻松的。那么该如何安装呢我想大家的第一反应都是插入系统盘或者安装盘等等,那么如果是无盘安装呢那又该如何 *** 作呢下文将告诉你答案哦

准备：

软件:无盘通标准版以上版本，安装过程中所需要的程序在标准版以上光盘的2003目录中。用户自备应用软件和Windows2003标准版或企业版。

硬件(注意：以下配置为最低配置，根据应用环境适当调整)

20台工作站，运行OFFICE的配置。注：工作站256色，没有声音!

CPU ： P4 1400MHZ 大致计算公式： CPU>500MHZ+45工作站台数

内存： 512 M 内存公式为：标准配置RAM=20M工作站台数+128M

硬盘： 40G 最好支持ATA100、7200转、2M以上缓存 3年质保!!

光驱： 40X 显卡： AGP (TNT2)2003自带驱动程序(稳定性考虑)

网卡： TX530 PCI接口网卡一块(8029、TX530)

可选配上网设备(至少配备ISDN )

工作站:

CPU ： 486 66MHZ以上 显存1M以上 (建议用奔腾系列 16M内存 )

内存 ： EDO 8M

网卡：UM9008、RTL8019、RTL8029、RTL8139直接可用。其它各种类型要备用驱动磁盘，网卡芯片为NT RPL芯片

注意：各网卡有各自启动芯片!

注意服务器网卡要用PCI的,因为PCI的都支持PNP,装好2003后,Windows2003会自动安装网卡程序,一般不必多余设置。

安装：

首先用Win98启动光碟从光碟启动，将硬盘主分区分为FAT32分区,一般取4G以上就可以了,主要能备份Win2003就行，并激活。其它空间不需分区，重启并格式化。然后将Win2003光盘的I386拷入硬盘，注意加载磁盘缓冲(SMARTDRVEXE)。不然拷贝文件速度很慢。启动安装程序(注意：在DOS下运行WinNT，不是SETUP)，进入Windows2003的安装，在安装过程中安装程序要求分区，注意安装Windows2003系统软件的分区(系统一般装到D：注意不要安装在C：因为C：为FAT32格式，不能设权限)要用NTFS格式化，一定注意要选用NTFS格式化，因为只有NTFS格式化才能设本地权限。(一般40G硬盘这样分区C：4000M FAT32 启动分区 D：6000M NTFS 系统分区 E：10G以上 NTFS 用户分区)按照提示安装好Windows2003。服务器名字用SERVER，这样会少很多麻烦，因为我的程序是用SERVER名字设置的。安装完成后，第一次启动，我们可以看到管理您的服务器的界面，这时，我们就可完成了服务器的系统的安装!这里要说的是，我们可以在管理您的服务器的界面中查看当前安装的服务角色，要注意的是，我们不需要的服务都不要去安装，要尽可能地少安装服务，比如，域控制器(Active Directory)、IIS、POP3等都不要安装，总之整个服务器安装完后，我们只安装以下的几个必需要的服务，文件服务器、终端服务器、DHCP服务器。服务器安装好后，在管理您的服务器中，如果你的服务超过这些，而您又没有其它程序需要多余的服务的话，就将其它服务删除吧!这样的话，才可能使服务器运行速度正常，不然的话，可能会很慢!

1 服务器的设置。

安装服务器后。就可以重新分区，用右键点我的电脑，进入管理工具，进入磁盘管理，然后建立分区，E：，F：格式化进入光盘中的2003目录中，安装一个WinRAR，(根目录)因为的软件都是用它压缩的。将我的光盘中的程序全部解压,解压到硬盘。(需要用到的程序都在2003目录)接下来马上装的远程启动服务。由于2003取消了NETBEUI和DLC协议，所以我们必需手动添加这些协议，不然，我们的RPL就不可能运行。要添加这此协议，我们必需拷贝添加这些协议的文件，我们的光盘中有这样一个压缩文件,名字为RPLSP,解压后有很多子目录,它们是Drivers下面的DLCSYS和NBFSYS我们只需要进入Drivers目录,复制这两个文件到系统的Windows目录的SYSTEM32目录的Drivers中然后将INF目录下的文件,拷贝到Windows目录的INF目录中还有SYSTEM32目录中的文件,复制到Windows目录下的SYSTEM32中,全部覆盖就可以了!注意，SYSTEM32目录中的文件，是不能直接拷贝覆盖的，直接覆盖会提示文件正在使用。只有重启计算机，在启动时按F8，选择带命令提示符的安全模式，进入命令提示符方式，用COPY命令拷到Windows的'SYSTEM32目录覆盖!拷贝以上文件后，就可以添加DLC和NETBEUI协议了，当然，就可以安装远程启动服务了!添加DLC服务时，如果提示调用过程失败，不能添加的话，请重启一个服务器，一般就可以添加上了!

因为Win2003本身没有远程启动。所以必需安装光盘中的有一个程序RPLW2K，它的目地是为Win2003添加远程启动服务。安装了协议后就可以运行它了，一般RPL装在D：RPL目录,装好启动服务后一般重新启动就能行了。然后在控制面版里的服务选项，将远程启动服务先停止，然后将光盘2003目录的RPL文件解压拷入所装远程启动的目录D:RPL。覆盖所有文件。然后重启动远程服务。(当然，有时会启不动服务。多装几次就行了。还不能启动的话，注意拷贝的文件大小，比较一下，看Windows是不是自动更改过了，如果不清楚，就再拷贝覆盖一次吧!)从所安装的目录D:RPL将近快捷方式拉出就行了，当然，建议你将近远程启动装到D：RPL装在其它目当也行总之一定要保证远程启动服务运行正常,工作站能远程启动DOS。我的RPL目当已经添加了网卡号和DOS系统,只要覆盖D:RPL目录后就不必添加卡号了,工作站只要连上服务器就可以启动到DOS了只限网卡KE-2008,KE-2009,RTL8029,RTL8139卡号为KE-2008000021,KE200952544C

如果用其它网卡类型不一样,要自已添加卡号，请参考NT40的无盘DOS篇。

安装好远程启动服务后，我们就可以安装DHCP服务了，因为windows 2003需要用到TCP/IP协议，所以我们要安装DHCP让服务器自动为工作站提供IP地址，需要注意的是，我们的服务器地址需要指定为19216801。

然后就可以安装终端服务了。安装终端服务时要注意时间要提前一些，比如调为2010年，等安装完服务器后才调正确，因为这样可以不用安装终端授权。从管理您的服务器中安装。选添加删除角色,自定义配置，终端服务器，选取安装终端服务器就可以了，重启计算机后，就可以看到终端服务装好了。五笔字型可以用office2000中的86版。安装好终端服务后可以测试一下能否正常使用，进入光盘的2003目录将Win32目录拷入D：运行MSTSCEXE输入服务器名点连接，如果出现输入用户名界面就表示终端服务安装完成。

2 MetaFrame XP的安装

MetaFrame XP是一个采用ICA协议的一个终端服务软件，它与MSWin2003的终端服务比较主要特点是客户端的软件提供丰富，有DOS下和Win32下的客户端程序。所以是一个非常优秀的软件， 将MetaFrame XP文件解压，进入解压目录，运行Autorunexe用超级用户进行安装。安装过程中一般情况选下一步就可以了。因为MetaFrame XP只有最新的版本才能在windows 2003上面安装，所以，只有光盘中的MetaFrame XP才是最新的版本，其它的是安装不上的!不用过多的设置，重启动后MetaFrame XP就安好了。你会发现桌面上会多一个叫MetaFrame XP的工具栏。

默认状态有8个按纽，一般我们只对最后一个按纽设置就够了。其它创建工作站安装磁盘，打印设置，资源调度，帮助等不要多余的设置。安装MetaFrame XP再重启动，重启动后会显示计算机的协议没有安装，不要紧，我们可以用注册机算码。记要进行该项设置，选MetaFrame工具栏上的最后一个按纽，点击,然后就会打开提示您输入用户名，我们只需要确定就行了，等一会儿，就会进入MetaFrame XP的控制台!我们会看到很多的项目，我们只需要选择licensec,然后在右边将我们需要添加的号加入就行了!具体的可以看多媒体的演示!添加好后退出就行了。其它设置，我建设用MS的终端服务配置进行设置因为那毕竟是中文的。

MetaFrame XP就安装好后，因为MetaFrame XP有DOS下的客户端，所以这是DOS下能不能连接2003的关键程序!

装好后在D:新建一个目录,取名为DOS,共享出来,(用右键设置) 然后进入光盘的2003目录，将ICADOS32拷入共享的DOS目录。 需要注意的几点：

1、在本地安全策略中需要将安全选项的本地安全设置(使用空白密码的本地怅户只能在控制台登陆)需要禁用，不然，工作站就需要设置密码!

2、在用户权限分配中需要将通过终端服务允许登陆，这里要添加USER组，不然，工作站将不能进入2003!

3、在终端服务配置中的ICA-TCP协议，其中的权限选项中，需要添加USER组，否则我们创建的用户就不能登陆2003界面!

工作站安装：

DOS下登陆Windows2003

在服务器上面事先将ICADOS32目录共享，我们可以使用MetaFrame 18的客户端,将它 *** 作拷入DOS共享目录。(其实我光盘中有WF文件，将WF文件解压后，拷入DOS共享目录，也就是上面建立的D：dos目录，这样在工作站启动时就会在F：下有WF目录，只要运行批处理2就行了，当然服务器名要设为SERVER，不然只有参照下面自已安装。)工作站启动后，会出现C盘：用命令NET USE F： \SERVERDOS将服务器的共享目录，进入ICADOS32目录运行INSTALLEXE。首先，进入icados32目录(这是dos32位客户端的目录)，运行install，按f1同意协议，进行安装。默认的是c:wfclient目录，我们就安装到F：WF，直接回车。事先找一个MOUSE程序拷入WF。文件复制完毕，提示运行wfclientexe进行配置，我们直接键入wfclient刚开始会提示输入computer name，我们随便输入一个。我输入d，然后出现需不需要马上配置一个连接的提示，选择YES。

我们还可以用entry菜单的properties……来进行配置。上面是配置菜单，只需要配置两个就可以运作了。options是各种配置的菜单。关键的是第一个,就是preferences。那是关于图象的设置。其它就不要设置了返回,回车就会进入Windows2003了最后将AUTOEXECBAT 和CONFIGSYS两个文件改变一下就能自动进入了当然要加MOUSE可以建一个批处理:例如:MOUSEEXE

此处关键就是要选择VSLTCP/IP协议,其它的协议无效!

三，完成安装

全部安装完成后，我们要注意，将RPL目录和DOS共享目录备份到安全的地方，今后如果工作站不能启动，只需要覆盖一下就可以了，另外，强力推荐，将D：的分区用Ghost做一个镜像，保护起来，这样就算出了什么问题，也可以正常还原到安装状态!

现在重新启动工作站，过一会儿Win2003就启动了。进入速度很快，完全和硬盘没两样。

Windows2003无盘技术非常适合于学校和办公，和一些不玩游戏的网吧。成本相比传统的硬盘Win98，Win2003网络来说要低得多，并且有安装简便，维持简单的特点它不但能够安装到服务器上配置成为主域控制服务器、文档服务器等各种服务器，也能安装在局域网的客户机上，作为客户端系统使用，当然也能够安装到个人电脑中，成为更加稳定、更加安全、更容易使用的个人 *** 作系统。

---