服务器配置总结(精选8篇)
首先说一下自己的情况。
学的是财务专业,自学的计算机应用知识,在公司财务管理中,不自觉地承担起了K3服务器的维护工作。但经过近一年的应用,因为工作的原因,计算机管理技术未能得到更好的突破,因此,服务器经常出问题。也参考了很多资料,但最终还是不堪一击。也说说一个菜鸟维护服务器的一点心得,希望和我一样的朋友少走一些弯路,使服务器可以正常运行。
服务器应用情况:
1.除了承担K3数据库,中间层,客户端外,还有部分办公事务(及非专业服务器)
2.因软件应用情况,经常在电脑上安装卸载软件(这一条对系统影响比较大,公司里最好能用专用的服务器,这样,问题会出得少一些.好了,开始装载系统.我的安装思路.1.安装win2003
2.基本配置完win2003性能,驱动程序,功能分配,组件安装等完成后,ghost干净的初始操作系统
3.安装常用小软件,office软件
4.安装SQL Server,打补丁
5.升级系统安全补丁
6.ghost操作系统,做好准备安装K3前的准备
7.开始安装K3
8.测试K3的运行情况,一切无错误后,ghost K3系统
9.进入正常的系统运行应用
功能说明:主要对三个ghost系统的使用说明,除非有重大的系统软硬件升级变动,基本上不用再做重装的工作了
1.当K3 系统出问题,先试过常用方法,如SQL 的运行测试,帐套的备份,恢复功能的使用,仍然未能解决问题,使用中间件重装注册,一般问题应该可以解决了,如问题仍未能解决,先备份好各帐套,考虑使用8步中的ghost文件恢复系统
2.如8步中的系统恢复后仍然未能解决问题,考试卸掉客户端(因为这个安装过程比较 简单及常见问题可以解决
3.K3严重错误,8步ghost失效,进入恢复6步ghost,及在完全安装K3系统前,全新安装K3系统,正常后,重复做8步
4.软件环境发生重大变化,进入恢复2步ghost,接着按需要做3-8步
5.操作系统及软件硬件发生重大变化,2步ghost失效,进入全新安装系统的流程,但流程与1-8步,做好三次ghost工作
DHCP技术的应用基于不同网络环境和不同体系结构而有所不同,在本文介绍的是在路由器上启用DHCP服务。在路由器上配置DHCP服务器,必须要求路由器IOS支持配置功能,CIS-CO路由器要求IOS12.1以上版本才可以支持DHCP。本文中的配置环境为:C1841-ADVIPSERVICESK9-M) , Version 12.4 (15) T1, RELEASE SOFTWARE, 配置实验示意图如图-1ㄢ
一、配置路由器,实现路由器自动为客户端分配地址
将路由器配置为DHCP服务器,对路由器所连接的客户工作站进行动态IP地址的分配,这样解决了网络管理员对终端主机逐一分配地址的繁琐工作,同时也提高IP地址的利用率。路由器的配置命令如下。
路由器配置为DHCP服务器,可以极大提高管理效率,降低广域网带宽的负荷,不至于因为中心专门的DHCP服务故障而引起整个网络地瘫痪,同时也降低了网络构建成本。
二、配置DHCP服务器的各种选择项
路由器作为DHCP服务器除了可以动态分配IP地址给各个客户端用户以外,还可以根据DHCP服务器配置内容动态分配其他配置内容,如缺省网关、DNS、WINS、租期等信息。各种参数配置如下所示。
DHCP可以动态分配除IP地址以外的默认网关、域名解析服务器的地址、WINS服务器的地址等信息给客户端。在RFC2132 (DHCP Options and BOOTP Vendor)种定义了大量的标准配置选项,可以在那里阅读到更加详细的信息。但是大部分的DHCP配置往往只是用到其中规定的很小的一部分常用选项。为了配置的简单化和易于理解,cisco提供了一些人类易于理解的别名来代替RFC2132种规定的配置选项,你既可以使用cisco提供的用户友好的别名来配置,也可以用OPTION number命令来配置,这两种方式CISCO的IOS都是可接受的。比如说RFC2132中的OPTION 6是表示域名服务器的地址,则以下的两种命令行结果一样;
当你按照配置方式二输入命令后,查看配置结果会发现配置内容采用的是别名方式。有些配置选项可以接受多个配置参数,例如默认网关以及域名服务器都可以接受最多八个地址的配置,上面例子中就分别配置了两个默认路由器(默认网关)和两个域名服务器的地址。为了配置的方便,你也可以采用继承的方法来配置各种参数。如下实例,首先配置父亲的DHCP地址池ROOT (172.16.0.0/16) ,其次我们又配置了两个子地址池172.161.0/24和172.16.2.0/24。这两个子地址池,能够自动继承父亲地址池的配置信息。当然,如果子地址池的配置信息和父亲地址池的配置信息重复,则孩子地址池的信息覆盖父亲地址池的配置信息。
必须说明的是DHCP租期配置信息是唯一不能继承的DHCP配置选项,必须为每个孩子地址池显式配置DHCP租期。如果该地址池没有配置dhcp租期。则路由器使用默认的租期(24小时)。
三、关于DHCP的租期的相关讨论和配置
DHCP的租期(DHCP Lease Periods)是DHCP相关知识中,一个比较重要的该概念,因此单独列出来进行说明。基本的配置如下;
lease命令的基本格式是lease[days][hours][minutes]。上面的例子,表示设定DHCP租约为2天12小时30分。你可以配置最大值为365天23小时59秒,也可以设置最小值1秒,默认的DHCP租约是1天。一般的规则是,对于那种DHCP客户端数量比较大,并且客户端联入网络,断开网络比较频繁的场合,一般把租约的时间配置的比较短,提高IP地址的利用效率。比如飞机场的无线网络,乘客使用的时间相对较短,可以把租约时间设置在2-3小时为宜。不过,不是租期越短越好,过短的租约使得DHCP请求包过多,增加了网络的负担。因此在一个相对稳定的网络环境中,合理增加DHCP的租约是明智之举。客户端在自己的租约还有一半的时候,就会向服务器发出更新租约的请求,如果成功,则租约从新恢复为完整的租期,如果失败,则又过剩下的一半租约后,再发出更新请求,如此规律,直到成功更新为止。在很多场合,默认的一天的租约是比较合理的,一般很少作修改。一种比较极端的配置是,你可以规定租约为永久,客户端获得了IP地址后,只有客户端断开连接,IP地址才被收回,这种配置在现实中就更加少见了。
以上介绍在路由器上配置DHCP服务器,这种配置DHCP服务器操作简单,功能全面,是首选的DHCP应用服务。
参考文献
[1]CISCO CCNA Security, CISCO电子文档资料, 2009年
[2]王达网络管理员必读-网络安全, 电子工业出版社, 2006年
[3]梁广民、王隆杰思科网络实验室路由、交换试验指南, 电子工业出版社, 2007年
关键词:服务器;安全配置
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21573-02
To Make a Thorough Inquisition about the Security Configuration of Win2000 Server
YU Guei-bin1,LI Shao-chun2,ZHANG Chun-qing3
(1. Department of Computer and Information, Chengde Petroleum College, Chengde 067000, China; 2.Students' Affairs Division, Chengde Petroleum College, Chengde 067000, China; 3.Department of Mechanical Engineering, Chengde Petroleum College, Chengde 067000, China)
Abstract:Aim at Win2000 Sever operating system, system groupware in common use and the select of groupware, this article discusses the questions of security configuration in depth. Thus the user can understand and use this operating system easily and safety.
Key words:server; security configuration
目前,Windows 2000 Server是常用的服务器操作系统之一,要想安全的配置这个操作系统,不是一件容易的事。本文将对Windows 2000 Server的安全配置问题进行深入的探讨。
1 正确安装Windows 2000 Server
(1)版本选择:Windows 2000 Server有多种语言的版本,我们可以选择英文版或简体中文版。但中文版的Bug远多于英文版,而补丁的推出一般还会迟至少10天。所以在一定程度上中文版操作系统的安全系数远不如英文版。因此建议,在熟悉操作系统及专业英语的情况下,请使用英文版Server。
(2)定制组件:Windows 2000在默认情况下会安装一些常用组件,但这些组件中大多是不被使用的,并且默认的安装组件存在很大的安全风险。在这里,你首先应该知道你需要哪些服务,并且仅安装你确实需要的服务,根据安全规则,最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,尤其是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager(HTML)这几个危险服务组件。
(3)分区格式及逻辑盘的分配:在Windows 2000 Server系统中主要支持两种格式FAT及NTFS,NTFS分区格式当之首选。NTFS具备FAT所没有的本地安全性,这主要体现在文件权限的分配、磁盘配额管理、动态磁盘管理、数据EFS加密和压缩功能等,并且只有选择NTFS文件系统,才可以使用诸如Active Directory和基于域的安全性之类特性。
在对硬盘分区时,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于5G,用来运行系统和存储重要的日志文件,并且系统虚拟内存首选的是使用系统盘。第二个用于IIS,第三个可以用于FTP,在不提供FTP的服务器上第三个分区还可以用来放置驱动程序、安全软件等。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。由于IIS和FTP是对外服务的,比較容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
(4)系统的安装顺序:可能大家以为安装系统是最简单的事情,只要用光盘启动,几乎可以自动安装完成了。在这里向大家解释安装过程中顺序重要性,Windows 2000在安装中有几个顺序是一定要注意的:
首先,整个安装过程服务器不能接入网络。在Windows 2000 Server安装的过程中,系统会自动建立admin$的默认共享,此时它是没有密码保护的默认共享,因为只有系统重新启动后,安装过程输入的Administrator密码才能生效。这个过程中任何人都可以通过admin$进入你的服务器。并且在安装完Windows 2000+sp4后,系统的漏洞还有百个之多。此时的系统是最脆弱的。
其次,安装升级DirectX,IE等系统组件,安装需要在服务器上运行的应用程序。最后再安装系统的补丁,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
2 安全配置Windows 2000 Server
即使正确的安装了Windows 2000 Server,系统还是有很多默认的设置和属性是不安全的,需进一步进行细致地配置。
(1)服务与端口:在Win2000 Server安装完成之初,系统默认运行着许多服务,Windows提供了很多非常有价值的服务,但很多服务都是双刃剑,用不好就会带来诸多安全隐患,诸如:Remote Registry Service、RunAs Service、Server、Task Scheduler、Messenger、Telnet等。端口是计算机和外部网络相连的逻辑接口,每一项服务对应着其相应的端口,端口配置正确与否直接影响到主机的安全,一般来说,端口都会随着服务的停止而关闭,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于Windows 2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,那么可以利用Windows服务器自身的IP安全策略功能,来自定义拦截特定端口的安全策略。(策略的自定义请参考相关书籍)
(2)IIS:IIS是微软的组件中漏洞最多的一个,平均两个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:
首先,删除C:Inetpub目录,在D:建立一个Inetpub或者是其他名称的目录作为站点主目录。在IIS管理器中将主目录指向刚才建立的文件夹;在建立目录的同时请特别注意目录权限的分配,没有绝对的必要千万不要给写权限和执行程序权限。
其次,在IIS管理器中删除必须之外的任何无用映射,在IIS管理器中右击主机→属性→WWW服务编辑→主目录配置→应用程序映射。
必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到shtml?等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有漏洞被利用的历史:htw, htr, idq, ida……。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本错误消息给客户,这个设置很重要,可以防止ASP出错的时候用户知道你的程序、结构、数据库名称等。错误文本随便定义,这是在ASP出错时显示到客户端的文本信息。点击确定退出时,设置虚拟站点继承你设定的属性。如果不需要使用ASP的FSO上传功能,请关闭。在本地服务器上关闭和启动FSO的命令,对于Win2000系统,在CMD命令行状态输入以下命令。
关闭命令:RegSvr32/u C:WindowsSystem32Scrrun.dll
打开命令:RegSvr32 C:WindowssyStem32Scrrun.dll
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。为了防止IIS负荷过高导致服务器满负荷死机,在性能中打开CPU限制,可以将IIS的最大CPU使用率限制在70%。
(3)账号安全:Windows 2000的账号安全是另一个重点,首先,Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力破解用户密码。很多朋友都知道可以通过更改注册表来禁止139端口防止空连接,实际上Windows 2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取決于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。
这个值是只允许非NULL用户存取SAM账号信息和共享信息;
这个值对本地计算机提供了最高限制,需要注意的是,如果你一旦使用了这个值,计算机将无法进行共享任何资源,推荐设置为1。
现在,入侵者现在没有办法拿到我们的用户列表,但不要忽视系统内建的Administrator帐号,这个帐号不允许删除,而允许改名。在计算机管理→用户账号中右击Administrator然后改名,可以改为任意win2000允许的用户名,但是请一定要记牢。然后设置不显示最后的登陆名,防止本地或Terminal Service获取用户名,方法如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon项中的Don't Display Last User Name串数据改成1,系统不会显示上次的登录用户名。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon项中的Don't Display Last User Name串数据修改为1,不显示上次登陆控制台的用户名。
(4)本地策略:出现在系统日志中的记录项与本地审核策略所选择的审核类型有关。本日志记录的是发生了在审核策略中定义的事件,Windows 2000的默认安装不开任何安全审核!也就是所有审核策略都是失效的,为加强安全管理,需要打开相应的审核策略,推荐的审核是:账户管理 成功 失败,登录事件 成功 失败,对象访问 失败,策略更改 成功 失败,特权使用 失败,系统事件 成功 失败,目录服务访问 失败,账户登录事件 成功 失败。
审核项目少的缺点是对于入侵或者非法使用等无法记录进行相应的事件;审核项目太多会占用太多的系统资源,而且会形成一些没用的安全日志,这样就失去了审核的意义。
同时,在帐户策略中设定:
密码策略中设定:密码复杂性要求 启用,密码长度最小值 8位,强制密码历史 5次,最长存留期 30天。账户锁定策略中设定:账户锁定 3次错误登录,锁定时间 30分钟,复位锁定计数 30分钟。
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)→权限→高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
至此,安全日志中会记录我们设定过的所有策略。
(5)本地权限控制:为了控制好服务器上用户的权限,同时为了预防以后可能的入侵,我们必须细分清楚服务器中目录所提供的服务及安全级别,一般来说系统分区中的目录都是高危级别的,入侵者只有获得系统目录的控制权限,才能近一步使用安装的手段下载帐号列表。所以对设置目录和文件的访问权限须小心谨慎,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),如下图所示:
你需要根据应用的需要进行权限重设。在权限分配的过程中,请注意一个重要原则:仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
在此基础上我们不要忽视默认共享,它可是系统入侵的便捷之门,你可以在cmd下输入命令 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享,可以在服务里停掉SERVER服务,或者删除默认共享,不过机器重新启动后,删除的这些共享又会重新开启的。可用以下方法来解决此问题:建立批处理文件,放置在启动组,每次系统启动时都会先删除默认共享。批处理文件内容如下:
echo off
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
net share n$ /del
echo on
根据你磁盘分区情况进行删除,n代表最后一个逻辑分区或光驱。
3 结束语
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器的唯一用途是为用户提供服务的,如果安全原则阻止了正常服务,那么这个安全原则与我们所提到的服务就背道而驰了。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我们只能说一台主机在一定的情况一定的时间上是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
参考文献:
[1] 林晓勇,曾庆荣. Windows 2000系统管理与网络安全[M]. 机械工业出版社.
[2] Internet Security Systems公司. Windows 2000安全技术参考[M]. 机械工业出版社.
源码:--------------------------------------------------------------------------------
r1-1(e0/0)-----(f0/1)sw(f0/2)---------r1-2(f0/0)
|
(f0/3)----------r1-3(e0)
cat3550 f0/2 configured with one aclearcase/“ target=”_blank“ >ccess vlan 20 and
one voice vlan 50
f0/1 access vlan 50
f0/3 access vlan 20
r1-2 configured with a native vlan 20 and a dot1q
trunk vlan 50 (simulating ip phone)
And ping r1-1 and r1-3 works from r1-2!
This means that cat3550 treats the voice vlan in a
very special way!
If you configure the voice vlan port as a dot1q trunk
port, you may need
to block all vlans other than the native vlan and
voice vlan. Otherwise
all other vlan packets will be sent to the ip phone...
===================================
cat3550 configuration:
interface FastEthe.net0/1
switchport access vlan 50
no ip address
!
interface FastEthernet0/2
switchport access vlan 20
switchport voice vlan 50
no ip address
duplex full
speed 100
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 20
no ip address
!
=============
r1-1:
interface Ethernet0/0
ip address 50.1.1.10 255.255.255.0
r1-2:
interface FastEthernet0/0
no ip address
speed 100
full-duplex
!
interface FastEthernet0/0.20
encapsulation dot1Q 20 native
ip address 20.1.1.1 255.255.255.0
!
interface FastEthernet0/0.50
encapsulation dot1Q 50
ip address 50.1.1.1 255.255.255.0
!
r1-3:
interface Ethernet0
ip address 20.1.1.3 255.255.255.0
no ip directed-broadcast
!
r1-2#p 20.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.3, timeout is
2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip
min/avg/max = 1/2/4 ms
r1-2#p 50.1.1.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 50.1.1.10, timeout
is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip
min/avg/max = 1/2/4 ms
cat3550-11#sh int f0/2 swi
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic desirable
OperationalMode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 20 (VLAN0020)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Voice VLAN: 50 (VLAN0050)<--- wow, voice vlan now is
active!!!
SMB(Server Message Block,服务信息块)是一种在局域网上的共享文件或打印机的协议。可以运行在多种协议上面,如TCP/IP或IPX等。它可以为网络内部的其他Windows和Linux系统主机提供文件及打印机共享等服务。Samba是一组使Linux支持SMB协议的软件包,在Linux主机上安装了Samba服务器后,就可以在Windows的网络邻居上看到Linux主机,进而就可以方便的在Linux和Windows之间实现资源共享。
Samba组件的安装
在安装red hat linux9系统过程中,如果选择完全安装Red Hat Linux 9.0,则系统会默认安装Samba组件。可以使用以下命令进行验证:
[root@localhost root]#rpm qa|grep samba回车显示如下信息:
samba-2.2.7a-7.9.0
redhat-conf ig-samba-1.0.4-1
samba-common-2.2.7a-7.9.0
samba-client-2.2.7a-7.9.0
表明已经安装,若没有安装,则使用命令“主菜单”—“系统设置”—“添加/删除应用程序”—“软件包管理”—windows文件服务器”,选中samba服务,点击“更新”。
Samba配置
Samba服务器安装完成后,配置Samba服务,就要对配置文件smb.conf进行相应的设置。用vi编辑器打开/etc/smb.conf
#vi/etc/samba/smb.conf
Smb.conf文件是按节组织的,所有的节在文件中用[]标识,在文件中有[Global]、[Homes]、[Printers]等节,[Global]用于定义全局参数和默认值,[Homes]用于定义用户的主目录共享,[Printers]用于定义打印机共享,另外用户还可以自定义节。
对smb.conf进行修改:
[Global]节
workgroup=workgroup#设置成Windows网上邻居中工作组的名称
netbios name=zxz#在Windows中显示出来的计算机名
server string=Linux Samba Server#设置Samba服务器的主机名称
security=user#设置Samba安全级别为以帐号和口令访问
[zxz]
path=/home/zxz#设置要共享的目录路径
writeable=yes#设置可写
browseable=yes#设置可以浏览共享文件夹
create mask=0664#创建文件权限掩码
guest ok=yes#设置允许匿名用户以guest身份登录
对文件授权和建立用户
[root@localhost zxz]#useradd zhangxiaozhi#添加用户zhangxiaozhi
[root@localhost zxz]#passwd 123456#设置用户密码
[root@localhost zxz]#mkdir-p/home/zxz#创建目录
[root@localhost zxz]#chmod 755/home/zxz#改变目录权限
[root@localhost zxz]#chown zhangxiaozhi/home/zxz#将目录所有者变为zhangxiaozhi
[root@localhost zxz]#/usr/sbin/groupadd workgroup#创建用户组workgroup
[root@localhost zxz]#gpasswd-a zhangxiaozhi workgroup#将zhangxiaozhi加入用户组workgroup
添加samba用户,并设置密码
通过smbpasswd来添加Samba用户,并设置密码
[root@localhost zxz]#smbpasswd-a zhangxiaozhi
New SMB password:123456在这里添加Samba用户zhangxiaozhi的密码;
Retype new SMB password:123456再输入一次;
重启samba服务
[root@localhost zxz]#/etc/init.d restart
设置windows机器
1.创建windows下的用户和密码。
Linux系统下在[Global]中设置的是user共享方式,即要用windows用户名来验证。所以windows须设置一个与linux机器上完全相同的用户,密码也必须一致。可以设置用户名为zhangxiaozhi的用户,密码为123456,工作组为workgroup。
2.在windows加上相关的协议;添加网络协议,把IPX/SPX以及NETBEUI两个协议加入。
系统访问
从linux访问smb服务器,[root@localhost zxz]#smbclient-L//192.168.1.144-U zhangxiaozhi
Password:123456输入密码。
从windows访问可以从网上邻居里workgroup工作组访问,也可以直接在浏览器上访问192.168.1.144
结语:
Samba服务器配置完成之后,就可以实现linux与windows之间的资源访问,例如:文件及打印共享等。
摘要:现在企业中大部分的企业都是Linux系统与Windows系统并存,为了实现企业网络资源共享、提高工作效率,可以在linux系统下架设Samba服务器。
关键词:Samba,Linux,smb.conf
参考文献
[1]杨建新,窦林卿.Red Hat Linux 9入门与提高[M].北京:清华大学出版社, 2006.
1、车辆进场停车位少时,车辆无法快速找到车位;
2、顾客离场时无法快速找到车辆;
3、高峰期出口交费处排队严重,出场缓慢;
以上问题带来的后果是停车场车位周转速度下降,同时会影响到对于顾客而言通过停车场对商业中心带来的第一印象。日本很多年前就提出停车场时建筑的“第一大堂”,如今这个观点在新兴的商业中心中应该也非常适用。如何解决停车场运行中的问题,如何为顾客提供便捷的停车服务,提高顾客的认同度,这就需要在停车场设计时考虑合理的设置管理与服务设施。
一、设置剩余车位引导系统,解决车辆如何快速找车位问题
剩余车位引导系统是解决车辆快速寻找车位的有效设施,停车场剩余车位导引系统采用超声波进行定位探测,由系统软件处理后通过剩余车位引导屏和LED车位显示灯共同将车辆引导到空车位上。系统由超声波车位探测器、探测器管理器、LED 车位显示灯、LED 车位信息室内引导屏、户外车位引导屏、系统通信网络(RS485)、中央控制器、车位引导系统管理软件等组成。
并不是所有的停车场都有必要设置剩余车位引导系统,一般建议在车位大于300个的停车场或停车场层数超过3层,设置剩余车位引导系统。
剩余车位引导系统中起前期引导作用的是剩余车位引导屏,它是有效引导的关键,设置时应按下列要求设置:
1、停车场入口处应设置停车场个楼层或区域剩余车位引导屏;
2、车场内部所有的坡道入口处应设置各楼层剩余车位引导屏;
3、车场内部各楼层内交叉路口需安装左、右、前方剩余车位引导显示屏,距离超过50米的直行车道需增设一个车位引导屏。
二、设置反向寻车系统,解决顾客离场时快速找车辆问题
反向寻车系统可以有效的解决顾客大型停车场顾客找车困难的问题,系统采用视频摄像机对经过各区域的车辆进行检测或通过安装在车位前段的定位摄像机,读取车辆牌照信息,确定车辆停放区域或具体位置,在顾客离开时通过寻车查询终端查询车辆停放位置和区域。系统由视频车位检测器、多路视频处理器、交换机、服务器、寻车查询终端、区域定位终端组成。
视频车位检测器安装在每个区域进出口位置或车位的正前上方,对经过或停靠的车辆拍取图像,向系统提供车辆车牌信息;
寻车查询终端安装在顾客进入车场的主要通道处,通过触摸的方式输入车牌号或读卡,终端应具备通过触摸屏上可显示告知车主自身的位置、车辆停放的区域或位置及寻车路线的功能,在设有自助收费终端时可与其合并;
一般建议在车位大于500个的停车场或每层停车场车位数超过200个时,设置剩余车位引导系统。
三、设施合理的收费系统,解决高峰期出口交费处排队严重问题
通过分析出口缴费的动作我们可以分析造成出口缴费排队的原因,主要有三个动作:交卡刷卡过程、缴费过程、开闸后车辆起步过程。这三个过程综合在一起造成了出口收费时间较长,因此我们需要从这三个方面入手。
1、停车场收费管理系统的收费形式可分为出口收费、中央收费、自助收费。不同的收费方式有着不同的特点,适用于不同的类型停车场;
●出口收费是较为传统的收费方式,所有车辆均需到出口处缴费,单辆车辆缴费出场时间长,最快也要30秒以上,在高峰期大量出场时极易引起车辆堵塞。
●中央收费是在停车场内设置集中的人工缴费点,先人工缴费后出场,可以减少车辆在出口的排队时间,单辆车辆通行时间最快可以减少到5-6秒(需要设备配合),一般人工缴费点设置于顾客进入车场的主要通道处;这种收费方式对于多层停车场或顾客进入车场的主要通道较多的停车场并不适用,会大量增加收费人员,运行成本较高。
●自助收费是中央收费的另一种形式,在顾客进入车场的主要通道处设置类似于ATM机的自助缴费机,由顾客自行缴费,先缴费后出场,优点在于节省人员,避免人员接触钱币,同时也可以减少车辆在出口的排队时间。
通过以上分析可以看出中央收费或自助收费可以减少出口收费中缴费过程,提高车辆出口通行能力;但对于特大型停车场而言还应在出口处增加人工收费,避免缴费后长时间未离场需在出口缴费,综合以上分析,各类型停车场收费系统设置形式建议参照下表:
停车场类型
收费方式
小型停车场(地面)
中型停车场
大型停车场
特大型停车场
单层
多层
单层
多层
单层
多层
出口收费
○
○
○
○
○
×
×
中央收费
×
○
×
○
×
×
×
自助收费
○
○
○
○
○
×
×
自助+出口收费
○
○
○
○
○
○
中央+出口收费
×
×
×
○
×
○
×
○表示可选,×表示不选
2、停车场收费系统收费信息载体一般采用IC卡、一次性纸卡、车牌识别等,不同的信息载体有着不同的特点:
●IC卡、一次性纸卡通过闸机时通过时间较长,也就是存在一个交卡刷卡过程和停车起步过程,同时有一定成本;
●车牌识别通过闸机时通过时间短,无需交卡刷卡,也就不需停车后在起步,同时无日常运行成本;
因此采用车牌识别设备,可以有效的减少车辆出厂时交卡刷卡和停车起步的过程,大大提高出场速度。
3、进出场时闸机开启的速度也直接影响车辆进出速度,闸机开启慢时,会让车辆产生停顿,出现停车再起步的过程,如能采用高速闸机,可以有效的降低车辆在读取拍照后车辆在出口处的停滞时间。
综上所述停车收费系统應该推荐使用采用车牌识别为信息载体的自助收费设施,同时配合高速闸机可以有效的提高车辆出场通行能力。
一、课程的任务及性质
Linux是高性能,开放源代码的操作系统,具有广泛的网络应用领域。本课程目的是讲授Linux作为网络操作系统的应用、配置与管理技术,使学生掌握基于Linux系统的网络组建,调试和网络服务器配置的技能和方法。通过对Linux网络应用的学习,使学生对网络组建、网络服务器配置与应用有更全面的认识,能够进行Linux局域网、服务器的日常维护和远程管理,并对网络资源与通信进行有效的管理以提高网络性能,旨在培养面向计算机行业的Linux网络技术人才。
二、课程的教学目标
1、知识教学目标
①理解Linux网络操作系统的概念; ②了解Linux在网络中的应用与前景;
③理解网络服务器概念,理解Linux网络资源与通讯,了解Linux的多媒体技术; ④理解交换空间的概念,以及计划任务和硬件驱动安装; ⑤理解Linux网络资源的备份,提高Linux网络的安全性能; ⑥进一步认识Shell,以及Shell的应用和Shell编程; ⑦Linux网络基础,理解远程管理与控制Linux网络的作用;
⑧深入理解网络配置命令与文件,以及Linux与其它操作系统系统的网络共享;
⑨DHCP服务器,DNS服务器,FTP服务器,SAMBA服务器 NFS服务器,VPN网络技术,WEB服务器(APACHE技术),SQUID代理服务器,FIREWALL技术等的配置、管理与应用; ⑩Linux网络接入技术,Linux局域网组建与无盘Linux系统的网络应用。
2、能力培养目标 ①掌握Shell技术,以及Shell的应用和Shell驱动程序开发;
②掌握Linux网络基础知识,远程管理与控制Linux网络的方法与技术; ④掌握网络配置命令与文件的编辑,Linux与其它系统系统的网络共享技术;
⑤掌握DHCP,DNS,FTP,SAMBA,NFS,VPN网络,WEB(APACHE),SQUID代理等服务器的配置、管理与应用;
⑥掌握Linux FIREWALL等安全技术与方法,及使用Linux下的多媒体技术。
3、思想教育目标
①培养学生理论与实践相结合的能力,及实事求是的正确科学态度; ②树立使用开源软件关乎国家与民族IT产业发展与未来的意识; ③培养学生创新意识和敬业精神,支持国产开源软件产品。
三、教学内容及要求
一、课程理论教学安排 1.Linux网络应用概述 Linux的网络应用现状Linux在网络应用中的特点 Linux的网络领域的发展前景 说明:1)了解Linux的在网络应用中的现状。2)了解Linux在网络应用中的特点与发展。
2.Linux交换空间(swap)与计划任务 1)Linux交换空间概念与技术= 2)Linux swap的使用 3)计划任务的设置与启动 4)Linux计划任务的运行
说明:1)介绍Linux交换空间、计划任务的基本概念、作用。
2.Linux交换空间(swap)与计划任务 1)Linux交换空间概念与技术= 2)Linux swap的使用 3)计划任务的设置与启动 4)Linux计划任务的运行
说明:1)介绍Linux交换空间、计划任务的基本概念、作用。
2)演示Linux交换空间、计划任务使用方法。3)掌握Linux交换空间的设置、启动与运行控制。
3.Linux 硬件驱动的安装使用与SHELL编程
1)硬件驱动的安装与配置:显卡、网卡、声卡、打印机、扫描仪等 2)Linux SHELL编程基础
说明:1)掌握Linux硬件驱动的安装配置。2)掌握的Linux的SHELL编程。4.远程管理与配置Linux系统
1)ssh、服务管理 2)telnet服务管理 3)vnc,putty,webmin软件 说明:1)认识ssh,telnet,putty与vnc。
2)掌握vnc,webmin远程管理与控制软件的应用。5.Linux网络基础
1)Linux网络网络概述 2)Linux常用网络配置命令 3)Linux常用网络配置文件
说明:掌握网络配置命令的使用与编辑网络配置文件,修改网络配置参数。6.Linux 与其它系统的共享
1)samba协议与技术,nfs共享 2)samba,nfs服务的安装、启动与应用 3)打印共享,cups打印服务与打印机配置 说明:1)掌握LINUX samba、nfs协议与应用。2)理解打印共享的服务应用。
3)掌握Linux cups打印服务的配置,远程打印的使用。7.Linux DHCP服务器配置
1)Linux DHCP服务配置文件。2)Linux DHCP客户端的配置。
说明:认识和掌握DHCP服务的配置、测试与应用。8.Linux DNS服务器配置
1)Linux DNS服务配置文件。2)Linux DNS客户端的配置。说明:理解DNS的配置,安装与启动方法。
9.Linux WEB(APACHE)服务器配置
1)Linux WEB服务配置文件。2)Linux WEB客户端的配置。3)APECHE虚拟主配置与应用
说明:理解WEB的配置,安装与启动方法。10.Linux FTP(VSFTP,PROFTP)服务器配置
1)Linux FTP服务配置文件。2)Linux FTP客户端的配置。说明:理解FTP的配置,安装与启动方法。
11.Linux 邮件服务器(sendmail)、代理服务器(squid)配置
1)Linux sendmail与squid服务配置文件。2)Linux sendmail与squid客户端的配置。说明:理解FTP的配置,安装与启动方法。12.Linux的ppp、vpn与网络接入
1)ppp服务,拨号入网 2)vpn技术的配置与应用 3)Linux网络接入技术 说明:掌握ppp、vpn与网络接入基本操作。13.Linux的firewall技术 1)firewall技术原理 2)iptables的安装与配置
2)说明:掌握firewall的基本配置与策略计划。
二、课程实践环节教学安排
3)Linux系统管理课程具有很强的实践性,所以在本课程的实践教学主要以掌握z如下技能的实训教学为主:
4)实训1.远程管理与控制Linux操作系统。实训2.samba服务器设置与应用。实训3.利用shell脚本语言编程实训。实训4.DHCP服务器设置与应用。实训5.DNS服务器设置与应用。实训6.FTP服务器设置与应用。
5)实训7.WEB(APACHE)服务器设置与应用。实训8.NFS服务器设置与应用。实训9.sendmail服务器设置与应用 实训10.Squid服务器设置与应用。实训11.Linux防火墙配置与应用。
四、说明
1、本课程为 3 学分
2、本课程为考试科目
3、本课程为计算机应用、网络专业必修课 6)
4、参考教材:
《Linux网络应用教程》 作者:罗晓广 曾钟健
3、本课程为计算机应用、网络专业必修课
其实,只是一个IP地址和域名相互“翻译”的过程,前者得建立一个指向相应IP地址的域名映射记录;对于后者,此记录已经建立并且在生效了。而这种“翻译”记录的建立,则需要用到同一种被称之为“DNS服务器”的计算机。
DNS服务器用于TCP/IP网络中,它用来通过用户友好的名称代替难记的IP地址以定位计算机和服务。因此,只要你需要用到某个域名的地方,你都得首先确保已为此名字在DNS服务器中作好了相应的和IP地址的映射工作。
本文将以Windows2003自带的DNS服务为例,谈下如何在局域网中完成这个“翻译系统”的组建工作。
一、添加DNS服务
当你安装好Win2003之后,DNS服务并没有被添加进去。依次打开“开始→控制面板→添加/删除程序→添加/删除Windows组件,单击添加或删除Windows组件。在组件列表中,单击网络服务(但不要选中或清除该复选框),然后单击详细信息。单击已选中域名系统(DNS),然后单击确定。
单击下一步,得到提示后,将WindowsServer2003CD-ROM插入计算机的驱动器。安装完成时,在完成Windows组件向导页上单击完成。
二、配置DNS服务器
要使用Microsoft管理控制台(MMC)中的DNS管理单元配置DNS,请按照下列步骤操作:单击开始,指向程序,指向管理工具,然后单击DNS。右击正向搜索区域,然后单击新建区域。当“新建区域向导”启动后,单击下一步。接着将提示您选择区域类型。
区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns文本文件中。
辅助区域:标准辅助区域从它的主DNS服务器复制所有信息。主DNS服务器可以是为区域复制而配置的Active Directory区域、主要区域或辅助区域。辅助DNS服务器上的区域数据无法修改。所有数据都是从主DNS服务器复制而来。
存根区域:存根区域只包含标识该区域的权威DNS服务器所需的资源记录。这些资源记录包括名称服务器(NS)、起始授权机构(SOA)和可能的glue主机(A)记录,
Active Directory中还有一个用来存储区域的选项。此选项仅在DNS服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或Active Directory集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步。
新区域包含该基于Active Directory的域的定位器记录。区域名称必须与基于Active Directory的域的名称相同,或者是该名称的逻辑DNS容器。例如,如果基于Active Directory的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”,接受新区域文件的默认名称。
如何移除根DNS区域
运行WindowsServer2003的DNS服务器在它的名称解析过程中遵循特定的步骤。首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,Microsoft DNS服务器连接到Internet以便用根提示进一步处理DNS请求。当使用Dcpromo工具将服务器提升为域控制器时,域控制器需要DNS。如果在提升过程中安装DNS,会创建一个根区域。这个根区域向您的DNS服务器表明它是一个根Internet服务器。因此,您的DNS服务器在名称解析过程中并不使用转发器或根提示。
这时可以选择将根DNS区域移除。单击开始,指向管理工具,然后单击DNS。展开Server Name,其中Serve Name是服务器的名称,单击属性,然后展开正向搜索区域。右击”.“区域,然后单击删除即可。
如何配置转发器
WindowsServer2003可以充分利用DNS转发器。该功能将DNS请求转发到外部服务器。如果DNS服务器无法在其区域中找到资源记录,可以将请求发送给另一台DNS服务器,以进一步尝试解析。一种常见情况是配置到您的ISP的DNS服务器的转发器。
单击开始,指向管理工具,然后单击DNS。右击Server Name,其中Server Name是服务器的名称,然后单击转发器选项卡。单击DNS域列表中的一个DNS域。或者单击新建,在DNS域框中键入希望转发查询的DNS域的名称,然后单击确定。
在所选域的转发器IP地址框中,键入希望转发到的第一个DNS服务器的IP地址,然后单击添加。
