服务器配置详解.docx

服务器配置详解.docx

《服务器配置详解.docx》由会员分享，可在线阅读，更多相关《服务器配置详解.docx（29页珍藏版）》请在冰点文库上搜索。

服务器配置详解

服务器配置详解

VPN（VirtualPrivateNetwork）即虚拟专用网络，通过一个公用网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。

这是一条穿越公用网络的信息隧道，数据能够通过这条隧道在公用网络中安全地传输。

因此也可形象地称之为“网络中的网络”。

而保证数据安全传输的关键就在于VPN使用了隧道协议，目前常用的隧道协议有PPTP、L2TP和IPSec。

VPN是基于Windows2003，通过ADSL接入Internet的服务器和客户端，连接方式为客户端通过Internet与服务器建立VPN连接。

VPN服务器需要两块网卡，一个连入内网一个连入外网。

Authentication（验证）：

设置哪些用户能够通过VPN访问服务器资源。

在DC上做身份验证。

Authorization（授权）：

检查客户端是否能够拨入服务器，是否符合拨入条件（时刻，协议……）

VPN工作原理：

VPN客户端要求VPN服务器（要求拨入服务器）

VPN服务器要求DC进行身份验证，然后得到授权信息

VPN服务器回应VPN客户端拨号要求。

VPN服务器与客户端建立连接，并开始传送数据。

工作组模型下VPN服务器做身份验证，拨号要求发送至SAM数据库做身份验证。

1.VPN使用的协议（隧道协议）：

PPTP，L2TP

2.PPTP：

点对点传输协议，使用nicrosoftpoint-to-pointencryption（MPPE）加密算法（默认采纳协议）针关于internet。

L2TP：

默认无加密算法，若想使用加密算法，结合IPsec。

针关于internet、X.25、ATM

用户帐号拨入权限：

条件、权限、配置文件决定了客户端是否能够拨入VPN网络。

配置文件包括：

拨入时刻，IP地址范畴，是否支持多链路，何种身份验证，是否加密。

配置过程：

路由和远程访问-远程访问策略-进行相应时刻，配置文件设置

配置VPN服务器步骤如下：

第一安装“路由和远程访问”，或者在运行里输入“rrasmgmt.msc”，在弹出的“路由和远程访问”治理操纵台窗口中，单击配置并启用路由和远程访问，如图所示：

弹出“路由和远程访问服务器安装向导”对话框，单击下一步，选中自定义配置，下一步，选择自定义配置，如图：

选中VPN访问，下一步，如图所示：

单击完成。

在弹出的路由和远程访问对话框中，单击是，如图所示。

赶忙，VPN服务即成功启动。

单击服务器名称-属性，在弹出的对话框中选中IP选项卡，在IP地址指派中选中静态地址池，单击添加，如图所示：

在起始IP地址和终止IP地址编辑框中输入IP地址，单击确定，如图：

单击确定；

提示：

使用静态IP地址池为客户端分配IP地址能够减少IP地址解析时刻，提高连接速度。

起始IP地址和终止IP地址能够自定义一段IP地址（如192.168.0.10至192.168.0.50）如这台主机差不多配置了DHCP服务，也能够选择动态主机配置协议（DHCP），会延长连接时刻。

返回属性对话框，单击确定，完成初步配置操作。

提示：

假如服务器端有固定的IP地址，则客户端可随时与服务器建立VPN连接。

假如服务器采纳ADSL拨号方式接入Internet，则需要在每次更换IP地址后通知客户端，或者申请动态域名解析服务。

给予用户远程连接的权限

出于安全考虑，VPN服务器配置完成以后所有用户均被拒绝拨入到服务上（初始状态）因此需要为指定用户给予拨入权限，操作步骤如下：

1．VPN服务器中右击我的电脑，选择治理。

在弹出的运算机治理窗口，展开本地用户和组，选中用户。

如图：

假如运算机加入了域，则单击AD用户和运算机中的user组中的用户，如图：

2．在test属性对话框中，单击拨入选项卡。

在远程访问权限中选中承诺访问，单击确定，如图所示：

提示：

假如域功能级别为windows2000混合模式，则“通过远程访问策略操纵访问”不可选，提升域功能级别即可。

3．事实上此为安全性最差的拨入方式，建议选中通过远程访问策略操纵访问，这需要在服务器中定制远程访问策略（若为AD域环境下，须将域功能级别提升到03以上）

完成VPN服务器的配置操作，并给予特定用户远程连接VPN服务器的权限以后，还需要在客户端中创建VPN连接并拨入VPN服务器，才能实现对企业内部网络的访问。

客户端创建VPN连接

客户端配置比较简单，只需建立一个VPN的专用连接即可。

假设客户端已建立了一个接入Internet的ADSL连接，创建VPN连接的步骤如下所述：

1.桌面右击网上邻居->属性，打开网络连接。

单击新建连接，如图所示：

2.弹出“欢迎使用新建连接向导”，下一步，网络连接类型页面中选择“连接到我的工作场所的网络”。

下一步，如图所示：

3.选择“虚拟专用网络连接”，下一步；

提示：

假如是第一次建立连接，系统会要求输入所在地区的区号。

假如在建立VPN连接前差不多建立了其他连接（如ADSL接入Internet的连接）则可不能显现该提示。

4.在连接名对话框中，在公司名中，输入连接名称（连接到sungh域）单击下一步；

5.VPN服务器选择中，选择主机名或者IP地址，下一步；

6.可用连接上选择“只是我使用”，单击下一步；

7.在完成新建连接向导中，选择“在我的桌面上添加一个到此连接的快捷方式”，完成；

为了幸免显现成功连接VPN服务器后客户端不能访问Internet的问题，用户还需要对刚刚创建的“企业VPN连接”做简单的配置。

在“网络连接”窗口中右击企业VPN连接->属性,切换至“网络”选项卡，选择Internet协议（TCP/IP），如图；

单击属性，在弹出的对话框中，选择高级，如图；

在“高级TCP/IP设置”对话框的“常规”中取消选中的“在远程网络上使用默认网关”，单击确定，如图所示。

客户端VPN连接配置完毕，用户差不多具备了在VPN服务器和客户端建立VPN连接的条件。

单击桌面上的企业VPN连接，输入用户名和密码（被给予权限的用户名和密码），如图：

成功建立VPN连接以后，能够双击桌面右下角的VPN连接图标查看其状态，如图所示；

如何访问VPN服务器上的共享资源呢，有两种方法：

1）通过“网上邻居”直截了当访问共享资源；

2）通过UNC路径访问，即在地址栏中输入“\\服务器名”或\\服务器地址，通过扫瞄器窗口访问共享资源。

提示：

在成功建立VPN连接后可能会显现客户端和服务端的“网上邻居”窗口中无法找到对方的问题，这时应该检查两者是否均安装了NetBEUI协议。

假如没有应该赶忙安装，通常能够解决该问题。

假如客户端在访问服务器端的共享资源的时候可能会显现长时刻的搜索过程。

假如迟迟找不到服务器，能够使用“搜索运算机”进行搜索。

假如VPN服务器端同时又作为局域网内的一台主机，用户还能够让VPN客户端进一步访问局域网内的其他主机。

这需要VPN服务端开启了路由器功能并启用了IP路由，只是在VPN服务器配置完成后这些功能差不多上默认启用的。

WSUS服务器设置解析

（二）

接着上文WSUS服务器设置解析

（一）介绍

WSUS补丁分发过程：

下载的补丁必须通过WSUS的批准才能分发到客户端，如图所示：

WSUS接入互联网，即与微软的补丁服务器做同步更新，右侧显示出检测到需要做的更新，每个更新前的图标是灰色的，代表此更新没有被批准安装。

选择所有更新，单击“更换批准”，如图弹出对话框；

能够对不同的运算机组设定不同的更新补丁策略，能够设定安装或者仅检测，或者未许可，排除不需要的补丁，如X64的补丁。

设定完成后，WSUS开始对补丁状态进行更换，如图所示。

设置完成后，更新前的图标变成了绿色箭头，这代表此更新被批准安装，现正在下载中，但还没有下载完毕。

假如下载完成，图标会变为蓝色桶状。

自动批准选项的设置：

如手动批准安装较烦，能够设定自动批准安装，如图所示，单击自动批准选项；

能够设定需要补丁更新的运算机组和更新的分类，如图所示；

切换到客户端运算机中，将导出的注册表导入到客户端运算机中，现在，客户端运算机中的任务栏右下角显现更新图标，提示进行更新。

；

点击即可进行安装，

输入systeminfo即可查看进行了哪些更新

补丁分发状况的查看：

若了解客户端补丁的分发情形，能够单击报告，如图所示；

如图，即可查看更新状态。

配置WSUS下游服务器：

新建个主机，欲使其设置成WSUS的下游服务器，做以下设置即可；如图，单击选项-同步选项。

在更新源处填写上游服务器的名称，然后单击储存设置，赶忙同步，如图：

设置下游服务器能够快速的从上游服务器进行补丁更新，且更新补丁速度快于从微软补丁服务器的更新速度。

有效的减少带宽。

适用于父子公司模式；

因为是从上游WSUS服务器进行更新，因此无法对产品分类进行更换；

语言版本也无法更换，

能够设置哪些服务器能够成为下游服务器，如图，在上游服务器中打开C:

\ProgramFiles\UpdateServices\WebServices\serversyncwebservice\web.config，添加如下代码；

注：

win2003-2是指指定的下游服务器的名称（XX域\YY主机）上下游服务器必须在同一域内或有信任关系的两个域内。

随后，在上游服务器中单击IIS信息服务治理器，如图；单击IIS服务器-网站-默认网站-ServerSyncWebService属性，

在弹出的页面中选择名目安全性，单击编辑，

取消勾选“启用匿名访问”，勾选“集成windows身份验证”，

即完成了上游WSUS服务器对下游WSUS服务器进行身份验证的需求，未指定的下游服务器同步上游服务器时就会显现错误。

WSUS导入导出：

假如一个与网络隔绝的局域网内使用WSUS，向局域网内的主机分发补丁，使用WSUS的导入导出即可实现。

WSUS服务器下载的数据包括两部分：

更新文件和元文件。

更新文件储备在文件夹里，元文件储备在数据库中。

更新文件的导入导出直截了当复制文件夹即可。

元文件的导入导出则通过wsusutil.exe工具完成。

存在于C:

\ProgramFiles\UpdateServices\Tools中

因此一个完整的WSUS导入导出应包括三步：

一更新文件的导入导出

二确保源服务器和目标服务器的快速安装文件特性和语言设置完全匹配

三元文件的导入导出

具体实现如下

更新文件储备在E:

\WSUS\WsusContent，将其拷贝出来即可。

假如提示有的文件正在使用，停止UpdateServices服务即可复制

WSUS源服务器和目标服务器必须确保它们在同步选项中的快速安装文件特性和语言设置完全一致，如此才能进行WSUS元文件的导入导出。

假如快速安装文件特性和语言设置不一样，那么会导致源服务器和目标服务器元数据库结构不同，进而无法实现元文件的导入导出。

即要保证将要导入的WSUS服务器中选择-同步选项-更新文件和语言中的设置要与立即导出的WSUS服务器选择一致，如图

元文件的导入导出

借助wsusutil.exe，如图所示：

输入wsusutilexporte:

\wsus.cabe:

\wsus.log；

export表示要进行导出操作，e:

\wsus.cab是导出的数据文件，e:

\wsus.log是导出的日志文件。

完成后，在指定的e盘名目下显现了导出的文件wsus.cab和wsus.log，

将复制文件wsus.cab和wsus.log放到E盘名目下，复制WsusContent文件夹到目标WSUS服务器中，然后输入wsusutilimporte:

\wsus.cabe:

\wsus.log即可实现导入；如图：

导入的时刻较长。

随后，导入的WSUS服务器就能够为客户端分发系统补丁了。