系统管理员必备的十个Windows服务器管理工具

系统管理员必备的十个Windows服务器管理工具(1)
2010-08-03 15:48 黄永兵译 我要评论(0)
这么多年来，微软已经默默地为我们提供了大量的服务器管理工具，工具多了，烦心的事情也随之而来了，究竟哪一个工具是最好的呢？这个问题可能在很多系统管理员心中一直纠结着，本文列举出我个人最喜欢的10个Windows服务器管理工具，也许正好可以解开你心中那道结。

1、System Center Capacity Planner
你可能会感到奇怪，我为什么要从一个微软已经停止更新的工具开始介绍呢，那是因为我发现System Center Capacity Planner的确是那样的出众，我想提提也无妨，如果你不熟悉这个工具，那我告诉你吧，它是一款可以预算服务器工作负载的工具，根据微软的说法，System Center Capacity Planner已经被System Center Configuration Manager Designer取代了，虽然它已经被其它工具取代，但截至目前仍然可从TechNet和其它第三方网站下载，System Center Capacity Planner运行界面如下图所示。

图 1 永不消逝的System Center Capacity Planner
System Center Capacity Planner官方下载地址：
/en-us/systemcenter/cc137824.aspx
2、PowerShell
微软的服务器产品已经发展到可以使用PowerShell命令执行所有操作的地步，如下图所示，很多新的服务器管理工具实际上都是构建在PowerShell之上的，这意味着任何可从GUI执行的管理任务，也可以通过PowerShell脚本来完成，你可以从这里下载PowerShell 2.0。

图 2 越来越强大的PowerShell
PowerShell官方下载地址：/kb/968929/en-us
3、最佳实践分析器
最佳实践分析器实际上不是一个独立的工具，而是一系列帮助你分析服务器部署的工具集，确保它们遵守微软的最佳实践，微软为Exchange，SQL Server，Small Business Server 和其它服务器产品提供了最佳实践分析器，我们常见的Exchange最佳实践分析器如下图所示。

图 3 Exchange最佳实践分析器
4、安全配置向导
安全配置向导旨在帮助你减少服务器的攻击面，它自动分析你的服务器配置，并给出更安全的配置建议，如下图所示，安全配置向导包含在Windows Server 2008和Windows Server R2中，但也可以从这里下载Windows Server 2003版本。

图 4 安全配置向导，简化安全配置
安全配置向导官方下载地址：
/windowsserver2003/technologies/security/configwiz/default.mspx
5、ADSI Edit
ADSI Edit允许系统管理员手动编辑活动目录数据库，如下图所示，我总是拿它与注册表编辑器比较，注册表编辑器允许你手动修改系统的各种配置参数，但如果使用不当，可能会造成Windows崩溃，ADSI Edit也与此类似，它允许你自由编辑活动目录参数，但如果操作不当，也可能会摧毁活动目录，其后果想必会更严重，因此需要小心使用。

我发现ADSI Edit对于Exchange部署也是很有用的，有时通过常规手段不能移除Exchange公共文件夹，这个时候可以用ADSI Edit试试，或许有意想不到的结果。

图 5 能成事，也能败事的ADSI Edit
6、DCDIAG
虽然域控制器通常都是非常可靠的，但偶尔可能也会出点小问题，特别是有活动目录复制的环境下，包含在Windows服务器中的DCDIAG允许你对域控制器执行完整的故障诊断测试，如下图所示。

图 6 DCDIAG：域控制器故障诊断全靠你了
7、Microsoft文件服务器迁移向导
随着时间的推移，服务器硬件变得越来越强大，有些组织发现可以通过整合文件服务器降低管理成本，包含在文件服务器迁移工具箱中的Microsoft文件服务器迁移向导可以帮助组织合并文件服务器上的内容，如下图所示。

图7 Microsoft文件服务器迁移向导
Microsoft文件服务器迁移向导官方地址：
/downloads/details.aspx?familyid=d00e3eae-930a-42b0-b595-66f462f5 d87b&displaylang=en
8、LDIF Directory Exchange
LDIF Directory Exchange并不是很常用的工具，但它强大的功能给我留下了深刻的印象，因此我决定将它列在这里。

LDIF Directory Exchange是一个导入导出活动目录对象的命令行工具，和ADSI Edit一样，使用这个工具时你必须小心，因为使用不当会打乱你的活动目录，即便如此，它的含金量毋庸置疑，因为你可以用它做一些让你自己都感到很吃惊的事情，例如，你可以从一个域导出所有的用户账号，然后在另一个域利用导出的文本文件重新创建相同的用户账号。

LDIF Directory Exchange包含在Windows服务器中，你可以在命令提示符窗口中输入LDIFDE来使用它，Windows将会显示命令的全部语法，以及可以使用的命令行参数，如下图所示。

图8 LDIF Directory Exchange总是能让你事半功倍
9、服务器核心配置程序
到目前为止，上述所有工具都无一例外全部是由微软发布的，但这里我要浓重介绍一款第三方提供的管理工具：服务器核心配置程序（Server Core Configurator），如下图所示，它是由Guy Teverovsky贡献的一款开源工具。

执行Windows Server 2008核心安装时，安装完成后必须执行一些配置任务服务器才能使用，虽然微软提供了一些PowerShell脚本，但执行初始配置的过程仍然很乏味，服务器核心配置程序提供了一个简单的GUI用于服务器的初始配置，简化了整个配置过程。

图9 想远离PowerShell，就用服务器核心配置程序
10、Microsoft应用程序兼容性管理程序
Microsoft应用程序兼容性管理程序（Microsoft Application Compatibility Manager）属于应用程序兼容性工具箱的一部分，它为各种Windows版本提供了应用程序兼容性列表，当你要过渡到新的Windows颁布时，可以用它检查你使用的应用程序是否与新版本Windows 完全兼容，如下图所示。

图10 应用程序兼容性管理程序，一切尽在掌握中
下一代windows服务器操作系统longhorn简介
服务器操作系统Longhorn的主要特点如下：
统一了旧文件系统
微软将FAT16,FAT32,NTFS等文件系统将统一起来，形成一个叫WinFS的文件系统，该文件系统既非基于NTFS也非基于FAT，是以SQL Server数据库为基础，这样就可以通过文件名称或位置确定数据的位置，而完全不用考虑数据是包含在电子表格、字处理文档还是电子邮件中，因此届时用户对所有文件的操作将是非常抽象并且非常灵活了。

正式对64位处理器硬件支持
Longhorn将是一款正式提供对64位处理器支持的操作系统，包括Intel的安腾（Itanium）和AMD的Hammer等，它们都得到了良好的支持。

内置了安全模块
Longhorn特别强调了TCPA技术，也就是将反病毒技术内嵌在操作系统中，这样可以更加有效地阻止病毒和黑客的侵入，而杀毒软件厂商也可以根据这一标准开发出与Windows 无缝兼容的新版本。

而且，Longhorn也融入了微软的Palladium（微软正在开发之中的安全架构代码的名称）技术，不过该技术需要硬件和软件两方面的支持才能实现。

I/O速度
Longhorn是第一个支持PCI Express技术的操作系统，这样I/O总线的传输速度将达到2.5GB/s，而且最多可以支持32个连接，理论上每秒将能传送9.5GB/s的数据。

Windows服务器安全设置经验详谈(1)
基本的服务器安全设置
安装补丁
安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows update，安装所有的关键更新。

安装杀毒软件
虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。

这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以找出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。

我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理
WINDOWS用户，在WINNT系统中大多数时候把权限按用户(?M)来划分。

在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`)，当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个`IIS匿名用户`所具有的权限。

权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限，并且要加上超管组和SYSTEM组)。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法
我是先创建一个用户组，以后所有的站点的用户都建在这个?M里，然后设置这个组在各个分区没有权限或者完全拒绝。

然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和?M，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。

真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。

当然，如果我有空，我会写我的具体设置方法，很可能还会配上图片。

改名或卸载不安全组件
不安全组件不惊人
我在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的)，这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

然后运行一下，WScript.Shell, Shell.application, work就会被卸载了。

可能会
那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg 文件导入到注册表中(双击即可)，导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。

这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject(`WINNT`)获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是: 【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升
其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范
一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。

另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。

另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。

这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

后记
也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜，但我想我的经验里毕竟还是存在很多正确的地方，有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章，所以我必须写，我不管别人怎么说我，我也不怕后世会有千千万万的人对我唾骂，我一个人承担下来，我也没有娘子需要交代的……
因为这其实只是抛砖引玉的做法，从别人的笑声中，我和我的读者们都可以学到更多有用的东西。

Windows服务器中的负载均衡技术简介
运行Windows 2000的单一计算机可以提供有限级别的服务器可靠性和可伸缩性。

但是，通过将两个或两个以上运行Windows 2000 高级服务器的主机连成群集，网络负载均衡就能够提供关键任务服务器所需的可靠性和性能。

每个主机运行一个所需服务器程序的独立拷贝，诸如Web、FTP、Telnet或e-mail服务器程序。

对于某些服务（如运行在Web服务器上的那些服务）而言，程序的一个拷贝运行在群集内所有的主机上，而网络负载均衡则将工作负载在这些主机间进行分配。

对于其他服务（例如e-mail）只有一台主机处理工作负载，针对这些服务，网络负载均衡允许网络通讯量流到一个主机上，并在该主机发生故障时将通讯量移至其它主机。

网络负载均衡配置概述
网络负载均衡是Windows 2000的一个网络驱动程序。

它的操作对TCP/IP网络栈而言是透明的。

为确保网络性能达到最优，网络负载均衡通常使用一个网络适配器来处理客户到群集的通讯量，而其它对服务器的网络通讯量则经由一个单独网络适配器。

然而，第二个网络适配器是不需要的。

来自负载均衡服务器应用的数据库访问
某些服务器程序需要访问由客户请求来更新的数据库。

当这些程序的负载在群集内得到均衡分配时，相关的更新工作则应保持同步状态。

每个主机均使用一个本地、独立的数据库拷贝，而该数据库在必要时可脱机并入。

另一种方法是，群集主机能够共享对一个独立的网络数据库服务器的访问。

也可以组合使用这些方法。

例如，静态Web网页能够在全部群集服务器间进行复制，以确保快速访问和全面容错。

但是，数据库访问请求将转发至为多个Web服务器进行更新处理的公共数据库服务器。

某些关键任务程序可能需要使用高度可用的数据库引擎以确保全面容错。

逐渐地，具有群集识别能力的数据库软件将得到部署，用以在整个群集模式中提供具有高度可用性与可伸缩性的数据库访问。

Microsoft SQL Server就是一个例子，它能够使用群集服务功能以双节点方式进行部署。

群集服务可确保在一个节点发生故障的情况下，剩余的节点将承担起故障电脑的职责，这样，就能够为Microsoft SQL Server 客户提供近乎连续的服务。

由于两台电脑共享一个公共磁盘子系统，则上述功能是可以实现的。

通过讨论在以下两个群集解决方案之间进行比选是十分重要的。

第一方案，网络负载均衡主要是分配引入的传输控制协议/网际协议（TCP/IP）通讯量；加入这一解决方案的计算机形成一种群集。

第二方案，群集服务主要是提供从一台计算机到另一计算机的故障应急服务；加入这一解决方案的计算机形成另一种群集。

网络负载均衡群集通常运行Web服务器
程序。

群集服务通常运行数据库程序(当与网络负载均衡联合使用时)。

通过将两个群集连接在一起以互补方式发挥作用，用户创建了全面群集解决方案。

网络负载均衡如何工作
网络负载均衡为共同工作且使用两个或两个以上主机群集的Web服务器提供了高度可用性和可伸缩性。

因特网客户使用单一的IP地址(或一个多主主机的一组地址)访问群集。

客户不能将单一服务器从群集中区分开来。

服务器程序不能识别它们正运行于一个群集中。

但是，由于网络负载均衡群集即使在群集主机发生故障的情况下仍能提供了不间断的服务，故而，它与运行单一服务器程序的单一主机大相径庭。

与单一主机相比，群集还能对客户需求做出更迅捷的反应。

网络负载均衡通过在主机发生故障或脱机的情况下将网络通讯量重新指定给其它工作群集主机来提供高度的可用性。

与脱机主机现存的连接虽然丢失，但因特网服务仍然处于可用状态。

在大多数情况下(例如，就Web服务器而言)，客户软件会自动重试发生故障的连接，而且，客户仅需几秒的延迟即可收到响应。

网络负载均衡通过在群集的一个或一个以上虚拟IP地址当中分配引入的网络通讯量来提供伸缩能力。

群集中的主机于是对不同客户请求做出响应，即使是来自同一客户的多重请求也如是。

例如，Web浏览器可能在单一Web网页内获得群集内不同主机处的多重映射。

这就加速了处理过程并缩短了对客户的响应时间。

网络负载均衡使在一个子网上的全部群集主机能够为群集的主IP地址（以及多主主机上的额外IP地址）同时检测引入的网络通讯量。

在每个群集主机上，网络负载均衡驱动程序充当了一个介于群集适配器驱动程序和TCP/IP栈之间的过滤器，以这种方式使主机能够收到一部分引入的网络通讯量。

网络负载均衡使用全面分布式的算法来从统计意义上将引入的客户映射到基于IP地址、端口和其它信息的群集主机上。

在检查收到的数据包时，所有主机均同步执行这种映射以迅速决定哪个主机应处理该数据包。

除非群集主机数量发生变化，该映射会保持不变。

网络负载均衡过滤算法在数据包处理程序方面要比在集中负载均衡程序方面高效得多，而这必须修改并重发数据包。

这就使网络负载均衡能够提供高得多的聚集带宽。

通过直接在群集主机上运行，网络负载均衡的性能并不受某一代处理器或网络技术的局限。

群集通讯量的分配
网络负载均衡控制对从因特网客户到群集内选定主机的TCP与用户数据报协议（UDP）通讯量的分配，做法如下：在配置了网络负载平衡以后，对群集IP地址的引入客户请求由群集内的所有主机收到。

网络负载平衡在这些数据报到达TCP/IP协议软件之前，就对这些
数据报进行过滤以指定TCP和UDP端口。

网络负载平衡只管理TCP/IP中TCP和UDP协议，并以逐端口方式控制它们的活动。

除了流向指定端口的TCP和UDP通讯量之外，网络负载均衡不控制任何引入的IP通讯量。

网络负载均衡不对网际控制报文协议(ICMP)、网际组成员协议(IGMP)、地址解析协议(ARP)或其它IP协议进行过滤。

所有这些通讯量均不加修改地传递给在群集内全部主机上的TCP/IP协议软件。

因为有了TCP/IP的稳定性及其处理重复数据报的能力，其它协议就能够在群集环境内正确运转。

可是，当使用群集IP地址时，你可能预期从特定的点到点TCP/IP 程序(比如ping)中看到重复的响应。

这些程序能够通过为每个主机使用专用的IP地址来避免这种情况的发生。

集中收敛
网络负载均衡主机通过在群集内定期交换组播或广播消息来协调彼此间的活动。

这就使它们能够监控群集所处的状态。

当群集所处状况发生变化时(比如主机故障、脱离或加入群集)，网络负载均衡就会调用一个称为集中收敛的处理过程，在这个处理过中，主机之间将交换消息以确定一个新的、持续的群集状态，并推举一个具有最高优先级的主机充当新的缺省主机。

当群集的全部主机就新的群集状态达成一致时，它们就会将集中收敛的完成记入Windows 2000的事件日志。

在集中收敛期间，除非故障主机没有收到服务，主机将一如继往地处理引入的网络通讯量。

客户对工作主机的请求是不受影响的。

在集中收敛完成时，故障主机的通讯量会重新分配给剩余主机。

负载均衡通讯量将在剩余宿主间分配，从而达成特定的TCP或UDP端口间最大可能的负载均衡。

如果一个主机添加到群集中，集中收敛会允许该主机接管处理端口的任务，并由此使之具备最高的优先级；同时，集中收敛还将使该主机分到它所应负担的负载均衡通讯量份额。

群集扩展不会影响正在进行的群集操作，并且保证对因特网客户和服务器程序而言是以透明方式实现的。

可是，在客户的相似性被选定的情况下，群集扩展会影响到跨越多重TCP连接的客户话路，这主要是因为在连接之间可能将客户映射到不同的群集主机上去了。

网络负载均衡假定只要主机参加了群集宿主间的正常消息交换，那么，它就在群集内处于正常运转状态。

如果其它主机在若干期间均未收到对消息交换的响应，它们就会启动一个集中收敛操作以重新分配先前由故障宿主承担的负载。

你能够控制消息交换的周期和用来决定启动集中收敛操作的通信遗漏次数。

以上两者各自的默认值分别为1000毫秒(1秒)和5次。

由于上述参数不常修改，因此，它们不能在"网络负载均衡属性"对话框中进行设置。

必要时，这些参数可在系统注册表中以手工方式加以调整。

你可能不知道的恶意攻击方式
根据F-Secure公司最新研究发现，SEO(搜索引擎优化)中毒攻击正在逐渐发展，而且这种攻击正变得越来越危险。

然而，很多最终用户和一些网络管理员甚至都还不知道这种威胁的存在。

那么，如何在不影响用户使用互联网搜索功能的前提下，保护企业免受SEO中毒攻击呢？这是本文需要解决的问题。

搜索引擎的普及
网络上信息量非常巨大，如果没有搜索引擎，用户将很难找到自己需要的东西。

从第一个互联网搜索工具Archie出现以来，我们走过了很漫长的路，早期的搜索引擎随后让路给“爬行式”类型的搜索引擎，而爬行式搜索引擎从最开始的WebCrawler，然后再到Magellan、Excite、AltaVista和Yahoo!。

而自2000年以来，谷歌从开始统领搜索行业，虽然最近谷歌受到微软Bing的挑战，但似乎也未能撼动谷歌在搜索界的地位。

有了所有这些搜索引擎，以及每天返回数百万搜索结果，这也成为攻击者诱人的攻击目标。

其中攻击者发动攻击或者传播恶意软件所使用的最普遍的方法就是引诱不知情的网络用户到包含恶意代码的网站。

除了能够将用户直接带到恶意网站外，SEO中毒攻击还能够在受欢迎的合法网站使用跨站脚本攻击技术。

攻击者如何为他们的恶意网站获取更多的流量而不是通过操作搜索引擎，以让攻击者的网址来替代位于搜索结果前列的合法网站的网址》搜索引擎优化的工作原理
SEO技术是指合法网站为了增加其网站流量和使用的搜索引擎优化技术。

当用户使用搜索引擎搜索某关键字或者短语时，他通常只会看搜索结果的第一页或者前两页，所以说，网站在搜索结果中的排列名次越靠前，搜索者就越可能访问你的网站。

SEO这个词最早出现在90年代后期，当时网络设计师刚开始注意到他们如何才能够让他们的网站排在搜索引擎的前几页。

在早期，可以简单地通过在网页的元数据插入热门关键字来操控搜索结果，但是现在搜索引擎算法变得越来越复杂以避免这种问题。

现在，很多搜索引擎将他们的排名标准当作最高的机密，据称，谷歌使用了超过200
个因素，而搜索引擎优化者则使用很多不同的方法，例如：
横向链接相同网站的页面
“关键字堆砌”(在meta标签中或者网页内容中反复使用热门关键字，通常是通过将字体颜色融合到背景中或者放在图片后面，让网站访问者无法看到)，被“塞满”的网页有时候被称为“中毒”网页
“垃圾评论”或者“垃圾索引”(在很多博客的评论中粘贴网站链接)
“链接养殖场”(网站集群，所有集群中的网站都互相链接)。