Posted: 2004/6月/02 3:50下午 | IP記錄

歡迎使用Windows NT版Active Server Pages！ 這一章介紹關於系統硬件，軟件，網絡，安全策略的預安裝的事宜。下一部分，我們將從頭到尾一步步地介紹Windows NT的安裝，幫助你設定網絡的配置。

硬件配置

這一部分介紹關於你的計算機和網絡組件的說明和配置的許多事宜。 使用合適的技術會使你的網絡服務器及其相關的系統的性能得到提高。

Internet 是當今計算機行業發展最快的方向. 可以相信，你沉迷於INTERNET的部分原因就是想瞭解那些INTERNET的新前沿領域及其相關技術（包括ACTIVE SERVER PAGES).

對於所有的計算機系統來說，找到一個最好的價格性能比是很重要的。所以我們必須作出一個明智的的選擇，去購買一個易於升級的設備 。可升級設備可以在將來你需要的時候進行升級，提高性能。例如，開始的時候，一個單處理器的系統就可以滿足您只需要,但是，這個 系統應該最終能支持對稱多處理器（多於一個處理器）。

容錯特徵

到你獲得服務器軟件時。注意一定要買一個能容錯的系統。容錯，簡單地說，就是就是指有從某種錯誤安全有恢復者的能力，而不中斷服 務。這種技術中通常的例子就是使用具有雙重服務及支持錯誤檢查和糾正的系統。如果系統的任務特別苛刻，建議你花更多的錢去買一個 容錯性能更好的設備。

任何服務器的最重要的組件，當然是存儲在它上面的數據。像這樣，任何服務器的高性能容錯特徵就應該是通過它的磁盤驅動器容錯子系 統來實現的。這種容錯通常是通過磁盤上的RAID陣列控制器來實現的。RAID是Redundant array of inexpensive disks的首字母縮寫，它提供一種兩個或多個驅動器之間的冗余，從而使丟失數據的可能性達到最小。這種技術已在大部分的高性能 的服務器上使用了。對於那些不能基於RAID技術硬盤的系統，WINDOWS NT用軟件為管理員提供了這種功能。這個技術和WINDOWS NT集成在一起使實現RAID1或磁盤鏡象相對比較容易，這是提供高等級的容錯性能的一個便宜的方法。RAID1也是一個簡單的 實現方法，它唯一的需要就是要有兩個獨立的硬盤，以便有足夠的空間來鏡象需要鏡象的分區。

但是，RAID只是很多可用的保護方法中的一種，最簡單的方法就是磁帶或其他離線型存儲器進行備份，而根本不需要考慮容錯的等級 。當然，在使用磁帶備份時的恢復磁盤錯誤的能力和出錯的時間有關。由於系統的類型和數據丟失量不同，一個系統能從磁盤上恢復一個 小時或幾天之內的錯誤。

X86和RISC

縮寫X86代表INTEL系列微處理器，最新推出的就是PENTIUM II。RISC是 reduce instruction set computing的縮寫。現在WINDOWS NT支持的基於RISC的處理器有DEC Alpha, Motorla Power PC和MIP Platform 等等。Microsoft 已經宣佈只支持Alpha platform ，而不支持其他的了。

注意

為了適用於盡可能多的用戶，這章將同時討論基於X86和RISC的Windows NT的安裝

Posted: 2004/6月/02 3:52下午 | IP記錄

網絡連接事項

對於現在的大部分網絡服務，主要的系統瓶頸就是網絡的帶寬。不辛的是，由於網絡硬件的高花費和每月都在改變的網絡線路，它也是網 絡服務器系統的最大的花費。 由於這個原因，你在選擇網絡線路時必須作一個明智的選擇。

和其他的硬件一樣，網絡的帶寬也必須具有可升級性。升級網絡帶寬也就是購買足夠的帶寬來滿足現在的需要。以下將介紹如何預計帶寬 需要和相關的價格。

估計帶寬需要

估計帶寬需要是一項複雜的工作，由於它所涉及的因素有幾個不是管理員所能控制的，所以不可能精確地計算帶寬的需要。

首先，我們要確定這個系統在INTERNET上所扮演的角色。像提供E_MAIL（SMTP，POP)，和TELNET連接等等 服務的系統，則需要較少的資源，而那些支持視頻，聲音流或複雜的HTML網頁這樣的複雜工作的系統則需要較多的系統資源。一般來 說，系統只需提供幾種服務就可以滿足需要。

另一個重要的估計依據就是反映時間。如果用戶希望得到快速反映，系統必須能支持所希望的服務等級。像批處理進程這樣的苛刻任務越 少，那麼就越容易滿足時間要求，在任何服務隊列中的請求都會得到響應。

最後的依據就是同時在線的用戶的數目，這也是最難估計的。估計這些因素可能需要預先進行測試或參照INTERNET上的有相似服 務的其他系統。

使用帶寬算法

在估計帶寬之前， 你必須理解不同的TCP/IP連接方式的微妙差別。以下以FTP和HTTP傳輸的對比為一個例子：

通過FTP傳輸一個100KB的文件。
傳輸一個包含9個圖片的網頁，他們的總共大小是100KB
在這個例子裡，FTP下載只需要一個TCP連接，這個連接在整個傳輸過程中一直保持打開狀態。然而，HTTP下載時需要為網頁上 的每一個組件（例如，圖片，APPLET等等)向服務器進行通信。雖然每次通信的時間小於1秒，但是當時間量很大時，就會損害服 務器的性能。如果服務器連接的時間是250毫秒，下載這10個服務器組件的時間大約為7秒，(10×250毫秒用於請求，10× 250毫秒用於服務器響應，10×250毫秒用於連接的關閉). 這還不全是從網絡瀏覽器上獲取網頁所需的全部時間。

幸運的是：早期的瀏覽器開發者預計到了這個問題，設計了能同時發出多個HTTP請求的瀏覽器。這個解決方案雖然有一些幫助，但是 仍然受到客戶端的打開的影響。一個28.8K的調製解調器很容易被幾個同時的請求所堵塞。對於大部分的讀者來說，小一個版本的H TTP標準要好一些，它能通過一個持續的HTTP連接把網頁和相關的圖片一同傳到客戶端，這個新標準減少了反覆通信的時間。

你能使用一個簡單的算法來幫助估計INTERNET服務器的帶寬需求。與這種估計唯一相關的因素就是同時連接的客戶的數目的傳輸 文件的平均大小。 公式如下：

（平均文件的大小(KB)×(8數據位＋4楨頭位))×(每天的連接數/每天的秒數)

現在，把下列數據代入公式：

平均文件大小：112KB

每天的連接數： 9,000

通過這些數據，我們得到：

(112×1024(8＋4))(9,000/86,400)

估計結果是1433KB。

記住，1KB不是1000字節，而是1024字節。 而86,400是24小時×60分×60秒。 雖然「INERNET永遠不睡覺」這句話是千真萬確的，但是考慮到商業時間的使用高峰，這個數需要適當地減少。

可用的連接類型

表1列出了大部分ISP通過的INTERNET連接。表中的數據由於地點的不同而有所差別。 它只是提供一個估計價格性能比的尺度。有幾項新技術，包括電纜MODEM和XDSL(它在現存的電話線上運行)，可以以較小的代 價獲得超過10Mbps的帶寬。在這些新技術成為主流以前，以下為幾種可行的選擇。

表1.1 INTERNET連接類型的比較

傳輸方式
 傳輸率
 大約的代價
 
28.8K modem
 28.8Kbps(最好的狀態)
 小於50＄每月
 
ISDN
 64到128Kbps
 高於50＄每月，不包括當地的電話費
 
Fractional T1
 56到512 Kbps
 100＄每月或更高
 
Full T1
 1.54 Mbps
 1000＄每月或更高
 
T3
 45 Mbps
 不定
 

本書的作者推薦的策略是提供足夠數量的帶寬及量好的可升級性。 這種解決方案稱為fractional T1 lines，使網絡管理員能從一個較低的價格開始運行，同時又擁有升級到full T1 lines 的能力。

注意

最新的56K modem技術，對於那些從INTERNET上下載信息的人將很有幫助，但是這並不是一個解決Active Server 連接的好方法。56K 技術只能在下載的時候提高速度，而且它對電話系統很敏感。

如果需求超過了容量怎麼辦

假設網絡服務器比預先想像的訪問率要高，而且連接時間無法滿足日益增長的需要。有幾種方法可以用來解決系統的矛盾：

■ 最簡單（但是最有效）的 解決方法就是增加可以使用的帶寬，如同前面所說的， 從fractional T1升級到 full T1，或增加一個其他的線路。這種選擇會造成費用的增加，因為連接和帶寬的價錢都不便宜。

■ 另一個可選的方法就是減少服務器所能提供的服務。刪除E_MAIL，USENET NEWS,Gopher 或FTP服務，可以減少系統的負擔。這種選擇只有在現有容量遠遠不能滿足需要時才採用的。這種方案和上種方案不同，它只是減少系 統的負擔，並沒有增加系統容量。 這種策略只能在短期內有效， 而且常有副作用。因為你的最終目的是使系統的可用性最大，而不是減少它。

■ 第三個可選方法是減少允許的同時連遠程客戶的數目。 microsoft Internet Information Server(IIS)可以限制同時連接的遠程客戶的數目。減少這個數目就妨礙很多客戶和IIS進行連接，所以這也只能作為最後 的手段。因為系統總是要盡可能地滿足用戶的需要，減少用戶數目會使你的系統喪失很多的商業機會。

用來提高用戶性能的一個相對比較容易的方法就是減少服務器上的圖片的大小和複雜性。要減少圖片的複雜性就必須瞭解服務器發送信息 的類型。簡單地說，計算機生成的圖片應存成GIF格式（Graphical Interchange Format)，最好使用4-bit(16色)。這個標準的不但圖片的質量足夠好，而且能使圖片足夠小。對於連續性的圖片，例如 ： 照片，應該存成JPEG(Toint Picture Expert Group)格式，JPEG是一種丟失性的壓縮格式， 這意味著，有些圖片的質量將會在處理的過程中丟失，但是它具有最好的壓縮率。 高彩色的圖片應該存成JPG格式。見第五章的「HTML基礎」的關於生成高效圖片的章節。
　

你的上游供應商

一個上游供應商（或ISP）就是一個你買他的INTERNET連接的公司。 他又常常是從上一級的通訊公司那裡，例如：AT&T，MCI, Netcom等等，購買INTERNET連接。 所以，選擇一個好的網絡供應商，經常比選擇好的計算機硬件更重要。 那也就是說，你的網絡反應速度在很大程度上決定於網絡的質量，它是受到你的所以供應商的上一級的供應商的影響。

以下幾個標準可以在選擇ISP時考慮：

■ INTERNET 連接和硬件支持的後備力量。

■ INTERNET 連接的輸入和輸出的總吞吐量。

■ 提供的技術支持等級。

■ 從現在或過去的客戶那裡參考。

■ 價格

■ 是否有良好的可合作性。

所有的都應該在你作出決定前進行考慮。

有些ISP還提供一些很重要的附加的服務，這些服務包括硬件的租用，硬盤空間的租用， 為你的站點提前作廣告，提供點擊統計，等等。查詢那些增值服務，可以幫助你得到更多的收益。

在這個前提下，你就可以按我的推薦選擇一個滿足你需要的供應商。

Posted: 2004/6月/02 3:52下午 | IP記錄

軟件配置

我們已經討論一些重要的硬件事項，現在讓我們來討論一下軟件部分。 這一部分我們主要介紹軟件兼容性和事務日誌程序的重要性。

兼容性

確保服務器端和客戶端軟件的兼容，對於當今計算機系統的服務複雜環境來說是及其重要的。一個基於服務器的軟件在投入運行之前必須 進行詳細的性能測試。而且很多軟件包在改變系統配置的時候經常會影響系統的安全性和可靠性。所以，所有的新的服務器軟件組件都必 須在一個非正式運行的系統裡反覆測試。

而且，現在的很多瀏覽器支持一些只是部分瀏覽器才支持的功能，所以，我們要注意使自己的服務器和市場上的各種瀏覽器都兼容。

日誌信息

跟蹤服務器的事務處理對於維護INTERNET系統是很重要的。 這些日誌文件可以幫助你檢測潛在的破壞性活動， 計算服務器的使用量來幫助你預計服務量的增長， 而且可以檢查和統計那些用戶連接到到了你的系統。

IIS 提供了這樣一種日誌功能，它能讓你知道有多少人訪問了你的站點，他們訪問了那些資源，這些請求是從那裡發出的，他們在整個過程中 傳輸了多少數據。這些數據通常是以文本文件的形式存儲起來的，但是IIS 可以把日誌數據直接送入數據庫中。

這些以原始格式存在的數據文件是很難解釋的，但是我們可以使用另一中軟件來處理這些IIS的日誌文件，它能提供綜合的數據報表和 數據分析的功能。這樣的軟件是很有用的，我推薦你去買一個。

Posted: 2004/6月/02 3:53下午 | IP記錄

安全配置

這一部分我們討論和運行與INTERNET相連的網絡服務器相關的一些安全事項。 雖然有好幾項我們已經談過了，但是，新的問題總是不停地備發現。 要象成為一個好的網絡管理員就必須學習現存於INTERNET上的無數的危險。

網絡安全

對於一個基於INTERNET的網絡服務器來說， 防止那些非授權的闖入是最重要而又是最困難的，他們經常會幹一些損害網絡計算機的事情。 他們中的某些人只是為了好玩或挑戰自己的能力， 而另一些人則有一些更陰險的目的。

雖然，沒有一個系統能提供100％的安全保護，但是你可以採取措施把這種危險減少到最小的地步。以下介紹幾條預防措施。

注意

下文介紹了有關防止安全侵入的很多重要信息， 但是這不能算作一個全面的安全策略，新的安全問題經常會在使用的過程中發現。 我們應該在使用的過程中隨時發現問題， 並及時向微軟的站點(www.microsoft.com)或CERT網絡站點(www.cert.org)進行反饋。

數據加密

當數據在網絡服務器和瀏覽器之間進行傳輸時很容易被中途截取，為了保護這些重要的數據， 最常用也最有效的方法就是進行數據加密。

Secure Socket Layer(SSL)在為了服務器和客戶端之間提供了一種高效的集成數據加密方法。這種技術使用了公用關鍵字和對稱關鍵字密文， 同時還使用了數字標識和認證技術。 這就使得服務器端和客戶端能以一種加密的方式進行通訊，同時確保參與通訊者確實是他所宣稱的身份。

SSL只能保護某種類型的INTERNET通訊。 這種保護只有在HTTPS傳輸過程中才有效。 HTTPS是一種加密的HTTP協議，它用於客戶網頁向服務器傳輸數據和從服務器傳輸數據時使用。另外兩個沒有經過加密的協議是 FTP和GOPHER。 由於沒有進行加密，這些使用這些協議的通訊很容易被別人非法闖入。

SSL能提供多種不同等級的加密服務。最高等級的加密使用128位的加密方法。128位SSL加密方法的密碼是2128 種組合中的一個（這個數字連你的計算機也表示不出來）。 專家們認為這種加密方法在理論上是解不開的。由於128位SSL提供的高等級加密保護， 美國政府把它作為軍事專用，不允許向國外出口。但是40位SSL也提供了足夠的加密保護， 這是可以向國外出口的。雖然40位SSL曾今被破解過，但是這個漏洞已經被補上了。 現在，破解一個40位SSL的密碼需要計算機運算31個小時。因此， 只要不是特別重要的數據， 使用這種加密措施已經足夠了。

注意
 
近來美國政府已經允許在某些領域輸出128位SSL，由於這些規則正改變， 我建議你最好去查以下最近的聯邦政府關於加密技術的出口條例。
 

有一個關於使用SSL的問題就是要使系統與之配套。 由於使用SSL過程中的數據加密和INTERNET上的同步數據的傳輸，需要花費計算機系統的很多時間。 你用的加密關鍵字越大，你的處理器所化的時間就會越長。 當你的服務器要使用SSL加密時你一定要確保你的帶寬和處理器的速度能滿足要求。

關於SYN攻擊

有很多的方法可以攻擊基於INTERNET的服務器。 其中的一種容易檢查到的就是SYN攻擊。 SYN攻擊使用INTERNET握手時的SYN（同步字節）。通常在TCP/IP連接的初始化過程中， 首先要發出SYN，或同步的請求。這種請求會得到一個發送給客戶端的反應信號SYN_ACK。如果用一個錯誤的返回地址發送同步 字節，服務器端的反應信息就不會到達客戶端，而且這個連接就會保持半開狀態。

SYN攻擊使服務器充滿無效的半開的TCP/IP連接， 妨礙了服務器的正常服務。 一個這樣的請求就會造成一個半開的TCP連接， 當服務器的連接數目達到了服務器所允許的最大數目時， 其他的正常用戶請求就不能得到響應。這種拒絕連接會使正常的用戶從服務器上得到一個出錯信息。

如果沒有附加的防火牆或代理服務器是無法防止SYN攻擊的 ，這些攻擊造成的損害只有提供系統監視和隨時測試來消除。

監視基於INTERNET的服務器是系統管理員所承擔的一項重要的工作。 檢查系統的負載，反應速度，和容量，還有跟蹤訪問系統的客戶， 這些工作都能從正確配置的WINDOWS NT系統獲得。 監視TCP連接將對檢測SYN攻擊有幫助。

NETSTAT命令可以用來看現存的TCP連接。使用NETSTAT， 打開一個COMMAND PROMPT然後鍵入：

NETSTAT -n -p TCP x

這裡x 表示你希望系統更新統計數據的時間間隔（以秒為單位）， 例如， 如果你需要連續地更新系統的TCP連接的統計數目，就應該如下鍵入：

NETSTAT -n -p TCP 1

這個命令將初始化NETSTAT命令，而且每隔1秒更新顯示的內容。如果只需要看一次TCP統計，可以忽略時間間隔參數。

NETSTAT -n -p TCP

使用NETSTAT可以通過檢測非正常的大量的SYN_RECEIVED狀態來幫助你判別是否存在SYN攻擊。也可以參考微軟的 站點去獲得補丁軟件來解決這個問題。

在TCP/IP上的NETBIOS

WINDOWS NT還為提供了對TCP/IP網絡的其他的遠程管理支持。 當管理員設置好了LMHOST文件和和必要的管理員密碼以後， 就可以連接到一個服務器， 映射網絡驅動器， 使用管理員工具（用戶管理，服務器管理，等等），而且還可以啟動和停止某項服務。 這項支持在基於INTERNET的系統上顯然是應該具備的。但是，就像精明的管理員一樣， 精明的黑客知道如何配置自己的系統來獲得服務器的權限。 取消這種遠程管理在WINDOWS NT 4.0上是很容易的。這也涉及到了在協議層的塊數據的認證。

WINDOWS NT通過把NetBIOS信息壓入TCP/IP數據報中來支持遠程管理和與WAN的連接。 這樣就可以使用戶使用遠程網絡的資源就好像是在使用當地的網絡資源。為了減少相關的安全隱患， 限制WINDOWS NT的接收基於NeBIOS的數據的容量是很有必要的。 你可以要麼用限製作為為NETBIOS信息保留的TCP和UDP端口數，要麼刪除NetBIOS和TCP/IP的連接。

TCP和UDP協議都要通過端口和其他的系統進行通訊。這些端口定義了被初始化的通訊的類型， 某一個特定的應用程序在這個端口上偵聽，當有客戶端程序發出請求時，他就作出反應。例如，HTTP協議使用TCP端口號80，而 FTP協議使用TCP端口好21。 攻擊者通常使用一種叫做端口偵聽技術， 用來確定INTERNET系統上安裝了那種類型的協議。這種端口偵聽可以發現系統的WWW服務，FTP服務，等等。 在TCP/IP基礎上的NETBIOS使用TCP和UDP的端口號139，138和137。 我們應該封鎖那些不必要的TCP和UDP端口來減少端口偵聽的危險，尤其是那些被NETBIOS使用的端口。 封鎖這項端口可以大大地減少被非法遠程侵入的危險。

封鎖不必要的TCP和UDP端口可以通過在網絡控制面板的IP地址對話框中進行配置來完成。 點擊Advanced 按鈕激活Advanced IP地址對話框， 然後點擊Enable Secury 對話框，然後點擊Configure按鈕激活TCP/IP安全對話框， 那裡列出了那些TCP和UDP端口被允許了（見圖1）。

另一種消除遠程管理所帶來的危險的非法就是斷開TCP/IP和NETBIOS接口之間的連接。這項操作應該在網絡控制面板的Bi ndings Page 框中來配置完成。 在Bindings page

中列出了WINDOWS NT網絡組件之間的連接（見圖1.2）。 我們可以這樣來取消NETBIOS和TCP/IP接口的連接， 點擊NETBIOS前面的加號圖標，然後選擇WINS Client(TCP/IP)選項，然後點擊Disable按鈕。 當這個連接被取消時，對話框會反饋應該可視化的表示。 然後點擊OK按鈕完成這項配置。

圖1.1 允許IP安全保護

    圖1.2 取消網絡協議的連接

取消CMD和BAT映射

大部分的計算機都支持批處理文件和腳本， 他們用於那些自動反覆執行的那些任務。 這些文件是有服務器執行的， 他們也考慮造成破壞。 因為IIS 已經作了映射， 使服務器能執行以.BAT 和.CMD為後綴的文件。

你可以取消這些文件的映射，使NT的命令解釋器不能執行這些類型的文件。 你可以點擊START按鈕，然後選擇RUN，輸入REGEDIT，並回車。文件映射的關鍵字在這條設置裡：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentSet/Services/W3SVC/Paramete rs/Scripts Map

在這裡刪除以 .BAT 和.CMD開頭的關鍵字，然後重新啟動IIS。 如果沒有以 .BAT 和.CMD開頭的關鍵字， 那麼就不需要修改。

注意

註冊表編輯器是應該很有用的工具。 但是不正確地修改了註冊表會造成嚴重的問題， 甚至使系統完全崩潰。當你修改註冊表時應該特別小心。

不要安裝FTP和GOPHER服務

安裝FTP和GOPHER 會增加被惡意攻擊的機會。 這些服務會在不同方面對攻擊者有幫助， 例如， 使攻擊得到有關的系統配置的重要信息， 或者使攻擊者有用野蠻的方法破解用戶的ID 和PASSWORD的機會。 例如， WINDOWS NT的FTP服務在登陸是被認為是有關WINDOWS NT的服務項目。這就使黑客很容易就發現了你的機器的操作系統的類型和版本。圖1.3表示了WINDOWS NT 操作系統是如何對任何一個連接者顯示系統的信息。

圖1.3 WINDOWS NT FTP的反應

把不必要和危險的程序改名

有幾個程序在在WINDOWS NT的安裝過程中會被自動地安裝。這些應用程序可以幫助那些潛在的攻擊者來破壞系統的資源。像PCP.EXE（遠程拷貝）和FTP.EXE（FTP 客戶端程序） 應該改名，防止被別人執行。 例如， 把PCP.EXE改成PCP.APP來防止被遠程攻擊者執行。

計算機的安全配置

好的服務器系統配置就意味著自己有了一個安全的公文包。 WINDOWS NT 就提供了一些集成的工具來幫助保護這些重要的信息和檢測可疑的活動。

]

文件系統和磁盤分區

WINDOWS NT 支持兩種不同的文件系統： FAT和NTFS。 FAT兼容性比較好， 它可以被DOS和WINDOWS 95訪問， 然而NTFS則具有很好的安全性。 NTFS是new technology file system 的縮寫， 它在好幾個方面都具有由於FAT文件系統的功能。

n 由於NTFS 跟蹤了使用的目錄和文件的更新，所以它是可恢復的。 當正在進行數據更新時，如果硬盤或電源出現故障，NTFS也能進行恢復。

n NTFS 支持熱安裝。 它可以在操作系統往壞的物理扇區上存儲數據時，進行及時的恢復。 也就是說， NTFS能使操作系統及時地補救向壞扇區上寫的數據，並把它存儲到同樣大小的另一個地方。

n NTFS滿足POSIX.1標準的要求。 一個遵從POSIX.1標準的文件系統， 使系統的文件命名能夠區分大小寫字母， 而且提供一個標誌，記錄這個文件最後一次訪問的時間。還有, 它還支持硬連接，它允許兩個不同的文件指向相同的數據。

n NTFS支持WINDOWS NT的安全模式， 它能實現文件級的校驗和權限檢查。

n NTFS支持更大的分區， 最大為64 exabytes。 這也許遠遠超過了你所需要的分區大小。

n NTFS所支持的文件長度最大為255字節， 包括後綴名。 NTFS保持文件名的 大小寫，但對大小寫進行區分。

n NTFS分區可以減少文件的碎片。 只要有足夠大的空間可以存儲下文件，NTFS算法總是分配鄰近的硬盤空間。

n 文件在NTFS下的可以通過NTFS壓縮來進行壓縮。 這種壓縮方法是很有效的， 它的性能和商用的壓縮程序相似。

NTFS的這麼多的提高確實要付出代價。 NTFS分區需要一部分的空間用來存儲文件的安全信息和關鍵字，所以微軟公司建議NTFS分區至少要有50M 以上的空間。

把數據文件和系統分離對基於INTERNET的系統增加系統安全性是很有必要的。 解決這個問題的最好的方法是建立一個獨立的分區，用來存儲給INTERNET上的用戶訪問的數據。這種配置方法通過在分區上使用 NTFS的安全機制，很容易就可以限制對系統的非法入侵。 這種分區級的配置也使系統很容易管理。詳細內容見後面的章節「WINDOWS NT 安裝」。

檢查系統的事件

檢測和防止非法入侵系統資源的最有效的方法之一就是WINDOWS NT自己的服務器檢查機制，它能幫助發現可疑的活動。

為了從WINDOWS NT的檢查機制得到最大的收益， 你必須定期地檢查這些日誌文件。 然而，如果你從來都不分析和使用這些檢測的日誌文件， IIS會把和WWW，FTP和GOPHER相關的請求信息存儲在特定的文件裡。 所有的WINDOWS NT的系統事件，例如， 文件的訪問， 權限的改變，等等都可以WINDOWS NT的EVENT VIEWER裡看到。 關於 EVENT VIEWER的詳細用法見下一章「事件查看器」。 關於IIS的日誌文件的詳細介紹，見 第二章「安裝和使用Internet Information server 。

使用WINDOWS NT的監督機制，你可以跟蹤系統的每一個操作，甚至是進程級的操作。 由於WINDOWS NT的監督信息是那麼的詳細，以至於它會產生大量的日誌文件。 EVENT VIEWER有一個最大的容量，它很快就會被充滿。 選擇一個合適的監督的範圍是一個很好的主意。

以下是建議用EVENT VIEWER監督的事件

n 登陸和退出時發生的錯誤

n 文件或對象的訪問失敗

n 修改用戶權限失敗

n 用戶和用戶組管理的成功和失敗

n 改變安全策略的成功和失敗

n 重新啟動，關閉和系統安全措施的成功和失敗

IIS 日誌文件包含了有IIS 執行的任何事務的詳細信息。 你應該使用通常的文本編輯器，例如記事本，經常檢查是否有可疑的活動。 以下就是一些可疑的活動的標誌：

n Multi failed command attempts

n Attempts to Access CMD and BAT fles

n Unauthorized upload success failure

Excessive requests a single IP address
　

注意

有一些其他軟件包提供也可以用來幫助查看IIS 日誌文件。 這些軟件讀出加密的日誌文件，以報表的形式表示這些數據， 這使得這些數據更容易過濾和理解。

取消網絡訪問的權限

權限網絡訪問的權限是一個WINDOWS NT 的集成特徵，它可以阻止用戶從網絡上訪問文件，打印資源，和管理員服務。這不會影響IIS的傳輸能力，也就是說，客戶端仍然可以 通過World Wide Web ,FTP 和Gopher來傳輸信息， 因為這種方法是IIS對客戶端的請求的反應。 在與IIS 通訊的過程中，遠程用戶相當於登陸到WINDOWS NT上。

用戶的帳戶策略

作為管理員， 有一種保護你的系統免受用戶的危險操作的方法就是限制他們訪問系統的權限。 這一部分向你介紹許多建立安全帳戶的好方法。

防止WINDOWS NT缺省的帳戶和用戶組造成的危險

在安裝的過程中， 會生成兩個缺省的帳戶， 他們是Administrator 和 Guest . 這就給那些惡意的遠程客戶提供了機會， 他們可以通過猜測這兩個用戶的密碼， 來攻擊這個系統。

幸運的是， 你可以採用幾個步驟，解決WINDOWS NT的缺省帳戶造成的問題。 管理員帳戶是WINDOWS NT 所必須的，不能被刪除，但是它可以改成一個不顯眼的名字，例如：「George」。 管理員帳戶可以通過使用用戶管理器來改名， 如圖1.4所示。

圖1.4 給管理員帳戶的USER ID 改名。

如同名字所表示的，GUEST 帳戶是為以GUEST身份訪問系統而設置的。 提供GUEST訪問是系統的一個大弊端。 這使你無法跟蹤誰訪問了你的服務器，也使得某些人更容易對你的系統進行惡意的攻擊。GUEST帳戶絕對不能使用，應該取消它。 它可以提供用戶管理器來取消；在用戶屬性對話框中（見圖1.5），選擇帳戶禁止的按鈕，然後，點擊OK。

圖1.5 取消GUEST 用戶ID

用戶策略

如俗語所說，一條鏈條的強度決定於它的最弱的環節。 這個原理在系統安全範疇裡也是適用的。 通常在系統安全鏈裡，最薄弱的環節就是用戶端的密碼。一般的合法用戶都不理解密碼的重要性。用戶的密碼通常和他們的配偶，子女， 狗的名字，以及身份證號碼，等等有關。這些黑客都明白這一點。

這個最弱的環節被惡意的黑客所破解已經不是偶然的事了。 密碼破解程序可以不停地搜索那些可能成為密碼的組合。有些程序甚至被設計成在英文或其他外文字典裡搜索每一個單詞。幸運的是，這 裡有幾個方法可以用來減少用戶密碼被破解的危險。

首先但也是最主要的， 授權用戶必須認識到密碼的目的和當今計算機環境的危險性。在這種情況下，沒有受過良好的教育就很難保證系統的安全。

另一個，當其他的方法失敗時，好的密碼和用戶策略也能保證你保護系統。 所有有能力的用戶都應該遵循已下的約定：

n 不能多個用戶公用一個帳戶和密碼

n 密碼必須定期改變

n 密碼必須用密碼破解程序進行試驗（知道它不容易被破解）

n 用戶帳號在一定數目的密碼輸入失敗以後，應該被禁止使用

n 密碼必須有足夠的長度，防止系統密碼的重複使用

n 所有的密碼都應該在最短長度以上，而且盡可能地包含字母和數字

按以上提供的建議來生成密碼，可以幫助你減少很多的這方面的危險。

關於Acceptable Use的陳述

作為好的密碼和用戶策略的補充，你必須告知用戶什麼是計算機系統的Acceptable use。Acceptable use策略由於系統的不同而不同，讓所有授權客戶知道和理解這些策略是很重要的。

假如不辛的事情發生了，系統被破壞了，發生了刑事或民事訴訟時， 是否存在一個公開的成功策略將決定它的成功和失敗。

物理安全

保護系統防止基於網絡的攻擊只是工作的一半。 確保系統的網絡安全是同樣地重要。 一些常用的操作也可以減少非授權的系統訪問。

確保系統存儲在一個安全的區域，不能被客戶端訪問。 最好，把計算機系統裝載在嚴格保護的計算機上。 這些設備應該擁有一些防火，防電源波動，以及對過熱和濕度過大的保護。
如果這種保護是不可行的。 把服務器鎖在櫃子裡，能幫助防止非法破壞服務器。 還有一些其他的預防措施，例如，鎖住軟盤驅動器減少被非授權用戶偷存儲在系統裡的信息。
　

C2安全

C2安全規則是美國國防部在80年代研製的，現在變成了衡量系統安全的標準。C2標準是在DOD的可信計算機系統衡量標準中（或 稱黃皮書）中定義的許多不同等級的安全標準中的一種。 它是當今所有的公司和計算機系統中使用的最多的一種。

在這裡要註明， WINDOWS NT只有在作為一個單一的工作站時才遵從C2標準。 當它和網絡連接時它就不在滿足C2標準。 微軟公司遵從C2標準的檢查器，叫做C2CONFIG，它可以用來衡量WINDOWS NT系統的C2標準（見圖1.6）。 C2CONFIG檢查服務器的配置及詳細信息，發現那些不滿足C2標準或安全性不好的組件。這個工具包括在WINDOWS NT 的資源工具包中，這是一個非常有用的工具包。

以下列出了包括在C2安全標準中的不同的組件

n 系統資源（文件，進程，等等）的所有者必須 可以控制這些資源的訪問權限。

n 操作系統必須禁止非授權用戶重複使用系統對象。 這系統對像包括內存，磁盤空間，等等。 這些標準的目的是為禁止別人在得到權限以前不停地嘗試去訪問系統資源。 例如，在NTFS分區內的文件就不允許被刪除。

n 每一個用戶都必須提高使用一個唯一的USERID和PASSWORD而成為系統的授權用戶。而且，系統必須能夠提供用戶的USE RID和PASSWORD的關聯來跟蹤用戶的所有的操作。

n 系統必須支持系統安全事務的檢查。 這些安全事務的數據一定不能讓非授權的用戶得到。

n 在物理配置上必須能防止外部的損傷。 例如： 封鎖軟盤驅動器，增加電源保護等等。

Posted: 2004/6月/02 3:54下午 | IP記錄

域配置

在開始安裝之前， 檢查一下配置列表是很重要的。 配置列表包括系統的物理配置的詳細信息， 還有系統在網絡系統中扮演的角色。服務器可以被設置成一個域控制器（主域控制器或備份域控制器）， 或一個獨立的服務器。 在安裝以前，你必須作好決定，因為在WINDOWS NT完全安裝以後，如果不重新安裝，就無法把一個主域控制器轉變成一個獨立的服務器，反之也不能。 由於現在的網絡環境和你的服務器在網絡中所扮演的角色， 安裝成為一個獨立的服務器是一個明智的選擇。 這種設置能使你的系統減少由於域級的授權訪問而造成的安全問題，而且也能增加系統的性能。

配置列表

這張列表應該在安裝之前安全列好。

事先準備好所需的全部信息會使安裝更容易。
 
硬件說明：
 
系統的類型和序列號：
 
　
所安裝的內存的類型和數量：
 
　
網卡：
 
類型：
 
IRQ/端口基地址：
 
PCI slot （如果有）：
 
網絡介質的類型（10BaseT,coax,等等）：
 
磁盤子系統：
 
RAID/SCSI控制器的模式和硬件版本：
 
　
物理磁盤的信息（磁盤類型和安裝位置）：
 
　
RAID配置（RAID0，1，5； 硬件方式或軟件方式，等等）：
 
　
系統分區號和大小：
 
　
WWW數據分區號和大小：
 
　
網絡配置
 
主機名：
 
域名：
 
工作站（NETBIOS）名字：
 
工作組/域名：
 
IP 地址：
 
子網屏蔽：
 
缺省網關：
 
域名服務器：
 
用戶信息：
 
管理員的ID和PASSWORD
 

Posted: 2004/6月/02 3:59下午 | IP記錄

WINDOWS NT 安裝

安裝WINDOWS NT是一個相對簡單的工作。 安裝程序和WINDOWS 95的安裝程序很相似。 微軟公司為安裝提供了方便，既可以在DOS下安裝又可以從WINDOWS NT 下安裝。 基於DOS 的安裝程序是WINNT.EXE，而基於WINDOWS NT 的 安裝程序是WINNT32.EXE。由於本章的需要，我們假設是在DOS下安裝。 而安裝WINDOWS NT只需要簡單地在命令行輸入WINNT或WINNT32就可以了。 如果你忘記了這個區別，也不要擔心。 在基於DOS 的安裝程序在WINDOWS NT下不會被執行。

安裝選項

你可以選擇以下的三種方法之一來 安裝這個軟件。

n 生成啟動軟盤。

如果你的軟盤丟失了怎麼辦？ 沒問題， WINDOWS NT的安裝程序業可以生成安裝啟動盤。 你只要轉移到WINDOWS NT的安裝程序所在的子目錄（INTEL機器為I386子目錄，而DEC Alpha的機器為Alpha子目錄 ）， 然後輸入WINNT /OX。這將會運行安裝程序，並提醒你插入一張合適的軟盤，以便生成啟動盤。

n 從CD_ROM上安裝

WINDOWS NT也可以不用軟盤安裝。這種安裝方法會更快一些，但是需要更大的初始空間（啟動文件也必須被拷貝）。 開始安裝， 只要簡單地把WINDOWS NT的安裝CD放入CD_ROM驅動器中，然後轉移到相關處理器的WINDOWS NT版本的子目錄（I386子目錄是INTEL X86機器的安裝程序，MIPS子目錄下是基於MIPS的系統的安裝程序下，ALPHA子目錄是基於DEC Alpha的系統的安裝程序，PPP子目錄下是基於POWER PC的系統的安裝程序），然後輸入WINNT /B 開始無軟盤的安裝。

n 從共享的介質上安裝

從網絡上的某處安裝WINDOWS NT 也是可行的， 就像上一段所描述的從CD_ROM上安裝一樣。 把WINDOWS NT資源所處的網絡位置映射成一個驅動器， 然後轉移到安裝程序所在的子目錄，鍵入WINNT /B。

安裝過程

由於本章的目的， 我們使用三張軟盤來開始安裝WINDOWS NT。 如果是其他的兩種安裝方法（如上所說的CD_ROM和網絡安裝）， 只需要把開始時的命令行改成WINNT /B就可以了。 安裝過程餘下的部分就和軟盤安裝是完全一樣的。

首先要完好無損的軟盤啟動， 也就是插入安裝的啟動盤，然後重新啟動計算機。 這個操作啟動了WINDOWS NT的安裝程序，開始了安裝過程。

當第二張安裝軟盤被插入，WINDOWS NT開始載入保護模式的NT核心程序。 你會看到屏幕突然一閃，然後出現了NT的藍屏幕。在這以後， 安裝程序的歡迎的界面就出現了。

屏幕提供了幾個選項， 你可以通過按合適的鍵來選擇這些選項。

F1 學習更多的關於WINDOWS NT的東西

Enter 安裝WINDOWS NT

R 修復一個損壞了的WINDOWS NT安裝版本

F3 退出安裝

假設沒有不完全安裝的或損壞了的WINDOWS NT存在，按下會車鍵就可以了。

下一個界面描述了WINDOWS NT如何檢測大容量的存儲器。 這是很重要的一步，因為WINDOWS NT檢測出系統現存的所有大容量存儲器是至關重要的。 WINDOWS NT能自動地檢測出所有的軟盤驅動器和基於ESDI/IDE的硬盤控制器，但是SCSI控制器需要特別指定。 有一下的兩個選項：

Enter 繼續進行大容量存儲器的檢測

S 跳過大容量存儲器的檢測

除非WINDOWS NT在前面已經錯誤地檢測出了一個大容量存儲器，我們建議的操作是按會車。

下一個屏幕會提醒你插入第三張軟盤， 代替第二張軟盤，如何按會車。 下面， WINDOWS NT將拷貝和載入大容量存儲設備的驅動程序，並測試現存類型的適配器。WINDOWS NT 4.0的大容量存儲器的安裝界面和WINDOWS NT3.5的安裝界面沒有值得注意改變。在WINDOWS NT4.0中， 微軟停止了對以下設備驅動程序的自動支持：

n Always IN-2000(always.sys)

n Data Technology Corp.3290(dtc329x.sys)

n Maynard 16-bit SCSI adapter (ws33c93.sys)

n Media Vision Pro Audio Spectrum (tmv1.sys)

n Trannor T-128(t128.sys)

n Trannor T-130B(t128.sys)

n Ultrastor 124fEISA Disk Array Controller (ultra124.sys)

如果有上面列出的設備在系統中使用， 仍然可以安裝合適的驅動程序，但是必須從軟盤安裝（或你能記住它在WINDOWS NT CD_ROM中的位置）。

以下是生成驅動程序軟盤的快捷而簡單的方法：

1。 準備好一張格式化好的空的3寸軟盤

2。 拷貝\drvlib\storage\retrired\processor下的所有文件， 在這裡processor決定於在要升級的服務器上使用的CPU的類型（MIPS，I386，或Alpha）。

在WINDOWS NT 安裝程序完成這個檢測過程以後， 被發現的設備就被列出了。 在這時， WINDOWS NT 還可以讓你安裝沒有在上面列出的設備，這些是NT不自動檢測的設備。 下面有兩個可選的選項：

Enter 所有的設備已經被檢測；繼續安裝

S 需要手動安裝附加的設備驅動程序

如果所有的設備都被正確地檢測到了， 按下會車鍵。 WINDOWS NT就會拷貝系統所必須使用的驅動程序和組件。 這些驅動程序包括支持ESDI/IDE硬盤控制器的驅動程序，NTFS的驅動程序，等等。

下一步是同意WINDOWS NT的許可協議。 這一步很重要， 在繼續安裝之前，你應該讀完並理解所有的許可協議。 按下PageDown鍵，顯示許可協議的餘下部分。在協議的最後部分，WINDOWS NT安裝程序提供了兩個選項：

F8 同意協議，繼續安裝

Escape 不同意協議。 這會造成WINDOWS NT 安裝程序退出。 在繼續安裝以前你必須同意遵守這個協議。

假設這個協議是可接受的， 按下F8鍵。

下一步， WINDOWS NT安裝程序開始搜索現存的WINDOWS NT安裝版本。 如果系統上存在一個以前安裝的WINDOWS NT 。安裝程序會讓你選擇是重新安裝，還是更新原有的版本。 更新安裝會保留原有系統的很多帳戶，以及許多特定的應用程序的設置。 如果存在原有的安裝版本，安裝程序會提供以下兩個選擇：

Enter 更新原有的安裝版本

N 重新安裝一份新的NT

如果WINDOWS NT是被安裝在一個空的磁盤分區上，系統就不會出現上述的選擇。我們假設以前沒有老的WINDOWS NT安裝版本。

WINDOWS NT安裝的再下一步就是選定NT的系統分區，及其文件系統類型。 如果在磁盤上已經存在分區了， 安裝程序會把它列出來， 讓你去選擇。 如果磁盤上不存在分區， 安裝程序會檢測現存的物理磁盤，並讓你現在定義分區。 就是磁盤分區已經存在， 安裝程序會提供以下的兩個選項：

Enter 在所選的分區上安裝WINDOWS NT

C 從可用的磁盤空間上建立一個分區

D 刪除一個選中的現存分區

如果系統分區事先已經建立了， 只需要用上下鍵一定亮條來選擇，然後按下會車鍵。 如果系統分區沒有建立，那麼按下C鍵，建立一個合適大小的分區。這個分區的大小必須能滿足所預計的需要。 空間需要在很大程度上決定於增加到WINDOWS NT 上的基於系統的資源（磁帶備份軟件，碎片整理軟件，等等）。有一條好原則就是不要吝惜磁盤空間。 因為在WINDOWS NT安裝好以後在擴大分區的大小是一件很麻煩的事，而且系統分區過小會是系統離線要化更多的時間。

再下一步就是格式化選中的系統分區。 就是這次安裝中，現存的系統分區已經被格式化成FAT文件系統了。基於這個前提，WINDOWS NT會提供以下選項：

n 格式化成FAT分區

n 格式化成NTFS分區

n 把現有分區轉換成為NTFS分區

n 保持現有的分區形式不變

由於系統要使用許多的NTFS特徵（熱安裝，安全性，監督，等等），所以推薦的選項是把現有分區轉換成NTFS分區。 所以，用戶可以使用上下鍵移動亮條，選擇格式化成NTFS分區選項，或選擇把把現有分區轉換成為NTFS分區選項，然後會車。

下一步就是為WINDOWS NT安裝程序指定系統目錄。如果要使系統有最好的安全性，建議你把缺省的\WINNT改成任何其他的名字。 改變系統子目錄的名字可以防止黑客惡意地執行系統目錄下的腳本文件和批處理文件。

WINDOWS NT安裝程序的下一步就是對安裝系統的分區進行檢測錯誤。推薦你在這一部時，按下會車鍵。

在磁盤檢測完成以後， 安裝程序開始拷貝安裝所必須的文件。 當拷貝文件完成時，安裝程序會提醒你這一部分的安裝已經完成了。 如果要繼續安裝，請按下會車鍵。

注意

注意一定要把軟盤從驅動器中取出。

當系統重新驅動時， WINDOWS NT在圖形界面下繼續安裝。

在圖形界面下繼續安裝有以下幾部： 收集關於你的計算機的信息， 安裝WINDOWS NT 網絡， 完成安裝。 繼續安裝， 請按下NEXT按鈕。

經過幾個安裝步驟以後，WINDOWS NT 安裝重新需要一些配置信息，以便安裝能繼續下去。 這時，你可以把前面準備好的配置列表拿出來，同時以安裝光盤作為參考。 然後進入下一部分的安裝。

用戶身份

當WINDOWS NT 安裝程序詢問你的名字的組織名時，你只要在正確的地方輸入，然後按下NEXT按鈕就可以了。

輸入許可信息

WINDOWS NT 需要許可關鍵字，這個關鍵字一般可以在WINDOWS NT 的CD_ROM上或WINDOWS NT的軟件說明書上找到。 在合適的框內輸入CD Key， 然後會車就可以了。

選擇需要的許可模式

WINDOWS NT 的安裝程序現在會提醒你選擇所需的許可模式。 有兩種模式可以選擇： per-server和per-seat許可模式。 per-server許可模式設計成同時只允許特定數目的客戶訪問這個服務器。運行客戶的數目當然決定於你購買的服務器的許可協 議。 per-seat許可模式把注意的焦點放在客戶端計算機的數目上。 它的目的是使客戶端的計算機能訪問到盡可能多的WINDOWS NT4服務器的資源。 同理， 能合法使用NT4服務器資源的客戶數目決定於你購買的WINDOWS NT4的客戶許可協議。

很難確定哪一種許可協議更好一些； 它完全決定於你的系統的工作環境。最好是列好兩張價目表，一張是per-sever的，另一張是per-seat的，然後選擇一 個最合適的。 在作這個估算時一定要考慮到以後的需要。 如果WINDOWS NT 的使用數目在以後會增加， 切記要把這個也要考慮在價格估算中。

如果你使用的是per-server許可模式的版本，選擇Per-Server選項，然後輸入你購買的許可協議的客戶數目。 如果你使用的是per-seat許可模式的版本，選擇Per-Seat選項。 在選擇好以後，按下NEXT鍵繼續。

注意

基於CD_ROM的WINDOWS NT安裝過程中， 也許會出現一個確認對話框，讓你確認的你的許可協議。你只要選擇上I Agree的復選框，然後，點擊OK繼續安裝。

選擇計算機的名字

計算機的名字用來在網絡中唯一確定的你的系統。 由於這個原因， 計算機名字不可以和現有的計算機，工作組，域名同名，而且必須小於16個字符（注意：你的計算機名並不是在INTERNET上的 名字。這個名字叫做主機名， 它會在以後的配置中設定。）。 在文本框中入合適的計算機名字，然後點擊NEXT按鈕。

確定服務器類型

在安裝過程的這一部分， WINDOWS NT 安裝需要知道你想把機器任何使用，是安裝成獨立的服務器，備份域控制器，還是主域控制器。（如果需要的話， 可以參考前面的關於獨立服務器和域控制器的部分。） 你要作出一個合適的選擇。 由於作為WEB 服務器的就是一般不再作為局域網的其他用途，所以我們推薦安裝成獨立服務器模式。 由於以上的原因，我們假設這個WEB 服務器安裝成了獨立服務器模式， 就是先選擇Stand_Alone Server 選擇按鈕，任何點擊NEXT 按鈕。

設置管理員帳戶的密碼

WINDOWS NT安裝程序在安裝的過程中會自動生成一個管理員帳戶（還有其他的）。 原因安全的原因， WINDOWS NT在安裝的過程中需要你輸入管理員密碼。管理員密碼最長15個字符，而且是區分大小寫的。在PASSWORD框內和CONFO RM PASSWORD框內輸入後，在點擊NEXT按鈕。

生成緊急修復盤

在WINDOWS NT因為某種原因而損壞時， 緊急修復盤（ERD）是一個很重要的必須組件。 它存儲了現有系統的全部配置，並且可以用它來恢復系統的這些設置。

在每次系統的配置改變時都必須更新ERD。 例如，增加一個硬盤， 改變分區的大小，增加一個設備驅動程序，用Service Pack更新系統，等等這些改動，都需要更新ERD。這個可以在WINDOWS NT 安裝完成以後，運行RDISK.EXE應用程序來實現。RDISK會更新現有的ERD，如果有必要的話，它會生成新的ERD。

生成最初的ERD，只需要選擇YES選項，任何點擊NEXT繼續。

選擇附件

在這一步，WINDOWS NT 運行安裝者選擇要安裝的組件。 主要的組件組都列出在組件窗口裡。 為了看到這個組件組的詳細內容，只要選中這個組件組，然後點擊Details按鈕。一旦所需要的組件都被選中， 點擊NEXT按鈕繼續安裝。

注意

如果你對要安裝的組件不瞭解，或你需要改變組件的內容。 微軟公司在設計時提供了在WINDOWS NT安裝以後， 再增加和刪除組件的能力。 這可以在控制面板裡通過使用Add/Remove應用程序來實現。

安裝網絡組件

在安裝過程的這一部分，需要安裝和配置你所需的網絡組件。點擊NEXT 繼續。

定義WINDOWS NT 的網絡的連接方式

在安裝過程的這一部分, WINDOWS NT安裝程序需要你的系統要使用的網絡連接的類型。有兩種選擇， 一種是Wired to Network，另一種是Remote Access to Network。

對於大部分用戶，應該選擇 Wired to Network。 但是對於那些正使用modem和那些希望使用Remote Access Service(RAS)的用戶，則應該選擇 Remote Access to Network 。 而且， 對於那些少數使用modem提供INTERNET連接的用戶（例如，由一個ISP提供靜態的IP地址的用戶），Remote Access to Network框是他們唯一可選的。

雖然RAS提供了幾個有利的特徵（通過modem的遠程管理，等等），但是它同樣存在安全問題。 如果安裝RAS，並且配置RAS 使他能接受撥號訪問， 要確保已經採取了一定的安全措施來防止非法入侵。

由於大部分用戶都不用modem, 我們這裡把Wired to Network作為一個例子來說明。 就是選中Wired to Network框以後，點擊NEXT繼續。

注意

如果日後需要Remote Access Service(RAS)，它可以通過控制面板裡的網絡應用程序來安裝。

安裝Internet Informatin Server(IIS)

在安裝過程的這一部分, WINDOWS NT的允許安裝者選擇是否安裝Internet Informatin Server(IIS)。如果你選中了這個復選框，WINDOWS NT安裝程序會自動安裝Internet Informatin Server(IIS)。 我們推薦不要在安裝WINDOWS NT的過程中安裝IIS ，因為IIS的缺省配置不提供足夠強大的安全性， 而且這個安裝過程也不能選中IIS的所安裝的分區。一旦WINDOWS NT 安裝完成了， 就可以安裝和配置IIS 以滿足你所需要的功能。

如果在安裝WINDOWS NT以前，你已經把IIS所要安裝的分區和它的配置都準備好了，你現在就可以安裝IIS了。

檢測網絡適配器

在安裝過程的這一部分， WINDOWS NT安裝程序進行對系統現有的網絡適配器的檢測。只要簡單地點擊Start Search按鈕就可以開始搜索現存的網卡。 如果WINDOWS NT 安裝出現正確地檢測到了系統的網絡適配器， 就點擊NEXT按鈕，繼續安裝。 如果WINDOWS NT 安裝程序不能正確檢測網絡適配器，或根本不能發現網絡適配器的存在，這時你必須手動地點擊Select From List 按鈕， 選擇適合你的機器所安裝的網絡適配器的驅動程序。 假設你的網絡適配器已經檢測正確了，在選中這個復選框以後， 點擊NEXT，繼續安裝。

注意

在WINDOWS NT安裝程序安裝網絡適配器的時候，很少有檢測不正確的情況。 如果安裝程序檢測不到你安裝的網絡適配器， 這個適配器可能沒有正確配置，或和系統裡的其他設備有衝突，或在某項方面有故障。 如果安裝程序不能檢測到網絡適配器， 你可以試著點擊Select from List按鈕，選擇一個合適的驅動程序。如果這也不能解決問題， 就準備去換一個網絡適配器。

選擇網絡協議

在安裝過程的這一部分,WINDOWS NT需要知道你要安裝那些網絡協議。缺省的可用協議是TCP/IP,IPX/SPX, NETBUEI。 TCP/IP協議是在INTERNET上通訊所必須的協議， 必須安裝。 IPX/SPX和 NETBUEI是用於局域網上通訊使用的。雖然基於安全的目的，我們建議不要安裝，但是如果需要的話，也可以安裝。 基於INTERNET的WEB 服務器是不推薦安裝基於局域網的服務的，因為它會嚴重地影響系統的安全性。 可用通過點擊協議描述旁邊的復選框來選擇所需的協議，然後點擊NEXT按鈕繼續。

選擇系統的服務

在安裝過程的這一部分，WINDOWS NT需要知道你要安裝那些網絡服務。缺省的可用服務是RPC 配置服務，NETBIOS接口服務，Workstation服務和Server服務 。 其他的服務可用通過點擊Select from List按鈕，然後進行選擇。 在這些服務中對WEB服務器最有用的是Microsoft DNS Server 服務和Simple TCP/IP Service 服務。 在這次安裝中我們假設安裝了這兩個服務。一旦所需的服務都已經添加，點擊NEXT繼續。

檢查和安裝網絡組件

在安裝過程的這一部分，WINDOWS NT安裝程序讓你檢查前面選擇的網絡組件，協議和服務。如果所有的選擇都是正確的，點擊NEXT繼續。 WINDOWS NT安裝程序就會開始把前面所選的組件安裝到系統上。

提供配置信息

在這個安裝階段， WINDOWS NT安裝程序會向你詢問關於上面選中的網絡組件的詳細信息。在安裝準備好一個配置列表對這一階段的安裝是很重要的。 如果配置列表已經很完備了， 你就可用把所有的信息填入合適的位置。 如果有些信息在這時不是急需的， 你在安裝完成以後還可以修改。

假設這次安裝是遵循嚮導安裝的，而且只安裝所推薦的組件，WINDOWS NT安裝程序會向你詢問有關信息。注意，以下的各步和你選擇安裝的組件有關。

注意

這裡提供的配置建議是WINDOWS NT完成安裝的最小需要。 其他的配置（其他的服務，協議，得到）也可能是需要的，這決定於你的特殊需要。

WINDOWS NT安裝程序首先會向你詢問在上有關階段檢測到的網絡適配器的其他信息。 這和網絡適配器是基於ISA，PCI或Microchannel(gasp!)有關， 詢問的信息有IRQ， 端口基地址，還有連接媒介的類型，甚至PCI slot number。這完全決定於你所有的網絡適配器。當檢查好這些信息後，點擊OK。

下一步，安裝程序詢問系統是否使用DHCP（Dynamic Host Control Protocol)，它通過網絡上的一個DHCP服務器為這個機器分配一個IP地址。 因為WEB服務器應該有一個或幾個靜態的IP地址，而不是動態的地址，所以使用DHCP在這裡是不合適的。應該選擇NO按鈕。

然後安裝程序顯示TCP/IP協議的屬性對話框， 這個多重對話框是你配置TCP/IP屬性的主要界面。

IP地址的一頁需要你提供以下信息：IP地址，子網屏蔽， 和缺省網關。 這些都是系統在基於TCP/IP的網絡（包括INTERNET）上通訊所必須的。 按配置列表的內容輸入詳細信息到文本框內。

另一頁（關於DNS），需要你提供關於系統與INTERNET連接的信息。 主機名的文本框內缺省地填入了前面步驟所提供的計算機名 。注意， 這個名字不一定要和計算機名相同（它在NETBIOS命名相同中使用），如果需要的話可以改變。 系統在INTERNET上是用這個名字的，所以要選擇應該合適的名字。 Domain文本框需要填寫系統名字的後綴，或域名。 這個名字是有InterNIC 註冊的，用來在TCP/IP網絡上確認計算機的身份。 例如， 系統的主機名是WWW， 而域名是ADOMAIN.COM， 用戶就可以用WWW.ADOMIAN.COM來連接這個系統。注意，這也不是用來確認你的計算機的唯一的名字。域名服務器支持使用別名，它允許這個系統使用多個名字。

在Host Name和Domain文本框的下面，是定義系統所使用的域名服務器的地方。 這些IP地址應該由你的ISP提供，通過點擊Add按鈕DSN Service Search Order area來增加你所用的域名服務器。通常， 應該按照可靠性的順序依次添加多個DNS 服務器。 DNS 服務器可以通過上下鍵來確定它的優先權。 當這些信息都已經輸入後， 點擊OK。

檢查協議的連接

在這個安裝階段， WINDOWS NT 讓你檢查協議連接的優先權。 這一步你可以在WINDOWS NT提供的這些協議中設定優先級。優先權越高，服務的質量就越高。如果TCP/IP協議是所選的唯一協議， 就不需要調整這些協議的連接，因為這裡只有一個協議。 如果按照了多於一個的協議， 調整協議連接就有必要了。 通常， 最好保留缺省的協議連接優先級不變。當協議連接檢查過或改過以後， 點擊NEXT。

啟動網絡

這一步是為允許WINDOWS NT網絡組件作準備的。 如果系統的配置不正確， 系統將彈出一個錯誤的消息框，提醒你去再次配置。點擊NEXT，繼續。

把系統加入到一個工作組或域

在網絡組件都已經正確地配置以後， WINDOWS NT按照程序需要你確定你的系統在網絡中的位置。 注意，你的系統可以建立自己的工作組，或加入到一個以存在的工作組，或加入到一個以存在的域中。在這次安裝中， 我們把系統加入到一個名字為WEBSERVICES的工作組。 如果系統要加入到一個已經存在的域中，你必須知道一個管理員級的ID和PASSWORD。如果沒有管理員的權限，WINDOWS NT安裝程序不允許把計算機加入到一個已存在的域中。例如，選擇工作組選項，然後在工作組文本框內輸入WEBSERVICES， 點擊NEXT繼續。

完成安裝

在這個安裝階段，WINDOWS NT已經按前面提供的配置選項安裝完成了。點擊NEXT開始這一部分的安裝。

如果要安裝Microsoft IIS ,安裝程序需要關於安裝和配置IIS的信息。參考前面安裝時所配置的數據，把IIS系統文件和WWWROOT目錄安裝在預定的分 區內。另外，基於你自己的需要，選擇和取消你要安裝的部分。如果FTP和GOPHER不需要，就不要安裝了，因為他們會使系統的 安全出現漏洞。當IIS被正確配置以後，點擊OK按鈕。

下一步， 安裝程序拷貝完成系統安裝的全部所需文件，並建立系統註冊表。在這一步，你可以選擇是否安裝SQL Server ODBC驅動程序，確定系統的時區， 設定顯示器的模式（這時屏幕可能會閃爍），生成緊急修復盤，和保存系統的註冊信息。

在你重新啟動WINDOWS NT以後，系統看起來工作正常，你就必須開始準備安裝IIS。IIS的WWW數據應該安裝在它自己的WEB分區，這樣可以減少系 統被非法入侵的危險。如果WWW分區還沒有建立或格式化，先啟動磁盤管理器來完成這項操作。在分區已經被建立而且被格式化成NT FS格式後，你就可以繼續安裝IIS。你會注意到桌面上有一個指向IIS安裝程序的快捷方式。 IIS的系統文件還在WINDOWS NT 的安裝光盤上，在安裝以前必須把CD_ROM準備好。雙擊IIS安裝快捷方式，執行IIS安裝程序，只選擇那些需要的組件安裝， 在WWW分區上為IIS系統選擇一個合適的安裝目錄。然後，IIS安裝程序開始安裝和配置必須的軟件。

當微軟公司推出IIS2.0和WINDOWS NT4.0時，Active Server Page(ASP)還在開發中。因此，必須從網絡上下載Active Server Page的安裝程序。ASP在微軟的站點上可以得到， 它包括在Micropsoft TechNet subscription中。

最後，安裝完這些必須的組件以後，一定要使用微軟最新推出的Service Pack 軟件包。這可以確保去除那些最近發現的bug和增加那些最近推出網絡系統新功能。

Posted: 2004/6月/02 4:01下午 | IP記錄

管理工具

這一部分介紹一些WINDOWS NT服務器的管理工具，這些工具是和服務器軟件集成在一起的。這些工具提供良好的界面來完成管理功能。

用戶管理器

用戶管理器是一個用來修改WINDOWS NT用戶數據庫的工具。 它提供了一個簡單的界面，可以為用戶分配用戶組，重新設置PASSWORD，允許監督，配置用戶權限，等等（見圖1.7）。它位 於開始菜單中的管理員工具欄中。

圖1.7 Windows NT用戶管理器

事件查看器

事件查看器用來監督系統的全部應用程序和安全事務。 它提供擴展的事務過濾功能可以幫助用戶仔細查看事務的日誌文件（見圖1.8）。 事件查看器也可以確定如何獲取和保留事務的日誌信息。

    圖1.8 Windows NT事件查看器

磁盤管理器

磁盤管理器擴展安裝在這個系統上的硬盤。 一個合法的用戶可以使用這個工具來建立和刪除分區，建立基於軟件的RAID容錯配置， 給邏輯盤分配驅動器號（見圖1.9）。

1.9 WINDOWS NT磁盤管理器

服務器管理器

服務器管理器使授權用戶可以查看和改動現在連接的用戶和正在使用的資源， 可以建立和刪除共享點，啟動和停止服務， 也可以配置服務器對客戶的反應信息（見圖1.10）。

圖1.10 WINDOWS NT的服務器管理器

性能監視器

性能監視器也許是你最常用的工具。 它能跟蹤多種系統資源，還可以以多種方式顯示數據（見圖1.11）。在第8章中的WINDOWS NT4.0概念和規劃中，將對性能監視器的特徵和功能進行詳細的說明。

圖1.11 WINDOWS NT的性能監視器

總結

這一章介紹了如何安裝你的系統和如何使你的系統在INTERNET上運行。注意，一旦你的系統在線以後，你必須繼續維護和監視你 的系統。祝你好運！