现在位置:首页 >
发表在 2015年08月 的所有文章
-
Win2003架设邮件服务器
Win 2003架设邮件服务器 很多企业局域网内都架设了邮件服务器,用于进行公文发送和工作交流。但使用专业的企业邮件系统软件需要大量的资金投入,这对于很多企业来说是无法承受的。其实我们可以通过Windows Server 2003提供的POP3服务和SMTP服务架设小型邮件服务器来满足我们的需要。 一、安装POP3和SMTP服务组件 Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添加。 1.安装POP3服务组件 以系统管理员身份登录Windows Server 2003 系统。依次进入控制面板→添加或删除程序→添加/删除Windows组件,在弹出的Windows组件向导对话框中选中电子邮件服务选项,点击详细信息按钮,可以看到该选项包括两部分内容:POP3服务和POP3服务Web管理。为方便用户远程Web方式管理邮件服务器,建议选中POP3服务Web管理。 2.安装SMTP服务组件 选中应用程序服务器选项,点击详细信息按钮,接着在Internet信息服务(IIS)选项中查看详细信息,选中SMTP Service选项,最后点击确定按钮。此外,如果用户需要对邮件服务器进行远程Web管理,一定要选中万维网服务中的远程管理(HTML)组件。完成以上设置后,点击下一步按钮,系统就开始安装配置POP3和SMTP服务了。 二、配置POP3服务器 1.创建邮件域 点击开始→管理工具→POP3服务,弹出POP3服务控制台窗口。选中左栏中的POP3服务后,点击右栏中的新域,弹出添加域对话框,接着在域名栏中输入邮件服务器的域名,也就是邮件地址@后面的部分,如rtj.net,最后点击确定按钮。其中rtj.net为在Internet上注册的域名,并且该域名在DNS服务器中设置了MX邮件交换记录,解析到Windows Server 2003邮件服务器IP地址上。 2.创建用户邮箱 选中刚才新建的rtj.net域,在右栏中点击添加邮箱,弹出添加邮箱对话框,在邮箱名栏中输入邮件用户名,然后设置用户密码,最后点击确定按钮,完成邮箱的创建。 三、配置SMTP服务器 完成POP3服务器的配置后,就可开始配置SMTP服务器了。点击开始→程序→管理工具→Internet信息服务(IIS)管理器,在IIS管理器窗口中右键点击默认SMTP虚拟服务器选项,在弹出的菜单中选中属性,进入默认SMTP虚拟服务器窗口,切换到常规标签页,在IP地址下拉列表框中选中邮件服务器的IP地址即可。点击确定按钮,这样一个简单的邮件服务器就架设完成了。 完成以上设置后,用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。在设置邮件客户端软件的SMTP和POP3服务器地址时,输入邮件服务器的域名rtj.net即可。 四、远程Web管理 Windows Server 2003还支持对邮件服务器的远程Web管理。在远端客户机中,运行IE浏览器,在地址栏中输入https://服务器IP地址:8098,将会弹出连接对话框,输入管理员用户名和密码,点击确定按钮,即可登录Web管理界面。 -
改进Web站点性能的五个方面
对一个电子商务网站来说,需要运用最少的带宽和服务器资源,为更多的客户提供更快捷的服务。而用户对Web站点的满意度,主要以访问速度来衡量。 从用户角度来说,Web站点只有“快”和“慢”之分;用户往往并不要求实现大容量数据传输,而是希望网站在保证性能的同时,能够容纳更多的访问者。Web用户所关心的问题的实质是访问时间。从网络维护角度说,导致时延的潜在因素是多方面的,大致来讲,可以从5个方面改进Web站点的性能:缓冲、压缩、CPU优化、运用内容分发网络(CDN)及客户端软件。 当一个站点访问用户过多时,服务器会超载,站点速度也会随之降低。若增加服务器并运用负载均衡或群集方案,可增加网站访问量,站点的性能也能达到可以接受的水平。但往往出现的情况是,终端用户能够获取较快的访问速度,而预期的访问容量达不到,因此应首先考虑改进网站性能。通过限制对服务器的访问量、避免服务器出现全面缓冲,或者采用纯CDN模式,可以提高页面提交速度,站点能容纳更多的用户。 优化服务器配置 运用更快速的磁盘和更好的网络存取机制,能明显改进网站访问速度。可以运用特定网卡(如Akamba公司的Velobahn)来改进服务器的速度,或是采用相关技术优化网络接口卡的性能。这类方案的核心是设法减轻Web服务器CPU的负荷,使其从繁琐的网络协议处理中“解脱”出来,而集中于页面处理和服务提供。 要尽可能地提升服务器性能,运用成熟的Web服务器加速软件必不可少,在未来几年中,成本低廉、具备高度优化、嵌入式操作系统的Web服务器工具将会出现。 运用缓冲机制 优化网络可升缩性和性能的另一方法是在服务器外围增加缓冲机制。比较流行的方案是为Web服务器增加反向缓冲代理,使服务器能够顺利实现已创建页面的传输,同时在创建动态页面过程中减轻服务器负荷。 缓冲机制比较容易实现,可以自行构建代理程序,也可采用其它基于硬件的产品,如Cobalt Networks的产品CacheRaQ、CacheFlow公司的高端缓冲工具CacheOS。不过购买时须注意,很多硬件缓冲产品实际上是在Linux服务器中运行相关软件来实现缓冲功能的。由于缓冲机制通常不能很好地处理动态生成内容,现在运用已呈下降趋势。对于实时动态页面,若运用缓冲,显示速度会明显减慢。 以用户为中心 通信传输是网络要解决的最重要课题,任何网络厂商都得面对通信和路由方面的难题,要使一个网站能够“贴近”用户,就得在通信传输方案方面下功夫。 可以在访问区间设置多服务器,并运用全局负载均衡设备,如Radware公司的Web服务器导向器优化路由,使用户能够访问到就近站点;也可以运用CDN,如Akamai或SolidSpeed方案,通过将大量动态页面对象,如图像和PDF文件置于靠近用户的缓冲器中,使用户实现对网站内容的就近访问。 若充分运用边缘网络系统(如CDN),Web页面内容会很快到达用户端,面对通信方面的问题也会少得多。不过CDN服务实现成本往往很高,而且操作中须将加速页面重写入相关的缓冲目标,造成一定时延。最近发布的边缘包含(ESI)规范,能够很好地解决在运用CDN时产生的动态页面内容的处理问题。一旦网络成本下降,这类方案将使边缘网传输成为主流。 减小数据量 对传输数据进行压缩,能提高访问速度。一般来说,大量的Web页面传输内容都由图像文件和其它二进制格式文件组成;现在的Web开发人员正设法减少GIF文件对颜色的使用,并调整JPEG格式文件大小。 虽然更高一级的图片文件压缩规范JPEG2000出台尚需时日,但浏览器功能的不断改进使网络中图形图像的快速显示成为可能。对于需要传送大容量图形文件的用户来说,可以不拘泥于标准Web格式而选择更高级的图像格式,如LizardTech公司针对商业用途发布的MrSid和DjVU标准。 随着HTML文档日趋复杂和JavaScript的大量运用,通过减少HTML或JavaScript文档中的空白来压缩页面,能大大减小文件尺寸。基于这种方法,支持HTTP1.1的浏览器能够同时支持GZIP文件编码,在传输前对文件进行压缩。一些Web服务器如Microsoft IIS5.0支持这种方案。 一般理解认为,数据量小即意味着网站传输速度快,然而具体到某个传输对象,必须考虑压缩/解压的时间因素,高度压缩文件用到带宽可能较少,但却不一定能快速提交到终端用户。 不可忽视客户端因素 没有协调一致的客户端操作相配合,压缩、分发、缓冲及其它一些方案终究不能发挥作用。Web用户访问的模式一般是“点击-等待-空闲-点击”,这事实上可以利用闲置时间来下载内容。如果在客户端安装这类软件,能大大提高网站性能。 最后,客户终端系统配置是关键,站点管理员几乎对客户端设置不能施加任何影响。页面不能快速提交,或许原因完全在客户端:终端系统配置脆弱,应用程序运行过多,磁盘存取速度太慢,或是浏览器速度低下。例如,人们在讨论站点速度时,往往忽略了浏览器这一重要因素;提起浏览器,人们自然会想起IE或Netscape,而事实上Opera Software公司的5.0版浏览器速度要快得多。 -
保障远程桌面Web连接安全四项注意
远程网络连接在企业的信息化应用中是一门比较实用的技术。他可以通过各种方式实现,如VPN、远程控制工具等等。不过,远程桌面Web连接也是其中的一个佼佼者。如不少企业,会在企业的门户网站上留一个通向企业内网的接口。这可以让不在公司的员工可以实时的了解企业的信息,也可以让他们在有需要的时候访问相关的内部系统。 简单的说,远程桌面Web连接就是通过与企业的Web服务器连接,从而实现与某台特定计算机的终端服务器之间的通信。最重要的是,在客户端上不需要安装任何的插件。这就使得远程桌面Web连接受到很多网络管理员的青睐。 但是,由于在客户端上不需要任何的设置,这就导致远程连接的安全重任都落在了企业Web服务器的肩膀上。故一些“远程桌面Web连接”的相关软件都提供了很高级别的安全设置。下面笔者就以Windows2003自带的IIS插件为例,谈谈该如何做好远程桌面的Web连接安全设置。 一、是否允许匿名访问 在考虑远程桌面Web连接安全的时候,第一个要考虑的问题就是“是否允许匿名访问”。如果允许用户“匿名访问”,则选择“启用匿名访问”复选框。默认情况下,系统在安装的时候,已经为匿名用户创建了一个公用帐户。当然用户也可以自己设置用户所需要采用的帐户以及相关的权限。匿名用户在访问的时候,也可以不使用用户名与密码登陆,而直接删除系统提供的默认用户帐户与密码即可以访问。 如果不允许匿名帐户登陆,则可以不管这个复选框。不过需要在“用户访问需要经过身份验证”选择具体的身份验证方式。 一般情况下,如果该Web服务器是为公众使用的,则就要启用“匿名访问”。但是,若在这个公用的Web服务器上,还提供企业内部员工访问企业内网的一个通道的时候,就要把这个单独的网页,设置为“用户访问需要经过身份验证”。并且根据企业安全要求的不同,选择合适的身份验证方式。 二、根据安全级别选择合适的身份验证方式 在微软2003服务器系统自带的IIS插件中,主要提供了三种身份验证方式。不同的验证方式对应着不同的安全级别与不同的兼容性。 第一种是“Windows域服务器的摘要式身份验证”。这种认证方式必须要有活动目录的支持,也就是说,他是采取域用户身份验证方式。他主要在网络上发送哈希值,采用密文传输,而不是明文传输。故其安全性是非常高的。另外,这种身份认证方式往往还不受防火墙配置的影响。因为摘要式身份验证方是越过了代理服务器和其他防火墙,与代理服务器和其他防火墙一起工作;并且在Web分布式创作以及版本控制目录中可用。若企业实现了域环境,则这是首选的身份验证方式。 第二种是“基本身份验证”方式。这跟第一种身份验证方式最大的差异就是,前者在网络中传输的是哈希值。而后者则是以明文的方式在网络中传输密码。这种身份验证方式有优点也有缺点。优点是它完全遵循了HTTP规范,故他被大多数的浏览器所支持。不仅微软的IE浏览器支持他;在Linux操作平台上的Mazida浏览器也可以很好的兼容。缺点就是因为其帐户与密码都是明文传输,所以,其安全性方面就得不到保证。 第三种是“NET Passport身份验证”选项。这种身份验证方式,也是不基于操作系统的,跟现在市场上的大部分浏览器都能够很好的兼容。现在很多门户网站提供了“一站式的访问”,即凭借一个网络通行证,可以同时访问博客、邮件、网络商店等等,就是采用了这种技术。NET Passport允许站点的管理员创建独立的用户名与密码,保证对所有启用的NET Passport网站和服务的访问安全。这个身份验证方式,是通过中央服务器来对用户进行身份验证,而不是主控和维护其自己的专用身份验证系统。如此的话,他才可以脱离具体的应用,为访问者提供“一站式帐户”。 在这三种身份认证方式中,笔者倾向与第三种。 一方面,“NET Passport身份验证”选项不受操作系统与浏览器版本的约束。像“Windows域服务器的摘要式身份验证”,必须与活动目录帐户一起运作。这个限制就比较大。不仅需要有一个域环境,而且还需要微软的IE浏览器。一般用户很难同时满足这两个需求。所以,虽然其安全性比较高,但是,仍然不能够得到大范围的应用。 其次,“基本身份验证”方式虽然兼容性比较好,但是,由于其用户名与口令是通过明文传输的,安全上就大打折扣了。所以,也不是上上之选。 而“NET Passport身份验证”不仅兼容性好,而且还提供了“一站式”的访问模式。企业可以把相关的服务,如电子商务、OA系统等等都集成在Web服务器上。然后员工访问不同的应用服务时,不需要频繁的更换帐户。这种处理方式,更加的人性化。三、通过“IP地址与域名限制”,过滤用户的访问 我们通过远程桌面Web访问主要可以分为两类。一类是普通员工的访问,主要是不在公司的时候,以Web服务器为跳板,访问企业内部的系统。另一类就是网络管理员通过这种方式远程管理相关的应用服务器。 为此,就需要根据不同的应用类型,来进行IP地址限制,以提高Web连接的安全性。 如可以把内网的IP地址都禁止掉,只留下网络管理员的IP地址。如此的话,可以限制企业员工在内部网上通过Web连接访问企业内部的应用系统。若员工这么做的话,就如同“脱裤子放屁,多此一举”。因为员工在公司中可以直接通过内部局域网进行访问。 所以,IP地址与域名限制是一种很好的安全控制机制。 四、要求采用安全通道,提高数据传输过程中的安全性 在微软自带的IIS插件中,还支持安全通道的设置。如在“安全通信”页签中,可以为远程桌面Web连接的通信通道进行安全配置。如可以选择“要求安全通道”选项,并且可以选择“要求128位加密”。这样就可以对通信过程中的通信通道采用SSL加密,同时对其中的数据也进行128位的加密,对网络传输的数据实现双重保护。 对于安全性要求比较高的企业,如在门户网站中集成了电子商务模块的企业,则建议采用这种“安全通道”。以最大程度的对数据进行安全防护。 -
WIN2003IIS最小权限分配
将下面的代码放到一个批处理文件里,在服务器上执行即可。 @echo off echo "虚拟主机C盘权限设定" echo "Author:server120.cn" echo "删除C盘的everyone的权限" cd/ cacls "%SystemDrive%" /r "everyone" /e cacls "%SystemRoot%" /r "everyone" /e cacls "%SystemRoot%/Registration" /r "everyone" /e cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e echo "删除C盘的所有的users的访问权限" cd/ cacls "%SystemDrive%" /r "users" /e cacls "%SystemDrive%/Program Files" /r "users" /e cacls "%SystemDrive%/Documents and Settings" /r "users" /e cacls "%SystemRoot%" /r "users" /e cacls "%SystemRoot%/addins" /r "users" /e cacls "%SystemRoot%/AppPatch" /r "users" /e cacls "%SystemRoot%/Connection Wizard" /r "users" /e cacls "%SystemRoot%/Debug" /r "users" /e cacls "%SystemRoot%/Driver Cache" /r "users" /e cacls "%SystemRoot%/Help" /r "users" /e cacls "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e cacls "%SystemRoot%/java" /r "users" /e cacls "%SystemRoot%/msagent" /r "users" /e cacls "%SystemRoot%/mui" /r "users" /e cacls "%SystemRoot%/repair" /r "users" /e cacls "%SystemRoot%/Resources" /r "users" /e cacls "%SystemRoot%/security" /r "users" /e cacls "%SystemRoot%/system" /r "users" /e cacls "%SystemRoot%/TAPI" /r "users" /e cacls "%SystemRoot%/Temp" /r "users" /e cacls "%SystemRoot%/twain_32" /r "users" /e cacls "%SystemRoot%/Web" /r "users" /e cacls "%SystemRoot%/WinSxS" /r "users" /e cacls "%SystemRoot%/system32/3com_dmi" /r "users" /e cacls "%SystemRoot%/system32/administration" /r "users" /e cacls "%SystemRoot%/system32/Cache" /r "users" /e cacls "%SystemRoot%/system32/CatRoot2" /r "users" /e cacls "%SystemRoot%/system32/Com" /r "users" /e cacls "%SystemRoot%/system32/config" /r "users" /e cacls "%SystemRoot%/system32/dhcp" /r "users" /e cacls "%SystemRoot%/system32/drivers" /r "users" /e cacls "%SystemRoot%/system32/export" /r "users" /e cacls "%SystemRoot%/system32/icsxml" /r "users" /e cacls "%SystemRoot%/system32/lls" /r "users" /e cacls "%SystemRoot%/system32/LogFiles" /r "users" /e cacls "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e cacls "%SystemRoot%/system32/mui" /r "users" /e cacls "%SystemRoot%/system32/oobe" /r "users" /e cacls "%SystemRoot%/system32/ShellExt" /r "users" /e cacls "%SystemRoot%/system32/wbem" /r "users" /e echo "添加iis_wpg的访问权限" cacls "%SystemRoot%" /g iis_wpg:r /e cacls "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e cacls "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e cacls "%SystemRoot%/Help" /g iis_wpg:c /e cacls "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e cacls "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e cacls "%SystemRoot%/System32" /g iis_wpg:c /e cacls "%SystemRoot%/Tasks" /g iis_wpg:c /e cacls "%SystemRoot%/Temp" /g iis_wpg:c /e cacls "%SystemRoot%/Web" /g iis_wpg:c /e echo "添加iis_wpg的访问权限[.net专用]" cacls "%SystemRoot%/Assembly" /g iis_wpg:c /e cacls "%SystemRoot%/Microsoft.NET" /g iis_wpg:c /e echo "添加iis_wpg的访问权限[装了MACFEE的软件专用]" cacls "%SystemDrive%/Program Files/Network Associates" /g iis_wpg:r /e echo "添加users的访问权限" cacls "%SystemRoot%/temp" /g users:c /e -
在Windows系统下搭建SVN服务器
前文所述SVN客户端使用的时候,用的SVN服务器通常为外部,例如Google Code的服务器,不过,做为一个程序开发人员,就算自己一个人写程序,也应该有一个SVN版本控制系统,以便对开发代码进行有效的管理。这里我就介绍一个在Windows环境下简单快速搭建SVN服务器的方法。 通常的SVN服务器是搭建在Linux等系统下,例如用Apache+SVN配置,Linux下的SVN性能会非常好,但配置有些繁琐,如果SVN服务器只有自己使用,那么可以直接把SVN服务器搭建在个人Windows环境下使用。 目前较为简单的方案是VisualSVN Server。该SVN服务器是免费的,支持Windows NT, 2000, XP and 2003等环境,安装非常简单。 安装的时候可以选择SVN走http协议还是https协议,http协议速度快一些,而https协议安全性好。两者均可以从浏览器直接访问SVN项目。 安装完成后打开,可以看到一个微软的MMS管理界面,在里面可以轻松添加设置项目。用户权限可以使用Windows的用户,也可以单独新建用户。如果原先有一个SVN数据,则可以在界面上导入原有的SVN数据。 SVN客户端依旧推荐使用Windows下的TortoiseSVN,两者搭配起来,非常好用。 </img /> -
2015年8月28日 模板升级为 v1.5
2015年8月28日 升级为 v1.5 1、新增“模板设置”后台,可设置21项。其中包括:首页公告、评论、底部横幅开关、底部友情链接开关、网站所有“捐赠”链接地址、捐赠开关、“JiaThis分享条”开关、“虾米音乐播放器”、网站统计、侧边栏广告等。 2、给导航加了阴影效果。 3、修正了模板自适应几处细节css。 4、修改了“底部板块”为1182px的长度,半透明显示,以前的太短了。 5、新增侧边栏“虾米音乐播放器”,后台可开启、设置。 6、评论兼容自带评论和多说评论,后台一键切换。 特别说明:Gravatar头像被墙,图像无法显示,请在 include>lib 中找到function.base.php 然后找到下面代码: /* * 获取Gravatar头像 * http://en.gravatar.com/site/implement/images/ * @param $email * @param $s size * @param $d default avatar * @param $g */ function getGravatar($email, $s = 40, $d = 'mm', $g = 'g') { $hash = md5($email); $avatar = "http://www.gravatar.com/avatar/$hash?s=$s&d=$d&r=$g"; return $avatar; } 替换成 /* * 获取Gravatar头像 * http://en.gravatar.com/site/implement/images/ * @param $email * @param $s size * @param $d default avatar * @param $g */ function getGravatar($email, $s = 40, $d = 'wavatar', $g = 'g') { $hash = md5($email); $avatar = "https://en.gravatar.com/avatar/$hash?s=$s&d=$d&r=$g"; return $avatar; } -
Windows 环境搭建iis+php+mysql推荐教程
一、系统约定 环境软件下载后存放位置:X:\Server_Tools 环境软件安装位置:X:\Server_Core PHP安装位置:X:\Server_Core\PHP MySQL安装位置:X:\Server_Core\MySQL Zend Optimizer安装位置:X:\Server_Core\Zend IIS网站站点根目录:X:\wwwroot MySQL 数据库位置:X:\Database Php.ini存放位置:X:\Windows\php.ini My.ini 存放位置:X:\Server_Core\MySQL\my.ini 二、系统环境检查以及准备所需软件 1. 检查系统是否已安装IIS 单击:"开始"-"管理工具",检查是否存在" Internet 信息服务(IIS)管理器 " 2. 查看磁盘分区容量并确定使用策略 打开"我的电脑",查看除 C 区外各个磁盘分区的可用空间容量,使用容量较大的磁盘分区作为 WEB 根目录,且 MySQL 数据库存储目录(Database),尽量不要与 WEB 根目录同在一个磁盘分区内。较小的磁盘分区可以作为服务环境软件的安装目录分区。 3. 下载环境软件 将所有软件均下载存放于Server_Tools文件夹中。 MySQL-essential-5.0.45-win32.msi php-5.2.21-Win32.zip 三、环境部署 1.安装MySQL (1) 安装软件 进入 X:\Server_Tools 文件夹,双击 MySQL-essential-5.0.45-win32.msi ;如图 1 所示: 选择 Custom 自定义安装,如图 2 所示: 点击"Change"更改 MySQL 安装目录,如图 3 所示: 待文件复制安装完毕后,进行 MySQL 设置界面,单击 Finish 。如图 4 所示: 选择 Detailed Configuration 进行详细配置,如图 5 所示: 选择 MySQL 运行模式:Server Machine 如图 6 所示: 选择 MySQL 数据库默认存储方式:Non-Trans Only ( MYISAM) 如图 7 所示: 设定 MySQL 最大连接数:一般设置为 128 - 512 之间的整数。如图 8 所示: 设定 MySQL 网络参数,注意:不要启用 Strict Mode! 如图 9 所示: 设定 MySQL 默认字符集:以用户站点语言为准。如图 10 所示: Windows 环境设定,如图 11 所示: 修改设定 root 用户密码,注意:不要启动远程连接模式! 如图 12 所示: 完成 MySQL 的安装,并启动 MySQL 服务。如图 13 所示: (2) 测试 MySQL 工作是否正常。 打开 cmd 命令提示符窗口,输入命令: 1 MySQL –u root –p 输入密码后,如果能够正常进入 MySQL 控制台则说明 MySQL 安装正常。 (3) 更改 MySQL 数据库目录 a) 打开 cmd 命令提示符窗口,输入命令: net stop MySQL 停止 MySQL 服务运行; b) 打开X:\Server_Core\MySQL\my.ini 找到: Datadir = "X:\Server_Core\MySQL\data" 修改为: Datadir = "X:\Database" c) 将 X:\Server_Core\MySQL\data 文件夹复制到 X:\ ,并重命名为 X:\Database; d) 打开 cmd 命令提示符窗口,输入命令: net start MySQL 启动 MySQL 服务。 e) 重新测试 MySQL 是否工作正常。 (4) 准备 LibMySQL 动态链接库 将 X:\Server_Core\MySQL\bin\libMySQL.dll 文件复制到 -
Windows 环境下如何搭建iis+php+mysql
如何在windows下搭建php环境,“windows2003下如何配置搭建iis+php+mysql环境”一篇,希望可以解决服务器托管、vps主机客户的疑惑。<?XML:NAMESPACE PREFIX = "O" /></o:p> 一.运行环境 系统:windows 2003 R2 SP2 软件:php-5.2和MYSQL V5.0 二、资源文件下载地址 1、php-5.2.0-Win32.zip 下载地址 http://www.php.net/downloads.php 2、MYSQL for WindowsV5.0 下载地址http://dev.mysql.com/downloads/mysql/5.0.html 三、安装php、mysql php解压到c:\php(这个路径可以随意,不过下面要是用到这个路径,请相应修改)下;mysql 解压到c:\mysql目录下。 四、修改配置php.ini C:\WINDOWS找到PHP.INI因为是安装版的PHP所以他在C:\WINDOWS下自动建立了一个PHP.INI文件。用文本编辑器打开, ①搜索extension_dir = "./"改为extension_dir = c:\php\ext 差点忘了说了路径windowns系统要打"\",unix系统要打"/" 下边是PHP.INI里的E文介绍: ; UNIX: "/path1:/path2" ;include_path = ".:/php/includes" ; Windows: "\path1;\path2" ;include_path = ".;c:\php\includes" 搜索分号“;” extension=php_mysql.dll去掉前面的分号";" extension=php_gd2.dll extension=php_mbstring.dll extension=php_mysql.dll ② C:\php\php5ts.dll 复制到 C:\windows\system32 C:\php\libmysqls.dll 复制到 C:\windows\system32 五、修改IIS 1、 控制面版——》管理工具——》Internet服务管理器——》点选“Web 服务扩展”——》在右边窗口点击“添加一个新的 Web 服务扩展”——》扩展名为 “PHP”——》再点击“添加”——》在出现的窗口里填上“C:\PHP\php5isapi.dll” 并确定 然后再点选 Web 服务扩展 PHP 并选择允许。 2、在“默认网站属性”窗口上按 “主目录”标签点“配置”按钮在弹出的“映谢”窗口中点取“添加”按钮,在弹出的“添加/编辑应用程序扩展名映像”对话框中的“可执行文件”文本框中输 入“c:\PHP\php5isapi.dll” “扩展名”文本框中输入“.php”(注意一定要有那个点) 并勾选 "检查文件是否存在"项 3、在“默认Web站点属性”窗口上点取“ISAPI筛选器”标签,点击“添加”按钮,在弹出的“筛选器属性”窗口的“筛选器名称”中输入“PHP” “可执行文件”中浏览选定 “c:\PHP\sapi\php5isapi.dll” A:先停止 IIS 6.0的运行再重新启动IIS 6.0 意在开始对 PHP 加载见图 B:在“默认Web站点属性”窗口上点取“ISAPI筛选器”标签 如果看到 PHP 的箭头绿色且向上 证明 PHP 已经被 IIS 6.0 顺利加载起来了 六、测试 配置完成后 如果想测试 PHP 是否已经安装成功可以在空间里根目录下建立一个文件如 info.php 然后写入下面的语句 <? phpinfo(); ?> 保存后 用IE访问这个文件 http://localhost/info.php 如果能见到这熟悉的页面对配置PHP环境就真正成功了 七、 PHP 优化配置之一 让论坛速度更快 PHP加速设置 PHP加速:Turck MMcache部署实现 Turck MMCache v2.4.7 for PHP v4.3.9 简介说明: 把mmcache.dll文件放在php的extensions目录里面 然后修改php.ini文件: 查找 ;extension=php_zip.dll 在这一句后面加入: zend_extension_ts="c:\php\extensions\mmcache.dll" mmcache.shm_size="64" mmcache.cache_dir="c:\temp" mmcache.enable="1" mmcache.optimizer="1" mmcache.check_mtime="1" mmcache.debug="0" mmcache.filter="" mmcache.shm_max="0" mmcache.shm_ttl="0" mmcache.shm_prune_period="0" mmcache.shm_only="0" mmcache.compress="1" 重启apache或者IIS就可以了 如果加上Zend Optimizer,就属于比较完美的php加速方案了建议考虑加入这个支持用空间(cache缓存的空间如上述配置的目录 mmcache.cache_dir="c:\temp" 里面就会产生缓存文件)换取速度。 此文整理于网络,若有任何争议请联系我们 -
Windows2003系统中IIS 6.0启用Asp支持
在 IIS 6.0 中,默认设置是特别严格和安全的,这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。譬如说默认配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节,并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中,没有张贴限制。导致我们学校里面的应用系统往2003移植经常会出错。这几天走了几个学校发现了一些问题,现汇总解决方案如下。 一、启用Asp支持 Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,还须要独自开启对于 ASP 的支持。 第一步,起用Asp,进入:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许 操纵面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包涵文件 -> 允许 第二步,起用父路径支持。 IIS-网站-主目录-配置-选项-起用父路径 第三步,权限分配 IIS-网站-(具体站点)-(右键)权限-Users完全操纵 二、解决windows2003最大只好上载200K的限制。 先在服务里关闭iis admin service服务 找到windows\\system32\\inesrv\\下的metabase.xml, 打开,找到ASPMaxRequestEntityAllowed 把他修改为须要的值, 然后重启iis admin service服务 1、在web服务扩展 允许 active server pages和在服务器端的包涵文件 2、修改各站点的属性 主目录-配置-选项-起用父路径 3、使之可以上传大于 200k的文件(修改成您要的大小就可以了,如在后头补两个0,就容许20m了) c:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml (企业版的windows2003在第592行,默以为 AspMaxRequestEntityAllowed="204800" 即200K将其加两个0,即改为,现在最大就可以上载20M了。 AspMaxRequestEntityAllowed="20480000" -
保护IIS服务器安全的技巧和工具
通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS)Web服务器才是真正意义上的众矢之的。 高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算(其实许多它们的私有部门也面临着相似的局面)。 正因为如此,我在这里将为预算而头疼的IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。 首先,开发一套安全策略 保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。 网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。 通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。 IIS安全技巧 微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。 1.保持Windows升级 你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。 2.使用IIS防范工具 这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。 3.移除缺省的Web站点 很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的(他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限(将在后面NTFS的部分详细阐述)。 4.如果你并不需要FTP和SMTP服务,请卸载它们 进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。 5.有规则地检查你的管理员组和服务 有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows2000ResourceKit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。 6.严格控制服务器的写访问权限 这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多”作者”的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。 7.设置复杂的密码 我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码(例如”password”或是changeme”或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。 8.减少/排除Web服务器上的共享 如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用命令寻找Everyone/完全控制权限的共享。 9.禁用TCP/IP协议中的NetBIOS 这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。 10.使用TCP端口阻塞 这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。 11.仔细检查*.bat和*.exe文件:每周搜索一次*.bat 和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。 12.管理IIS目录安全 IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。 13.使用NTFS安全 缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。 14.管理用户账户 如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。 15.审计你的Web服务器 审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问,WhosOn会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。 总结 上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。 最后的技巧:登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。