【IT168 专稿】让服务器始终高效、稳定地运行,一直是各位网络管理人员的一项本职工作;为了做好这项工作,网络管理人员们可谓动足了脑筋,他们不但自己勤于动手,将平时维护服务器的心得体会及时总结出来,以供日后备用查看,而且还经常到网上与其他网管人员交流共享服务器管理经验,以此拓宽管理思路,提高服务器管理水平。笔者作为一名普通网管,当然也不例外!这不,本文下面的内容就是笔者长期与服务器零距离接触之后,自己感悟出来的一些个性化管理服务器的体会,希望这些体会能帮助各位更精彩地管理维护好自己的服务器!
着眼服务,寻找服务器可疑进程
服务器在运行过程中,可能会突然出现反应迟钝或响应缓慢的现象,遇到这种现象时,网络管理人员往往都会下意识地认为服务器可能中了木马或遭遇了其他可疑进程;只要及时找到可疑进程,并强迫它立即停止运行,一般就能让服务器重新恢复正常运行状态。那如何通过手工方法,快速找到正在服务器中运行的可疑进程呢?
事实上,寻找服务器中的可疑进程并不是什么难事,我们可以进入任务管理器的进程选项设置页面,然后根据服务进程的用户名就能识别出究竟哪些进程来历不明。可事实并非如此简单,因为许多情况下,当我们打开任务管理器窗口中的“进程”选项设置页面时,发现服务器系统并没有提供进程用户名信息;而且在服务器进程选项设置页面中,依次单击“查看”/“选择列”菜单项命令,然后在对应的选项设置窗口中将“用户名”项目选中时(如图1所示),服务器系统仍然不能正常将系统进程的用户名信息显示出来,这样一来我们就无法通过用户名信息识别出究竟是哪些进程是可疑进程了。
 |
| 图1 |
一旦我们遇到无法查看某个服务器进程用户名信息时,可以按照如下步骤来获取进程用户名信息:首先用鼠标逐一单击“开始”、“运行”命令,在其后出现的系统运行框中,输入字符串命令“services.msc”,单击“确定”按钮后,进入到系统的服务列表窗口;其次在该列表窗口的右侧显示区域,找到“Terminal Service”选项,并用鼠标右键单击之,从其后弹出的右键菜单中执行“属性”命令,打开如图1所示的属性设置界面;在该界面中,检查一下“Terminal Service”服务是否运行正常,一旦发现该服务还没有被配置或被意外停止的话,那我们必须单击该界面中的“启动”按钮,将“Terminal Service”服务重新运行起来;之后,我们再次进入到任务管理器“进程”标签页面中,就能发现服务器进程的用户名信息了,根据用户名的熟悉程度我们就会很轻易地找到服务器中的可疑进程了。
着眼注册表,取消服务器域控制器
有时为了某种需要,我们要想让局域网中的一台域控制器恢复成一台普通服务器,要达到这一目的,我们是否需要在域控制器所在的计算机中重新安装系统,并将系统设置为普通服务器角色呢?其实,我们根本不需要耗费那么多精力来重装服务器系统,只需要对注册表中的相关子键进行如下设置,就能快速将服务器的域控制器角色取消,并将它恢复成一台普通服务器:
首先重新启动一下服务器系统,在启动过程中,及时按下F8功能键,以便打开系统的启动菜单;下面在启动菜单中选择“域控制器安全模式”选项,并敲一下回车键,如此一来Windows服务器就会自动以域控制器安全模式进行工作。
其次当屏幕出现域控制器登录窗口时,我们必须以本地计算机的超级管理员帐号登录进本地服务器系统,千万不要以域控制器的超级管理员帐号进行登录,毕竟域控制器的超级管理员帐号权限没有本地计算机的超级管理员帐号权限大。
当成功登录进本地服务器系统后,再用鼠标逐一单击“开始”、“运行”项目,在其后弹出的系统运行框中,输入“Regedit”字符串命令,并单击回车键后,进入系统注册表编辑窗口;在该窗口的左侧列表区域,用鼠标逐一展开“HKEY_LOCAL_MACHINE\System\ControlSet001\Control\ProductionOptions”注册表子键,在对应“ProductionOptions”子键的右侧窗口显示区域中,寻找一下是否存在字符串键值“ProductType”,如果不存在的话,可以用鼠标右击“ProductionOptions”子键,从弹出的快捷菜单中依次单击“新建”、“字符串值”项目,然后把新建好的字符串名称修改为“ProductType”。
接下来用鼠标双击刚刚建好的“ProductType”字符串键值,在其后弹出的数值设置窗口中,将当前的“LanNT”字符串调整为“ServerNT”字符串(如图2所示),并单击一下“确定”,再将本地服务器系统重新启动一下,如此一来服务器系统的域控制器就被自动取消了,服务器也临时变成一台普通的服务器了。当然,以后我们要是还希望服务器转变成局域网的域控制器角色时,可以重新打开服务器系统的注册表编辑界面,将其中的“ProductType”字符串值再次调整为“LanNT”就OK了。
 |
| 图2 |
着眼权限,降低远程管理安全威胁
为了改善服务器的管理灵活性,提高服务器管理效率,许多网络管理人员都启用了远程管理功能,希望能在任何时间、任何地点来管理服务器。不过,要想对服务器成功进行异地管理,用户必须获得超级管理员身份才行;但以超级管理员帐号远程登录服务器,又存在一定的安全风险;那我们能不能以普通的帐号身份,来对服务器进行远程管理维护,从而确保远程管理安全可靠呢?
答案是肯定的,对于安装有不同操作系统的服务器来说,我们可以通过不同的方法来实现!例如,对于普通的Windows 2000服务器系统来说,我们可以逐一单击系统“开始”菜单中的“设置”、“控制面板”命令,打开系统的控制面板窗口,然后双击其中的“管理工具”图标,在其后界面中再双击“终端服务配置”选项;接着进入终端服务配置界面中的RDP-TCP属性设置窗口,然后单击其中的“权限”选项卡,在对应的选项设置页面中,单击“添加”按钮,打开服务器系统的权限选择对话框,在该对话框中我们可以将事先指定的普通帐号选中并导入进来,再给该帐号设置合适的控制权限,就能实现以普通帐号身份来远程管理服务器的目的了;由于普通帐号的权限与超级管理员权限相比要小多了,因此以这种帐号身份来远程管理服务器时,存在的安全威胁就要小许多。
如果服务器安装的是Windows 2003 Server系统的话,那么我们可以逐一单击系统桌面中的“开始”、“运行”菜单命令,打开系统的运行对话框,在其中执行字符串命令“compmgmt.msc”,进入服务器系统的计算机管理窗口。
在该窗口的左侧列表区域,用鼠标逐一展开“计算机管理(本地)”、“系统工具”、“本地用户和组”、“组”分支,在对应“组”分支的右侧显示区域,找到Remote Desktop Users选项(如图3所示),并用鼠标双击之。
 |
| 图3 |
在其后出现的Remote Desktop Users属性设置窗口中,单击“添加”按钮,打开服务器系统的权限选择对话框,在该对话框中我们可以将事先指定的普通帐号选中并导入进来,这样我们日后就能以普通帐号身份来使用远程桌面访问功能,来对服务器进行远程管理和维护了。
着眼参数,让服务器不重新启动
为了保护Windows 2003 Server服务器系统的安全,不少网络管理人员往往会在第一时间到微软官方网站去下载最新的系统安全补丁,不过当将这些安全补丁正确地安装好后,系统总会“强迫”我们将服务器系统重新启动一下。可是由于某种需要,服务器可能24小时都不能停机;面对补丁安装完成之后的“强迫”停机,我们该如何让系统安全补丁在服务器不重新启动的情况下,就能自动生效呢?事实上,并不是所有的系统安全补丁在安装完成后,都要求服务器必须重新启动,对于某些系统补丁我们可以按照如下方法,来让服务器不重新启动就能使补丁程序立即生效:
首先逐一单击系统桌面中的“开始”、“运行”菜单命令,打开系统的运行框,然后在其中执行“cmd”字符串命令,将系统屏幕切换到MS-DOS运行环境。
接着在DOS命令提示符下,借用DOS命令“cd”来进入到系统安全补丁文件所在的目录中,然后在该目录下执行一下字符串命令“xxx /?”,这里的“xxx”就是我们即将要安装的系统安全补丁程序名称;执行完上述命令后,查看一下其后的结果界面,看看即将安装的补丁程序是否支持“-z”参数功能,如果发现该补丁程序支持“-z”参数功能的话,那就意味着即将安装的系统补丁并会强制要求服务器重新启动;下面,我们只要在DOS命令提示符下,再执行一下“xxx -z”之类的字符串命令,就能确保系统会自动安装该安全补丁程序,而且在安装完成之后服务器不需要重新启动就能使当前补丁程序立即生效了。
着眼帐号,让服务器取消访问限制
为了既让局域网中任何一位用户有权访问终端服务器,又能在最大限度内保证终端服务器的安全运行,不少网管人员往往会为所有访问用户开设一个相同的帐号名称来登录Windows终端服务器。但事实上,当多个访问者在用同一帐号同时访问终端服务器时,我们发现在某一时间点上终端服务器仅同意一人来登录进终端服务器,而一旦有用户继续登录服务器的话,那么前一个用户可能就会被终端服务器“赶”出来。那为什么会出现这种现象呢,我们该如何让服务器取消访问限制,允许多个用户同时以相同的一个帐号来登录呢?
事实上,上面的故障现象是由Windows 2003终端服务器默认设置引起的,在缺省状态下Windows 2003终端服务器会自动将“限制每一个用户只能使用一个会话”这一功能启用起来;要想让终端服务器允许多个用户以相同帐号同时登录,我们不妨参照下面的操作步骤,来将终端服务器的“限制每一个用户只能使用一个会话”功能取消掉:
首先以超级管理员身份登录进Windows 2003终端服务器系统中,之后用鼠标逐一展开系统桌面中的“开始”、“设置”、“控制面板”菜单命令,打开系统的控制面板窗口,并在其中双击“管理工具”项目,然后双击“终端服务配置”图标,打开终端服务属性配置界面。
其次在该属性配置界面中,找到“服务器设置”设置项处的“限制每一个用户只能使用一个会话”项目,并用鼠标双击之,在之后弹出的设置界面中(如图4所示),取消“限制每一个用户只能使用一个会话”这一项目的选中状态,并单击一下“确定”按钮,再将服务器系统重新启动一下,如此一来局域网中的所有用户日后即使用同一个帐号名称同时登录终端服务器,终端服务器也不会“拒绝”他们。
 |
| 图4 |
