如何在 Windows Server 2003 中创建 Active Directory 服务器
第1步,在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项,打开“配置您的服务器向导”对话框。在欢迎对话框中单击依次单击“下一步”→“下一步”按钮。
2
第2步,配置向导检测网络设置和网络连接是否正常,如果没有发现问题则打开“服务器角色”对话框。在“服务器角色”列表中选中“域控制器(Active Directory)”选项,并单击“下一步”按钮,如图2008112501所示。
图2008112501 选中“域控制器(Active Directory)”选项
3
第3步,在打开的“选择总结”对话框中直接单击“下一步”按钮。如果在当前服务器中安装了终端服务,则会提示用户安装Active Directory将改变终端服务器的安全策略。单击“确定”按钮即可,如图2008112502所示。
图2008112502 单击“确定”按钮
4
第4步,打开“Active Directory安装向导”对话框,在欢迎对话框中单击“下一步”按钮。
小提示:用户也可以在“运行”对话框中输入Dcpromo命令并按回车键来打开Active Directory安装向导。
5
第5步,在打开的“操作系统兼容性”对话框中,提示用户运行旧版本Windows 系统的客户端将无法登录到Windows Server 2003(SP1)系统域中。单击“下一步”按钮,如图2008112503所示。
图2008112503 “操作系统兼容性”对话框
6
第6步,打开“域控制器类型”对话框,在该对话框中需要指定这台Windows Server 2003(SP1)系统服务器担任的角色。如果要创建一个全新的域,则必须选中“新域的域控制器”单选框,并单击“下一步”按钮,如图2008112504所示。
图2008112504 选中“新域的域控制器”单选框
第7步,在打开的“创建一个新域”对话框中,AD可以把域组织成域树,然后把域树组织成森林。如果要创建新域树中的第一个域(也是新森林中的第一个域树),则需要选中“在新林中的域”单选框,并单击“下一步”按钮,如图2008112505所示。
图2008112505 选中“在新林中的域”单选框
第8步,打开“新的域名”对话框,在“新域的DNS全名”编辑框中输入要使用的域名,并单击“下一步”按钮,如图2008112506所示。
图2008112506 “新的域名”对话框
第9步,在打开的“NetBIOS域名”对话框中,需要为新域指定一个NetBIOS域名。因为在企业的局域网中可能运行着Windows 2000系统以前的版本(如Windows 9X系统),这些系统无法识别域名。因此AD域为这些系统准备了一个它们能够识别的域名,即“NetBIOS域名”。默认情况下,安装向导会将域名中分隔符最左边的部分作为NetBIOS域名。用户可以保留默认值,并单击“下一步”按钮,如图2008112507所示。
图2008112507 “NetBIOS域名”对话框
小提示:如果默认设置的NetBIOS域名与网络中其他计算机的名称相同,会提示计算机名称冲突,并自动重新设置NetBIOS域名,如图2008112508所示。
图2008112508 提示用户名称冲突
第10步,打开“数据库和日志文件文件夹”对话框,在这里需要设置两个文件夹的路径。AD域把AD数据库存储为两部分,一部分是AD数据库文件本身,另一部分是事务日志。如果将AD数据库文件存储在NTFS分区中,可以获得明显优于FAT分区的性能。而如果将事务日志文件存储在跟AD数据文件不同的物理硬盘上(且使用不同的IDE通道),则可以实现AD数据库和日志的同时更新,所获得的性能提高同样非常明显。如果计算机中只安装一块硬盘系统,则可以保持默认路径,并单击“下一步”按钮,如图2008112509所示。
图2008112509 “数据库和日志文件文件夹”对话框
第11步,在打开的“共享的系统卷”对话框中,需要为Sysvol文件夹选择一个NTFS格式的分区路径。Sysvol文件夹中存储有AD域中重要的用户配置和控制信息文件(如“系统策略文件”、“默认配置文件”和“登录脚本”等),并且该文件夹会自动地被复制到其他的DC中,实现域信息的同步更新。但是系统对Sysvol文件夹的自动复制需要NTFS分区的支持,这也是在表8-1中所提到的需要一个NTFS分区的原因。本例中硬盘的C区是一个NTFS分区,因此保持默认路径并单击“下一步”按钮,如图2008112510所示。
图2008112510 “共享的系统卷”对话框
第12步,稍等一段时间会打开“DNS注册诊断”对话框,在列出的诊断结果中可以看到出错提示。这是因为这台服务器未正确配置DNS服务,因此这里选中“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框。单击“下一步”按钮,如图2008112511所示。
图2008112511 “DNS注册诊断”对话框
小提示:DNS是AD域的基础,AD会把域控制器和全局目录服务器列表存储在DNS中,因此在网络中存在一台DNS服务器是必需的。当然也可以在安装AD的过程中让安装向导在DC上自动设置DNS服务器,这种方式比较适合对DNS和AD域不熟悉者使用。
第13步,在打开的“权限”对话框中,需要设定用户和组对象的默认权限。其实这里所说的权限主要涉及到RAS(Remote Access Server,远程访问能服务器)的匿名登录问题。因为在NT4域中,RAS在没有匿名登录的域中是无法工作的。如果确信企业网络中的服务器系统均在Windows 2000 Server以上,则建议选中“只与Windows 2000或Windows Server 2003系统操作系统兼容的权限”复选框。因为该选项将关闭RAS服务器的匿名登录,从而提高安全性。单击“下一步”按钮,如图2008112512所示。
图2008112512 “权限”对话框
第14步,打开“目录服务还原模式的管理员密码”对话框,设置一组还原密码。在Windows 2000 Server和Windows Server 2003(SP1)系统的启动过程中,有一个选项可以用来重建被损坏的AD数据库,并把它恢复到内部一致的一个较早期版本。然而这是一把双刃剑,因为重建数据库与破坏数据库在破坏者眼中是一个道理,因此设置还原密码很有必要。单击“下一步”按钮,如图2008112513所示。
图2008112513 “目录服务还原模式的管理员密码”对话框
小提示:设置的还原密码应该符合密码策略,在用户更改或创建密码时会被强制执行该策略。密码策略主要包括以下两个方面:
★不包含全部或部分的用户账户名;
★长度至少为六个字符,必须同时包含英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)和非字母字符(例如,!、$、#、%)四个类别中的三个字母。
第15步,在“摘要”对话框中确认所做的设置正确无误,单击“下一步”按钮开始安装AD。在安装过程中会打开“Windows安装程序”对话框安装DNS服务器,并要求插入Windows Server 2003(SP1)系统安装光盘或指定系统安装源文件。AD的安装过程较漫长,一般需要20~30分钟的时间,如图2008112514所示。
图2008112514 正在安装Active Directory
第16步,安装结束后单击“完成”按钮,并根据提示重新启动计算机即可,如图2008112515所示。
图2008112515 完成Active Directory安装向导
宽带错误代码822
网络访问保护( NAP )强制客户端无响应。某些网络服务或资源可能不可用。如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。
810
已启动计算机与 *** 服务器之间的网络连接,但是 *** 连接未完成。这通常是由于使用不正确的或过期的证书来进行客户端与服务器之间的身份验证所致。请与管理员联系以确保用于身份验证的证书是有效的。
811
无法建立计算机与 *** 服务器之间的网络连接,因为远程服务器未响应。这通常是由于客户端与服务器之间的预共享密钥问题所致。预共享密钥用于保证您在 IP 安全设臵( IPSec )通信周期中所表明的身份。请向管理员寻求帮助以确定预共享密钥问题来自何处。
812
由于 RAS/*** 服务器上配臵的某个策略,连接被阻止。特别是,服务器用于验证用户名和密码的身份验证方法可能与连接配臵文件中所配臵的身份验证方法不匹配。请与 RAS 服务器的管理员联系并将此错误通知给他们。
813
建立了前一个宽带连接的情况下,您在使用相同的设备或端口尝试建立另一个宽带连接。请断开前一个连接,然后重新建立连接。
814
找不到宽带连接所需的基本以太网连接。在尝试此连接之前,请通过网络连接文件夹在计算机上安装并启用以太网适配器。
815
无法在计算机上建立宽带网络连接,因为远程服务器未响应。这可能是由于此连接的“服务名称”字段值无效所致。请与 Internet 服务提供商联系,询问此字段的正确值,并在连接属性中将其更新。 816
远程访问服务不再支持您试图启用的功能或设臵。
817
当某连接处于连接状态时无法将其删除。
818
网络访问保护(NAP)强制客户端无法为远程访问连接创建系统资源。某些网络服务或资源可能不可用。如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。
819
网络访问保护代理( NAPAgent )服务已禁用或未在此计算机中安装。某些网络服务或资源可能不可用。如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。
820
网络访问保护( NAP )强制客户端无法注册网络访问保护代理
( NAPAgent )服务。某些网络服务或资源可能不可用。如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。 821
网络访问保护( NAP )强制客户端无法处理请求,因为远程访问连接不存在。请重试远程访问连接。如果问题仍存在,请确保可以连接到 Internet,然后与远程访问服务器的管理员联系。
1.Web服务器存在的漏洞
一般来说,Web服务器上可能存在的漏洞有以下几种。
1)Web服务器因各种原因而不能返回客户要访问的秘密文件、目录或重要数据。
2)远程用户向服务器发送信息时,特别是像之类的重要信息时,中途遭不法分子非法拦截。
3)入侵者可能突破Web服务器本身存在的一些漏洞,破坏其中的一些重要数据,甚至造成系统瘫痪。
4)CGI(Common Gateway Interface,公共网关接口)安全方面存在的漏洞。CGI是Web信息服务与外部应用程序之间交换数据的标准接口。它具有两个功能:收集从Web浏览器发送给Web服务器的信息,并且把这些信息传送给外部程序;把外部程序的输出作为Web服务器对发送信息的Web浏览器的响应,送给该Web浏览器。通过CGI程序,Web服务器真正实现了与Web浏览器用户之间的交互。在HTML文件中,表单(Form)与CGI程序配合使用,共同来完成信息交流的目的。
CGI可能的漏洞有:有意或无意地在主机系统中遗漏bug,给非法黑客创造条件;用CGI脚本编写的程序在涉及远程用户从浏览器中输入表单或进行检索(Search Index)时,会给Web主机系统造成危险。因此,从CGI角度考虑Web的安全性,主要是在编制程序时,应详细考虑到安全因素,尽量避免CGI程序中存在漏洞。
因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性。应该堵住任何存在的漏洞,创造安全的环境。
从Web服务器版本上来看,NCSA13以下版本的HTTPd明显存在安全上的漏洞,即客户计算机可以任意地执行服务器上面的命令,这对于服务器来说是非常危险的。但是NCSA14以上版本的服务器补上了这个缺陷。
2.Web服务器的安全策略和安全机制
Web服务器的安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略,这些安全策略因需求的不同而各不相同。对Web服务提供者来说,安全策略的一个重要的组成是哪些人可以访问哪些Web文档,同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任。采取何种安全措施,取决于制定的安全策略。必须根据需要和目标来设置安全措施,估计和分析安全风险。制定Web站点的安全策略的基本原则是不要为细节所困扰。
安全机制是实现安全策略的技术或手段。必须根据需要和目标来设置安全系统,估计和分析可能的风险。定义安全策略,选择一套安全机制,首先要做的是威胁分析,主要包括以下几个方面。
1)有多少外部入口点存在看有哪些威胁看
2)研究谁会对网络产生威胁:威胁来自黑客,还是训练有素的有知识的入侵者,或是来自工业间谍看
3)分析会有什么样的威胁:入侵者访问哪些数据库、表、目录或信息看威胁是网络内部的非授权使用,还是移动数据看
4)数据是遭受到了破坏,还是受到了攻击看攻击是网络内、外的非授权访问,还是地址欺骗、IP欺骗及协议欺骗等看
5)确定安全保护的目标。
6)提出价格合理的安全机制。
根据威胁程度的大小、方向和入侵的对象,进行分析评价,作为制定Web的安全策略和设计网络安全措施的基本依据。安全设计时,要优先考虑必要的且可行的步骤,正确制定安全策略,并采取必要的安全措施。
具体来说,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性。尽量堵住任何可能出现的漏洞,创造安全的环境。在具体服务器设置及编写CGI程序时应该注意以下几点:
1)禁止乱用从其他网站下载的一些工具软件,并在没有详细了解之前尽量不要用root身份注册执行,以防止某些程序员在程序中设下的陷阱。
2)在选用Web服务器时,应考虑到不同服务器对安全的要求不一样。一些简单的Web服务器就没有考虑到一些安全的因素,不能把他用于商业应用,只能作一些个人的网点。
3)在利用Web中的htpass来管理和校验用户口令时,校验的口令和用户名不受次数的限制。
对Web服务器和Web客户来说,最重要的安全提升机制如下:
1)主机和网络的配套工具和技术;
2)Web应用程序的配置;
3)Web服务的认证机制;
4)防火墙;
5)日志和监视。
每种机制都涉及某种类型系统的安全性,并且它们之间是相互联系的。
3.组织Web服务器
大多数Web服务器都会记录它们收到的每一次连接和访问。这个记录一般包括IP地址和主机名。如果站点采取一些形式的验证系统,服务器也会记录用户名。如果用户在逗留期间填写了任何表格,该表格下所有变量的值都会被记录在案。包括请求的状态、传递数据的大小、用户E-mail地址等。一些浏览器和服务器一样,甚至也能提供有关使用中的浏览器、URL、客户的IP地址,以及用户的E-mail地址等信息。这些记录对于发现和跟踪黑客袭击是很有用的。
组织Web服务器一般包括以下几个方面的内容:认真选择Web服务器设备和相关软件;配置Web服务器,使用它的访问和安全特性;组织和Web服务器相关的内容。组织主要包括以下步骤:
1)联机检查。检查源程序,查看连接URL和相应的内容是否图文一致,查看URL所提供的内容是否和网页的描述一致。检查驱动器和共享的权限,系统设为只读状态。
2)检查HTTP服务器使用的Applet脚本,尤其是与其客户交互作用的CGI脚本,防止非法用户恶意使用CGI程序,执行内部指令,对Web 服务器造成破坏。
3)充分考虑最糟糕的情况后,配置自己的系统,即使黑客完全控制了系统,他还要面对一堵高墙。
4)将敏感文件放在基本系统中,再设二级系统,使所有的敏感数据不向Internet开放。
4.安全管理Web服务器
安全管理Web服务器,可以从以下几个方面采取一些预防措施:
1)对于在Web服务器上所开设的账户,应在口令长度及修改期限上做出具体要求,防止被盗用。
2)限制在Web服务器上开账户,定期删除一些短进程的用户。
3)尽量在不同的服务器上运行不同的服务(如mail服务和Web服务等)程序。尽量使FTP, mail等服务器与Web服务器分开,去掉FTP, sendmail, tftp, NIS, NFS, finger, netstat等一些无关的应用。这样在一个系统被攻破后,不会影响到其他的服务和主机。
4)如果不需要,尽量关闭Web服务器上的特性服务,否则,有可能遭到该特性所导致的安全威胁。在Web服务器上去掉一些绝对不用的shell等解释器,即当在CGI程序中没用到Perl(Practical Extraction and Report Language)时,就尽量把Perl在系统解释器中删除掉。
5)定期查看服务器中的日志logs文件,应该定期地记录Web服务器的活动,分析一切可疑事件。其中,最重要的是监视那些试图访问服务器上的文档的用户。
6)设置好Web服务器上系统文件的权限和属性,对可访问的文档分配一个公用的组,如WWW,并且只给它分配只读的权限。把所有的HTML文件归属WWW组,由Web管理员管理WWW组,并且只有Web管理员具有对Web配置文件写的权限。
7)有些Web服务器把Web的文档目录与FTP目录指在同一目录,应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这是为了防止一些用户通过FTP上的Perl或SH之类的程序,并用Web的CGI-BIN去执行造成不良后果。
8)通过限制访问用户IP或DNS。限制CGI-BIN目录(即存放可执行的脚本和程序目录)的访问或使用权限,该目录只有系统管理员具有写的权限。为了系统的安全性,所有的脚本和程序都应该存放在服务器上的某个目录下。另外,许多Web服务器本身存在一些安全上的漏洞,需要在版本升级时不断地更新。
无论多么安全的站点,都可能被破坏,都有可能遭到黑客的攻击。所以,一定要沉着冷静地处理意外事件。
5.Web服务器的安全措施
1)从基本做起
针对Web服务器的安全,我们应从最基本的安全措施做起,这是最保险的安全方式。比如说,将服务器上含有机密数据的区域都转换成NTFS格式;防毒程序也必须按时升级更新,同时在服务器和桌面计算机上安装防毒软件,这些软件可设定成每天自动下载最新的病毒库文件。Exchange Server(邮件服务器)上也安装上防毒软件,这类软件可扫描所有寄来的电子邮件,寻找被病毒感染的附件,若发现病毒,邮件马上会被隔离,降低使用者被感染的机会。
另一个保护网络的好方法是限定使用者登录网络时的权限。存取网络上的任何数据都必须通过密码登录。在设定密码时,混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。还要设定定期更新密码,且密码长度不得少于8个字符。
2)备份保护
大多数人都没有意识到,备份本身就是一个巨大的安全漏洞。因此,最好利用密码保护好备份磁盘,若备份程序支持加密功能,还可以将数据进行加密。
3)使用RAS的回拨功能
Windows NT支持服务器远端存取(Remote Access Service,RAS),但同时,RAS服务器对黑客来说也非常方便,只需要一个电话号码和一点耐心,他们就能通过RAS进入主机。因此,如果远端用户经常是从家里或是固定的地方上网,可以使用回拨功能,允许远端用户登录后立即挂断,然后RAS服务器会拨出预设的电话号码接通用户,因为此电话号码已经预先在程序中,黑客也就没有机会指定服务器回拨的号码了。
另一个办法是限定远端用户只能存取单一服务器。可以将用户经常使用的数据复制到RAS服务器的一个特殊共用点上,再将远端用户的登录限制在一台服务器上,而非整个网络。如此一来,即使黑客入侵主机,也只能在单一机器上作怪,可以在很大程度上减小其产生的破坏性。
最后就是在RAS服务器上使用逗另类地网络协议。可以把TCP/IP协议当做RAS协议。当RAS还支持IPX/SPX和NetBEUI协议时,使用NetBEUI当做RAS协议,可以将非法入侵者搞得晕头转向。
4)注重工作站的安全
工作站是进入服务器的大门,加强工作站的安全能够提高整个网络的安全性。对于初学者,可以在所有工作站上使用Windows 2000,这是一个比较安全的操作系统。这样就能将工作站锁定,若没有权限,一般人将很难取得网络配置信息。
可以限制使用者只能从特定的工作站进行登录,将工作站当做简易型的终端机(dumb terminal),或者说是智慧型的简易终端机。换言之,工作站上不会存有任何数据或软件,将计算机当做dumb terminal使用时,服务器必须执行Windows的终端服务程序,而且所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据。
5)及时升级或修补程序
在微软公司内部有一组工作人员专门检查并修补安全漏洞,这些修补程序(补丁)有时会被收集成服务包(service pack)发布。服务包通常有两种不同版本:一个是任何人都可以使用的40位的版本,另一个是只能在美国和加拿大发行的128位版本。128位版本使用128位的加密算法,比40位的版本要安全得多。
6.Web服务器安全的几个要素
建立一个安全的Web网站要求用户必须对Web服务器的安全性有全面的认识。从信息发布平台内部来看,应该做到如下几点:
1)恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。因为启动不必要的服务可能使他人获得系统信息,甚至获取密码文件。
2)增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁;建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。
3)对服务器进行远程管理时,使用如SSL等安全协议,避免使用Telnet、FTP等程序,因为这些程序是以明文形式传输密码的,容易被监听;严格控制远程root身份的使用,仅在绝对需要时才允许使用具有高授权的操作。
4)禁止或限制CGI程序和ASP、PHP脚本程序的使用。因为这些程序会带来系统的安全隐患,而且某些脚本程序本身就存在安全漏洞。
5)使用防火墙及壁垒主机,对数据包进行过滤,禁止某些地址对服务器的某些服务的访问,并在外部网络和Web服务器中建立双层防护。利用防火墙,将服务器中没有必要从防火墙外面访问的服务及端口阻隔,进一步增强开放服务的安全性。
6)使用入侵检测系统、监视系统、事件、安全记录和系统日志,以及网络中的数据包,对危险和恶意访问进行阻断、报警等响应。
7)在网关和服务器上使用多层次的防病毒系统,尤其对于允许上传和交互信息发布的服务器来说,防止病毒及木马程序的侵入是保证服务器系统安全的一个关键。
8)使用漏洞扫描和安全评估软件,对整个网络进行全面的扫描、分析和评估,从用户账号约束、口令系统、系统监测、访问控制、数据加密、数据完整等多方面进行安全分析和审计。建立和提高用户的安全策略,及时发现并弥补安全漏洞
0条评论