WEB專用服務(wù)器的安全設(shè)置技巧

1、WEB專用服務(wù)器的安全設(shè)置技巧對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。IIS的相關(guān)設(shè)置： 刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應(yīng)的文件目錄c:inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改

2、為asp，可在IIS中設(shè)置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。 對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個文件佳，wwwroot，database，logfiles，分別存

3、放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限： ASP的安全設(shè)置： 設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令： regsvr32/u C:WINNTSystem32wshom.ocx del C:WINNTSystem32wshom.ocx regsvr32/u C:WINNTsystem32shell32.dll

4、del C:WINNTsystem32shell32.dll 即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。 另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設(shè)置兩個組，對于需要F

5、SO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。 對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！ PHP的安全設(shè)置： 默認安裝的php需要有以下幾個注意的問題： C:winntphp.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On 默認是on，但需檢查一遍 open_bas

6、edir =web目錄 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 默認設(shè)置com.allow_dcom = true修改為false修改前要取消掉前面的； MySQL安全設(shè)置： 如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為： 刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql

7、數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,relo ad_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去?？梢詾閙ysql設(shè)置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。 Serv-u安全問題： 安裝程序盡量采用最新版本，避免采用默認安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner

8、信息，設(shè)置被動模式端口范圍（40014003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。 更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的

9、上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的。 數(shù)據(jù)庫服務(wù)器的安全設(shè)置 對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設(shè)置一個強壯的密碼，使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功

10、和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業(yè)管理器中部分功能不能使用),這些過程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊表訪問過程,包括有: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其他系統(tǒng)存儲

11、過程，如果認為還有威脅，當然要小心Drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認可的使用者據(jù)之在外。 例外情況是master和 tempd

12、b 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設(shè)置好各個數(shù)據(jù)庫用戶的權(quán)限，對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。 入侵檢測和數(shù)據(jù)備份 入侵檢測工作 作為服務(wù)器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個木桶的最大容量不取決于長的木板，而

13、取決于最短的那塊木板。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測的重點所在。 日常的安全檢測 日常安全檢測主要針對系統(tǒng)的安全性，工作主要按照以下步驟進行： 1查看服務(wù)器狀態(tài)： 打開進程管理器，查看服務(wù)器性能，觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。2檢查當前進程情況 切換“任務(wù)管理器”到進程，查找有無可疑的應(yīng)用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務(wù)器上哪個應(yīng)用程序開

14、啟的進程，可以在網(wǎng)絡(luò)上搜索一下該進程名加以確定進程知識庫： 3檢查系統(tǒng)帳號 打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。 4查看當前端口開放情況 使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對應(yīng)的程序并記錄，將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計算機管理=軟件環(huán)境=正在運行任務(wù)在此處可以查看進程管理器中看不到的隱藏進程，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務(wù)管理器結(jié)束該進程

15、，對于采用了守護進程的后門等程序可嘗試結(jié)束進程樹，如仍然無法結(jié)束，在注冊表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。 5檢查系統(tǒng)服務(wù) 運行services.msc，檢查處于已啟動狀態(tài)的服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對于不清楚的服務(wù)打開該服務(wù)的屬性，查看該服務(wù)所對應(yīng)的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過。查看是否有其他正常開放服務(wù)依存在該服務(wù)上，如果有，可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務(wù)依存在該服務(wù)上，可暫時停止掉該服務(wù)，然后測試下各種應(yīng)用是否正常。對于一些后門由于采用了

16、hook系統(tǒng)API技術(shù)，添加的服務(wù)項目在服務(wù)管理器中是無法看到的，這時需要打開注冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找，通過查看各服務(wù)的名稱、對應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。 6查看相關(guān)日志 運行eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時在對應(yīng)的日志記錄上點右鍵選“屬性”，在“篩選器”中設(shè)置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現(xiàn)的錯誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號

17、和具體描述信息，以便找到問題解決的辦法。 7檢查系統(tǒng)文件 主要檢查系統(tǒng)盤的exe和dll文件，建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關(guān)檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序?qū)ο到y(tǒng)盤進行一次掃描處理。8檢查安全策略是否更改 打開本地連接的屬性，查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”，打開“TCP/IP”協(xié)議設(shè)置，點“高級”

18、=“選項”，查看“IP安全機制”是否是設(shè)定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生更改。 9檢查目錄權(quán)限 重點查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權(quán)限是否做過變動。檢查system32下的一些重要文件是否更改過權(quán)限，包括：cmd，ne

19、t，ftp，tftp，cacls等文件。 10檢查啟動項 主要檢查當前的開機自啟動程序?？梢允褂肁Reporter來檢查開機自啟動的程序。 發(fā)現(xiàn)入侵時的應(yīng)對措施 對于即時發(fā)現(xiàn)的入侵事件，以下情況針對系統(tǒng)已遭受到破壞情況下的處理，系統(tǒng)未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應(yīng)立即采取以下措施： 視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理，在發(fā)現(xiàn)入侵的第一時間通知機房關(guān)閉服務(wù)器，待處理人員趕到機房時斷開網(wǎng)線，再進入系統(tǒng)進行檢查。如采用遠程處理，如情況嚴重第一時間停止所有應(yīng)用服務(wù)，更改

20、IP策略為只允許遠程管理端口進行連接然后重新啟動服務(wù)器，重新啟動之后再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。 以下處理措施針對用戶站點被入侵但未危及系統(tǒng)的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全： 站點根目錄-只給administrator讀取權(quán)限，權(quán)限繼承下去。 wwwroot -給web用戶讀取、寫入權(quán)限。高級里面有刪除子文件夾和文件權(quán)限 logfiles-給system寫入權(quán)限。 database-給web用戶讀取、寫入權(quán)限。高級里面沒有刪除子文件夾和文件權(quán)限 如需要進一步修改，可針對用戶站點的特性對于普

21、通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限，對asp等腳本文件給予上表中的權(quán)限。另外查看該用戶站點對應(yīng)的安全日志，找出漏洞原因，協(xié)助用戶修補程序漏洞。數(shù)據(jù)備份和數(shù)據(jù)恢復(fù) 數(shù)據(jù)備份工作大致如下： 1 每月備份一次系統(tǒng)數(shù)據(jù)。 2 備份系統(tǒng)后的兩周單獨備份一次應(yīng)用程序數(shù)據(jù)，主要包括IIS、serv-u、數(shù)據(jù)庫等數(shù)據(jù)。 3 確保備份數(shù)據(jù)的安全，并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法，對于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。 數(shù)據(jù)恢復(fù)工作： 1系統(tǒng)崩潰或遇到其他不可恢復(fù)系統(tǒng)正常狀態(tài)情況時，先對上次系統(tǒng)備份后發(fā)生的一些更改事件如應(yīng)用程序、安全策略等的設(shè)置做好備

22、份，恢復(fù)完系統(tǒng)后再恢復(fù)這些更改。 2應(yīng)用程序等出錯采用最近一次的備份數(shù)據(jù)恢復(fù)相關(guān)內(nèi)容。 服務(wù)器性能優(yōu)化 1 服務(wù)器性能優(yōu)化 系統(tǒng)性能優(yōu)化 整理系統(tǒng)空間: 刪除系統(tǒng)備份文件，刪除驅(qū)動備份，刪除不用的輸入法，刪除系統(tǒng)的幫助文件，卸載不常用的組件。最小化C盤文件。 性能優(yōu)化： 刪除多余的開機自動運行程序；減少預(yù)讀取，減少進度條等待時間；讓系統(tǒng)自動關(guān)閉停止響應(yīng)的程序；禁用錯誤報告,但在發(fā)生嚴重錯誤時通知；關(guān)閉自動更新,改為手動更新計算機；啟用硬件和DirectX加速；禁用關(guān)機事件跟蹤；禁用配置服務(wù)器向?qū)В?減少開機磁盤掃描等待時間；將處理器計劃和內(nèi)存使用都調(diào)到應(yīng)用程序上；調(diào)整虛擬內(nèi)存；內(nèi)存優(yōu)化；修改c

23、pu的二級緩存；修改磁盤緩存。 IIS性能優(yōu)化 1、調(diào)整IIS高速緩存 HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范圍是從0道4GB，缺省值為3072000（3MB）。一般來說此值最小應(yīng)設(shè)為服務(wù)器內(nèi)存的10%。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。這個參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為0，那就意味著“不進行任何高速緩存”。在這種情況下系統(tǒng)的性能可能會降低。如果你的服務(wù)器網(wǎng)絡(luò)通訊繁忙，并且有足

24、夠的內(nèi)存空間，可以考慮增大該值。必須注意的是修改注冊表后，需要重新啟動才能使新值生效。 2不要關(guān)閉系統(tǒng)服務(wù): “Protected Storage” 3對訪問流量進行限制 A.對站點訪問人數(shù)進行限制 B.站點帶寬限制。保持HTTP連接。 C.進程限制, 輸入CPU的耗用百分比 4提高IIS的處理效率 應(yīng)用程序設(shè)置”處的“應(yīng)用程序保護”下拉按鈕，從彈出的下拉列表中，選中“低（IIS進程）”選項,IIS服務(wù)器處理程序的效率可以提高20%左右。但此設(shè)置會帶來嚴重的安全問題，不值得推薦。 5將IIS服務(wù)器設(shè)置為獨立的服務(wù)器 A.提高硬件配置來優(yōu)化IIS性能硬盤：硬盤空間被NT和IIS服務(wù)以如下兩種方式

25、使用：一種是簡單地存儲數(shù)據(jù)；另一種是作為虛擬內(nèi)存使用。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能。 B.可以把NT服務(wù)器的頁交換文件分布到多個物理磁盤上，注意是多個“物理磁盤”，分布在多個分區(qū)上是無效的。另外，不要將頁交換文件放在與WIndows NT引導(dǎo)區(qū)相同的分區(qū)中。 C.使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能。 D.最好把所有的數(shù)據(jù)都儲存在一個單獨的分區(qū)里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務(wù)器數(shù)據(jù)的分區(qū)中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區(qū)。 6起用HTTP壓縮 HTTP壓縮是

26、在Web服務(wù)器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進行設(shè)置。 7起用資源回收 使用IIS5Recycle定時回收進程資源。 服務(wù)器常見故障排除 1 ASP“請求的資源正在使用中”的解決辦法： 該問題一般與殺毒軟件有關(guān)，在服務(wù)器上安裝個人版殺毒軟件所致。出現(xiàn)這種錯誤可以通過卸載殺毒軟件解決，也可嘗試重新注冊vbscript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。 2ASP500錯

27、誤解決辦法： 首先確定該問題是否是單一站點存在還是所有站點存在，如果是單一站點存在該問題，則是網(wǎng)站程序的問題，可打開該站點的錯誤提示，把IE的“顯示友好HTTP錯誤”信息取消，查看具體錯誤信息，然后對應(yīng)修改相關(guān)程序。如是所有站點存在該問題，并且HTML頁面沒有出現(xiàn)該問題，相關(guān)日志出現(xiàn)“服務(wù)器無法加載應(yīng)用程序/LM/W3SVC/1/ROOT。錯誤是 不支持此接口”。那十有八九是服務(wù)器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題，重新啟動IIS服務(wù)，嘗試是否可以解決該問題，無法解決重新啟動系統(tǒng)嘗試是否可解決該問題，如無法解決可重新修復(fù)一下ASP組件： 首先刪除com組件中的關(guān)于IIS的三個東西，需要先將屬性里

28、的高級中“禁止刪除”的勾選取消。 命令行中，輸入“cd winntsystem32inetsrv”字符串命令，單擊回車鍵后，再執(zhí)行“rundll32 wamreg.dll,CreateIISPackage”命令，接著再依次執(zhí)行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新啟動一下計算機操作系統(tǒng)，這樣IIS服務(wù)器就能重新正確響應(yīng)ASP腳本頁面了。 3. IIS出現(xiàn)105錯誤： 在系統(tǒng)日志中“服務(wù)器無法注冊管理工具發(fā)現(xiàn)信息。管理工具可能無法看到此服務(wù)器” 來源：w3svc ID：105解決辦法： 在網(wǎng)絡(luò)連接中重新安裝netbios協(xié)議即可，安裝完成之后取消掉勾選

29、。 4MySQL服務(wù)無法啟動【錯誤代碼1067】的解決方法 啟動MySQL服務(wù)時都會在中途報錯！內(nèi)容為：在 本地計算機 無法啟動MySQL服務(wù) 錯誤1067：進程意外中止。 解決方法：查找Windows目錄下的my.ini文件，編輯內(nèi)容（如果沒有該文件，則新建一個），至少包含 basedir，datadir這兩個基本的配置。 mysqld # set basedir to installation path, e.g., c:/mysql # 設(shè)置為MYSQL的安裝目錄 basedir=D:/www/WebServer/MySQL # set datadir to location of da

30、ta directory, # e.g., c:/mysql/data or d:/mydata/data # 設(shè)置為MYSQL的數(shù)據(jù)目錄 datadir=D:/www/WebServer/MySQL/data 注意，我在更改系統(tǒng)的temp目錄之后沒有對更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。 5DllHotst進程消耗cpu 100%的問題 服務(wù)器正常CPU消耗應(yīng)該在75%以下，而且CPU消耗應(yīng)該是上下起伏的，出現(xiàn)這種問題的服務(wù)器，CPU會突然一直處100%的水平，而且不會下降。 查看任務(wù)管理器，可以發(fā)現(xiàn)是DLLHOST.EXE消耗了所有的CPU空閑時間，管理員在這種情況下，只

31、好重新啟動IIS服務(wù)，奇怪的是，重新啟動IIS服務(wù)后一切正常，但可能過了一段時間后，問題又再次出現(xiàn)了。 直接原因： 有一個或多個ACCESS數(shù)據(jù)庫在多次讀寫過程中損壞， MDAC系統(tǒng)在寫入這個損壞的ACCESS文件時，ASP線程處于BLOCK狀態(tài)，結(jié)果其他線程只能等待，IIS被死鎖了，全部的CPU時間都消耗在DLLHOST中。 解決辦法： 把數(shù)據(jù)庫下載到本地，然后用ACCESS打開，進行修復(fù)操作。再上傳到網(wǎng)站。如果還不行，只有新建一個ACCESS數(shù)據(jù)庫，再從原來的數(shù)據(jù)庫中導(dǎo)入所有表和記錄。然后把新數(shù)據(jù)庫上傳到服務(wù)器上。 6Windows installer出錯： 在安裝軟件的時候出現(xiàn)“不能訪問

32、windows installer 服務(wù)?？赡苣阍诎踩Ｊ较逻\行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯(lián)系以獲得幫助” 如果試圖重新安裝InstMsiW.exe，提示：“指定的服務(wù)已存在”。 解決辦法： 關(guān)于installer的錯誤，可能還有其他錯誤提示，可嘗試以下解決辦法： 首先確認是否是權(quán)限方面的問題，提示信息會提供相關(guān)信息，如果是權(quán)限問題，給予winnt目錄everyone權(quán)限即可安裝完把權(quán)限改回來即可。如果提示的是上述信息，可以嘗試以下解決方法：運行“msiexec /unregserver”卸載Windows Installer服

33、務(wù)，如果無法卸載可使用SRVINSTW進行卸載，然后下載windows installer的安裝程序地址： /regserver”重新注冊Windows Installer服務(wù)。 服務(wù)器管理 服務(wù)器日常管理安排 服務(wù)器管理工作必須規(guī)范嚴謹，尤其在不是只有一位管理員的時候，日常管理工作包括： 1服務(wù)器的定時重啟。每臺服務(wù)器保證每周重新啟動一次。重新啟動之后要進行復(fù)查，確認服務(wù)器已經(jīng)啟動了，確認服務(wù)器上的各項服務(wù)均恢復(fù)正常。對于沒有啟動起來或服務(wù)未能及時恢復(fù)的情況要采取相應(yīng)措施。前者可請求托管商的相關(guān)工作人員幫忙手工重新啟動，必要時可要求讓連接上顯示器確認是否已啟動起來；后者需要遠程登陸上服務(wù)器進

34、行原因查找并根據(jù)原因嘗試恢復(fù)服務(wù)。 2服務(wù)器的安全、性能檢查，每服務(wù)器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結(jié)果要求進行登記在冊。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關(guān)工具。對于臨時需要從網(wǎng)絡(luò)上找的工具，首先將IE的安全級別調(diào)整到高，然后在網(wǎng)絡(luò)上進行查找，不要去任何不明站點下載，盡量選擇如華軍、天空等大型網(wǎng)站進行下載，下載后確保當前殺毒軟件已升級到最新版本，升級完畢后對下載的軟件進行一次殺毒，確認正常后方能使用。對于下載的新工具對以后維護需要使用的話，將該工具保存到e:tools下，并在該目錄中的readme.txt文件中做好相應(yīng)記錄，記錄該工具的名稱，功能，使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設(shè)置解壓密碼。 3服務(wù)器的數(shù)據(jù)備份工作，每服務(wù)器至少保證每月備份一次系統(tǒng)數(shù)據(jù)，系統(tǒng)備份采用ghost方式，對于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每服務(wù)器至少保證每兩周備份一次應(yīng)用程序數(shù)據(jù)，每服務(wù)器至少保證每月備份一次用戶數(shù)據(jù)，備份的數(shù)據(jù)固定存放在e:databak文件夾，針對各種數(shù)據(jù)再建立對應(yīng)的子文件夾，如serv-u用戶數(shù)據(jù)放在該文件夾下的servu文件夾下，iis站點數(shù)據(jù)存放在該文件夾下的iis文件夾下。