1.同时为多个VLAN的客户机分配地址
2.VLAN内有部分地址采用手工分配的方式
3.为客户指定网关、Wins服务器等
4.VLAN 2的地址租用有效期限为1天,其它为3天
5.按MAC地址为特定用户分配指定的IP地址
最终配置如下:
ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址
ip dhcp excluded-address 10.1.1.240 10.1.1.254
ip dhcp excluded-address 10.1.2.1 10.1.2.19
!
ip dhcp pool global //global是pool name, 由用户指定
network 10.1.0.0 255.255.0.0 //动态分配的地址段
domain-name client.com //为客户机配置域后缀
dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器
netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器
netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)
lease 3 //地址租用期限: 3天
ip dhcp pool vlan1
network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name等option
default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关
!
ip dhcp pool vlan2 //为另一VLAN配置的pool
network 10.1.2.0 255.255.255.0
default-router 10.1.2.100 10.1.2.101
lease 1
!
ip dhcp pool vlan1_john //总是为MAC地址为...的机器分配...地址
host 10.1.1.21 255.255.255.0
client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址
!
ip dhcp pool vlan1_tom
host 10.1.1.50 255.255.255.0
client-identifier 010010.3ab1.eac8
相关的DHCP调试命令:
no service dhcp //停止DHCP服务[默认为启用DHCP服务]
sh ip dhcp binding //显示地址分配情况
show ip dhcp conflict //显示地址冲突情况
debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况
如果DHCP客户机分配不到IP地址,常见的原因有两个。第一种情况是没有把连接客户机的端口设置为Portfast方式。MS客户机开机后检查网卡连接 正常,Link是UP的,就开始发送DHCPDISCOVER请求,而此时交换机端口正在经历生成树计算,一般需要30-50秒才能进入转发状态。MS客 户机没有收到DHCP SERVER的响应就会给网卡设置一个169.169.X.X的IP地址。解决的方法是把交换机端口设置为Portfast方 式:CatOS(4000/5000/6000): set spantree portfast mod_num/port_num enable; IOS(2900/3500): interface ... ; spanning-tree portfast。
另外一种情况是DHCP服务器和DHCP工作站不在同一个VLAN,这时候通常通过设置ip helper-address来解决:
interface vlan1
ip address 10.1.1.254 255.255.255.0 //假设DHCP服务器地址为10.1.1.8
interface Vlan2
ip address 10.1.2.254 255.255.255.0
ip helper-address 10.1.1.8 //假设这是DHCP客户机所在的VLAN
2009年2月26日星期四
cisco 3560的DHCP
2009年2月24日星期二
ubuntu显卡驱动管理
首先声明:这是我的解决方法,歪打正着,有没有通用性不知道,仅供参考吧!
过程
公司一女同事在我的怂恿下安装了ubuntu 8.04
她的机器配置是IBM Thinkpad T42 8ZU 显卡是 Radeon 9600
安装完之后一切都正常,就是屏幕闪烁,好象液晶屏的背光灯不稳定似的,很难受。
我把机器重启到XP下屏幕不闪了,再回到ubuntu下,又闪,把源里装的受限驱动卸载掉,重启,屏幕不闪了,由此断定是显卡驱动问题。
在网上辛苦地找了好久,也有人遇到此问题,有人回复说是驱动在9600显卡上的BUG,没有解决办法。感觉难以接受。
于是到AMD的官网下载了9600的驱动,安装完重启,糟了,分辨降到800*600,怎么调都不行。应用程序菜单里的 ATI Control Center运行出错,提示没有安装或ATI驱动没有运行。
再google,看到有人用envyng管理显卡的驱动程序,于是:
出现一个文本菜单,选择卸载ATI的驱动程序,卸载完毕后。再用它把ATI的驱动重新安装了一次,系统要求重启
重启,万岁,分辨率恢复到了1400*1050,赶紧启动Compiz,3D桌面正常
运行ATI Control Center(super user mode)管理窗口居然也出来了,可以对显卡进行配置,牛啊!
看看屏幕也不闪烁了!
注销再登录,一切正常 !
重启,一切正常 !
OK,问题解决了
2009年2月23日星期一
Apache HTTP Server 与 Tomcat 的三种连接方式介绍
 |
刘 冬 (javayou@gmail.com), 开发工程师, 2007 年 1 月 15 日 整合 Apache Http Server 和 Tomcat 可以提升对静态文件的处理性能、利用 Web 服务器来做负载均衡以及容错、无缝的升级应用程序。本文介绍了三种整合 Apache 和 Tomcat 的方式。 首先我们先介绍一下为什么要让 Apache 与 Tomcat 之间进行连接。事实上 Tomcat 本身已经提供了 HTTP 服务,该服务默认的端口是 8080,装好 tomcat 后通过 8080 端口可以直接使用 Tomcat 所运行的应用程序,你也可以将该端口改为 80。 既然 Tomcat 本身已经可以提供这样的服务,我们为什么还要引入 Apache 或者其他的一些专门的 HTTP 服务器呢?原因有下面几个: 1. 提升对静态文件的处理性能 2. 利用 Web 服务器来做负载均衡以及容错 3. 无缝的升级应用程序 这 三点对一个 web 网站来说是非常之重要的,我们希望我们的网站不仅是速度快,而且要稳定,不能因为某个 Tomcat 宕机或者是升级程序导致用户访问不了,而能完成这几个功能的、最好的 HTTP 服务器也就只有 apache 的 http server 了,它跟 tomcat 的结合是最紧密和可靠的。 接下来我们介绍三种方法将 apache 和 tomcat 整合在一起。 这是最常见的方式,你可以在网上找到很多关于配置JK的网页,当然最全的还是其官方所提供的文档。JK 本身有两个版本分别是 1 和 2,目前 1 最新的版本是 1.2.19,而版本 2 早已经废弃了,以后不再有新版本的推出了,所以建议你采用版本 1。 JK 是通过 AJP 协议与 Tomcat 服务器进行通讯的,Tomcat 默认的 AJP Connector 的端口是 8009。JK 本身提供了一个监控以及管理的页面 jkstatus,通过 jkstatus 可以监控 JK 目前的工作状态以及对到 tomcat 的连接进行设置,如下图所示: 图 1:监控以及管理的页面 jkstatus  在 这个图中我们可以看到当前JK配了两个连接分别到 8109 和 8209 端口上,目前 s2 这个连接是停止状态,而 s1 这个连接自上次重启后已经处理了 47 万多个请求,流量达到 6.2 个 G,最大的并发数有 13 等等。我们也可以利用 jkstatus 的管理功能来切换 JK 到不同的 Tomcat 上,例如将 s2 启用,并停用 s1,这个在更新应用程序的时候非常有用,而且整个切换过程对用户来说是透明的,也就达到了无缝升级的目的。关于 JK 的配置文章网上已经非常多了,这里我们不再详细的介绍整个配置过程,但我要讲一下配置的思路,只要明白了配置的思路,JK 就是一个非常灵活的组件。 JK 的配置最关键的有三个文件,分别是 httpd.conf workers.properties uriworkermap.properties 其中第二、三个配置文件名都可以自定义。下面是一个典型的 httpd.conf 对 JK 的配置
接下来我们在 Apache 的 conf 目录下新建两个文件分别是 workers.properties、uriworkermap.properties。这两个文件的内容大概如下
以上的 workers.properties 配置就是我们前面那个屏幕抓图的页面所用的配置。首先我们配置了两个类型为 ajp13 的 worker 分别是 s1 和 s2,它们指向同一台服务器上运行在两个不同端口 8109 和 8209 的 Tomcat 上。接下来我们配置了一个类型为 lb(也就是负载均衡的意思)的 worker,它的名字是 DLOG4J,这是一个逻辑的 worker,它用来管理前面配置的两个物理连接 s1 和 s2。最后还配置了一个类型为 status 的 worker,这是用来监控 JK 本身的模块。有了这三个 worker 还不够,我们还需要告诉 JK,哪些 worker 是可用的,所以就有 worker.list = DLOG4J, status 这行配置。 接下来便是 URI 的映射配置了,我们需要指定哪些链接是由 Tomcat 处理的,哪些是由 Apache 直接处理的,看看下面这个文件你就能明白其中配置的意义
相信你已经明白了一大半了:所有的请求都由 DLOG4J 这个 worker 进行处理,但是有几个例外,/jkstatus 请求由 status 这个 worker 处理。另外这个配置中每一行数据前面的感叹号是什么意思呢?感叹号表示接下来的 URI 不要由 JK 进行处理,也就是 Apache 直接处理所有的图片、css 文件、js 文件以及静态 html 文本文件。 通过对 workers.properties 和 uriworkermap.properties 的配置,可以有各种各样的组合来满足我们前面提出对一个 web 网站的要求。您不妨动手试试!
这是利用 Apache 自带的 mod_proxy 模块使用代理技术来连接 Tomcat。在配置之前请确保是否使用的是 2.2.x 版本的 Apache 服务器。因为 2.2.x 版本对这个模块进行了重写,大大的增强了其功能和稳定性。 http_proxy 模式是基于 HTTP 协议的代理,因此它要求 Tomcat 必须提供 HTTP 服务,也就是说必须启用 Tomcat 的 HTTP Connector。一个最简单的配置如下
在这个配置中,我们把所有 http://localhost 的请求代理到 http://localhost:8080/ ,这也就是 Tomcat 的访问地址,除了 images、css、js 几个目录除外。我们同样可以利用 mod_proxy 来做负载均衡,再看看下面这个配置
配置比 JK 简单多了,而且它也可以通过一个页面来监控集群运行的状态,并做一些简单的维护设置。 图 2:监控集群运行状态 
ajp_proxy 连接方式其实跟 http_proxy 方式一样,都是由 mod_proxy 所提供的功能。配置也是一样,只需要把 http:// 换成 ajp:// ,同时连接的是 Tomcat 的 AJP Connector 所在的端口。上面例子的配置可以改为:
采用 proxy 的连接方式,需要在 Apache 上加载所需的模块,mod_proxy 相关的模块有 mod_proxy.so、mod_proxy_connect.so、mod_proxy_http.so、mod_proxy_ftp.so、 mod_proxy_ajp.so, 其中 mod_proxy_ajp.so 只在 Apache 2.2.x 中才有。如果是采用 http_proxy 方式则需要加载 mod_proxy.so 和 mod_proxy_http.so;如果是 ajp_proxy 则需要加载 mod_proxy.so 和 mod_proxy_ajp.so这两个模块。
相 对于 JK 的连接方式,后两种在配置上是比较简单的,灵活性方面也一点都不逊色。但就稳定性而言就不像 JK 这样久经考验,毕竟 Apache 2.2.3 推出的时间并不长,采用这种连接方式的网站还不多,因此,如果是应用于关键的互联网网站,还是建议采用 JK 的连接方式。
| |||||||||||||||||||
windows 2003系统安全权限方案
我在电信局做网管,原来管理过三十多台服务器,从多年积累的经验,写出以下详细的Windows2003服务系统的安全方案,我应用以下方案,安全运行了 二年,无黑客有成功入侵的记录,也有黑客入侵成功的在案,但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。
服务器安全设置
>> IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
>> 在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
>> 在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
记录访问 建议关闭
索引资源 建议关闭
执行权限 推荐选择 “纯脚本”
>> 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
>> 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性->主目录->配置->选项中。
>> 在网站把”启用父路径“前面打上勾
>> 在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”
>> 优化IIS6应用程序池
1、取消“在空闲此段时间后关闭工作进程(分钟)”
2、勾选“回收工作进程(请求数目)”
3、取消“快速失败保护”
>> 解决SERVER 2003不能上传大附件的问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为20M即:20480000)
存盘,然后重启 iis admin service 服务。
>> 解决SERVER 2003无法下载超过4M的附件问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值(可修改为20M即:20480000)
存盘,然后重启 iis admin service 服务。
>> 超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
设置脚本超时时间为:300秒 (注意:不是Session超时时间)
解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”,
就可以进行设置了(Windows 2003默认为20分钟)
>> 修改3389远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0000端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:0000端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号
>> 本地策略--->用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
>> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)
>> 在安全设置里 本地策略-安全选项
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为"已启用"
>> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用" ;
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ;
>> 网络访问.限制匿名访问命名管道和共享,更改为"已启用" ;
将以上四项通通设为“已启用”
>> 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_388945a0
>> 禁用不必要的服务
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
>> 删除默认共享
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:: 先列举存在的分区,然后再逐个删除以分区名命名的共享;
:: 通过修改注册表防止admin$共享在下次开机时重新加载;
:: IPC$共享需要administritor权限才能成功删除
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
title 默认共享删除器
color 1f
echo.
echo ------------------------------------------------------
echo.
echo 开始删除每个分区下的默认共享.
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete>nul 2>nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在
)
)
net share admin$ /delete>nul 2>nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在
echo.
echo ------------------------------------------------------
echo.
net stop Server /y>nul 2>nul && echo Server服务已停止.
net start Server>nul 2>nul && echo Server服务已启动.
echo.
echo ------------------------------------------------------
echo.
echo 修改注册表以更改系统默认设置.
echo.
echo 正在创建注册表文件.
echo Windows Registry Editor Version 5.00> c:\delshare.reg
:: 通过注册表禁止Admin$共享,以防重启后再次加载
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
:: 删除IPC$共享,本功能需要administritor权限才能成功删除
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg
echo "restrictanonymous"=dword:00000001>> c:\delshare.reg
echo 正在导入注册表文件以更改系统默认设置.
regedit /s c:\delshare.reg
del c:\delshare.reg && echo 临时文件已经删除.
echo.
echo ------------------------------------------------------
echo.
echo 程序已经成功删除所有的默认共享.
echo.
echo 按任意键退出...
pause>nul
>> 打开C:\Windows目录 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,
FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,
REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限
>> 卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加IUSR用户完全拒绝权限
Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
添加IUSR用户完全拒绝权限
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限
>>> SQL权限设置
1、一个数据库,一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,SA帐号基本是不使用的,因为SA实在是太危险了.
2、更改 sa 密码为你都不知道的超长密码,在任何情况下都不要用 sa 这个帐户.
3、Web登录时经常出现"[超时,请重试]"的问题
如果安装了 SQL Server 时,一定要启用“服务器网络实用工具”中的“多协议”项。
4、将有安全问题的SQL扩展存储过程删除. 将以下代码全部复制到"SQL查询分析器"
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
恢复的命令是
EXEC sp_addextendedproc 存储过程的名称,@dllname ='存储过程的dll'
例如:恢复存储过程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意,恢复时如果xplog70.dll已删除需要copy一个。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
最好在C盘以外 (如D,E,F.....)的根目录建立到三级目录,一级目录只给Administrator权限,二级目录给Administrator完全控制权限和 Everyone除了完全控制,更改,取得,其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给 Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限即可.
C盘的目录权限以表格的方式来说明,简单明了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分: 其他权限部分:
Administrators 完全控制 无
如 果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php 的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚 拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立 的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在 winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<继承于c:\>
CREATOR OWNER 完全控制
只有子文件夹及文件
<继承于c:\>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<继承于c:\>
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分: 其他权限部分:
Administrators 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 Users 读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限 Internet 来宾帐户 创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 Users 写入
只有子文件夹及文件 该文件夹,子文件夹
<不是继承的> <不是继承的>
SYSTEM 完全控制 两个并列权限同用户组需要分开列权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 此文件夹包含 Microsoft 应用程序状态数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要权限部分: 其他权限部分:
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹
<不是继承的> <不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要权限部分: 其他权限部分:
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹
<不是继承的> <不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要权限部分: 其他权限部分:
Administrators 完全控制 Everyone 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 Everyone这里只有读和运行权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级文件夹>
SYSTEM 完全控制 Users 创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限
该文件夹,子文件夹及文件 只有该文件夹
<不是继承的> <不是继承的>
Users 创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
只有该子文件夹和文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\DRM
主要权限部分: 其他权限部分:
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止 Users 读取和运行
该文件夹,子文件夹及文件
<不是继承的>
Guests 拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
Guest 拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
IUSR_XXX
或某个虚拟主机用户组 拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files
主要权限部分: 其他权限部分:
Administrators 完全控制 IIS_WPG 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马
如果安装了aspjepg和aspupload
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Common Files
主要权限部分: 其他权限部分:
Administrators 完全控制 IIS_WPG 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上级目录>
CREATOR OWNER 完全控制 Users 读取和运行
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 复合权限,为IIS提供快速安全的运行环境
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Outlook Express
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
对应的c:\windows\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话)
主要权限部分: 其他权限部分:
Administrators 完全控制 无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Windows Media Player
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Windows NT\Accessories
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\WindowsUpdate
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\repair
主要权限部分: 其他权限部分:
Administrators 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
这里保护的是系统级数据SAM
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files
主要权限部分: 其他权限部分:
Administrators 完全控制 USERS 读取和写入/删除
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <不是继承的>
CREATOR OWNER 完全控制 IIS_WPG 读取和写入/删除
只有子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <不是继承的>
SYSTEM 完全控制 建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本
该文件夹,子文件夹及文件
<继承于C:\windows>
IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
<不是继承的>
Guests 列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files
主要权限部分: 其他权限部分:
Administrators 完全控制 ASP.NET 计算机帐户 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <继承于C:\windows>
CREATOR OWNER 完全控制 ASP.NET 计算机帐户 写入/删除
只有子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <不是继承的>
SYSTEM 完全控制 IIS_WPG 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <继承于C:\windows>
IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝 IIS_WPG 写入(原来有删除权限要去掉)
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
Guests 列出文件夹/读取数据 :拒绝 LOCAL SERVICE 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于C:\windows>
USERS 读取和运行 LOCAL SERVICE 写入/删除
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <不是继承的>
NETWORK SERVICE 读取和运行
该文件夹,子文件夹及文件
<继承于C:\windows>
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本 NETWORK SERVICE 写入/删除
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\config
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
只有子文件夹及文件 只有该文件夹
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要权限部分: 其他权限部分:
Administrators 完全控制 IIS_WPG 完全控制
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
<继承于上一级目录>
虚拟主机用户访问组拒绝读取,有助于保护系统数据
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分: 其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分: 其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
2009年2月15日星期日
ESX 3.5 从安装到破解
ESX Server 是VMWare 虚拟化解决方案中企业级 的软件产品。
ESX Server 目前的最新版本是 3.5 ,实际上是一个精简的linux底层加上vmware服务。
1、ESX Server 3.5 可以从vmware公司的网站下载最新版本。只需要填写一些调查表格就可以得到下载地址,因为下载采用了动态链接,也就是session检测,所以下载不 要中途停止,也最好不要管理vmware的网页。 从网站上下载的是试用版,但是只要输入正版序列号,就可以变成正式版,现在大多数的软件都采用这种发布方式。比如oracle,比如微软的win 2008 ,更是把 标准版企业版数据中心版集成到一张光盘上,输入不同的序列号就可以激活不同的版本。
所以,下载ESX Server,建议去vmware.com 下载,这样保证文件的完整可靠,不会被修改,不会有恶意程序,而且绝对是最新的稳定版本。
2、ESX Server架构中包含很多组件,比如中心管理控制台 Virtual center 2.5 ,比如客户端的管理程序 Virtual Infrastructure Client ,Vmware lisence Server ,还包括 物理机和虚拟机转换程序 P2V ,还有负责自动迁移的Vmotion,还有负责负载均衡的HA等等。
3、ESX Server的安装很简单,只要安装过linux的都很容易的可以安装完毕,因为我是在服务器上进行的安装,有SCSI硬盘,而且有两块网卡,所以没有出 现任何错误。 硬盘可以让ESX Server 来做自动分区,其中有个分区的格式是 vmfs 格式,是用来存放虚拟机文件的。ESX 安装的时候,最好使用域名模式,建议在局域网内建立DNS主机。
4、安装完毕后,在一台windows操作系统的计算机上安装 Virtual Center和Virtual lisence Server 。Virtual Center可以将多个Esx Server 放在统一的界面中进行管理,非常的方便。 Virtual lisence 则主要是提供授权服务的。
5、这个时候,需要激活ESX Server 了。这个时候,你有两个选择,一个是从vmware的官方网站申请了 60天的序列号。 一个选择就是破解了,嘿嘿。从网上搜索到了ESX 3.5的破解程序,注意,Esx3 和Esx3.5 的破解程序是不一样的,否则容易出现问题。
(1)、登录ESX Server ,修改/etc/ssh/sshd_config ,将PermitRootLogin no 改为 PermitRootLogin yes ,使用vi来修改,呵呵,记得insert是插入修改,而ESC : wq 是存盘退出就行了。
(2) 重启sshd服务。service sshd restart.
(3) 这时候再停掉防火墙服务. service iptables stop service iptables off 。注意这里是关键,网上很多文档里写这里还要执行 service firewall stop ,chkconfig firewall off ,这是不正确的,因为firewall属于守护进程,一旦被停止,不但会马上自启动,而且还会连带iptables启动 ,到时ESX 无法和lisence server通信,造成无法授权。
(4) 停掉vmware服务。 service mgmt-vmware stop
(5)使用SSH Secure File Transfer 之类的工具, 向ESX 上传破解文件。 破解文件主要是两个 ,一个叫做libvimsvc.so,一个叫做vmware-hostd ,两个文件都在/usr/lib/vmware/hostd目录下,上传前,建议对这两个文件做个备份。上传后,请记住,把两个文件的属性改为 755 !
然后启动vmware服务。 service mgmt-vmware start
(6)再转到Virtual Center 服务器上,将破解文件p2vsdk.dll 和 vpxd.exe 放到Windows\Program Files\VMware\Infrastructure\VirtualCenter Server\ 目录下去,同理,覆盖前记得备份原有文件。
(7)在vmware license Server tools 中加入破解的授权文件vmware.lic,在config services 的path to the license file处修改。然后重新读取lic文件,并且重启 license server服务即可。
(8)用VIC连接Virtual Center,会出现证书提示,选择忽略即可。进入控制台后,点击Administration下的VirtualCenter Management server configuration ,选择license server ,如果我们的license server 是和ESX Server安装在同一台服务器上的,那么选择 use license services on this virtualcenter server 就可以了,否则选择第三项,输入license server的地址。 Virtual center破解完成。
(9)这时候,我们可以添加已经安装好的ESX Server主机,添加过程很简单,之需要输入root的密码即可,添加成功后,在左侧出现ESX主机名,比如esx01.test.com ,然后点击 configuration ,点击Liscense Sources ,选择第三项,use license server ,填入license server的域名即可,记住! 是域名。点击确定,对ESX Server的授权就成功了
(10) 另外在virtual center这台计算机上,最好是单ip地址,或者说域名指向是单ip。我安装VC的时候,服务器是双网卡,而且是在一个domain环境中,所以VC服务器的域名指向的是两个不同的ip地址,导致无法授权成功。
6、破解完成后,就可以新建虚拟机了。ESX 默认保留一个网卡用作vmnetwork ,是用作管理通讯的。虚拟机的新建和使用和vmware workstation相同,建成后,可以点击summary下的open console 就可以启动一个console对虚拟机进行操作。
7、在ESxserver中可以,点击性能选项卡,可以很清楚的看到整个server或者单独的guest os对 cpu、内存、network 、系统的资源占用情况 。还可以为每个虚拟机分配 保留的资源,也可以限制其最大使用的资源 。
8、在vmware workstation中,当建立多个虚拟机,并且需要对外发布服务的时候,就会造成异常。而在ESX Server中,把每个网卡都虚拟成了一个多达 64口的交换机,即使多个虚拟机共享一个网卡对外发布服务,都没有任何的问题。
9、支持虚拟机的自动启动。 当host 主机 需要reboot 时, 主机启动后,可以设定主机上的 虚拟机自动启动,而且可以采用延时启动的方式,比如间隔120s,逐个启动虚拟机,启动哪几个虚拟机也是可以设定的。
10、支持时间任务计划。可以设定在指定的时间执行任务,比如打开或者关闭虚拟机。一个可行的方案就是 在早上 8 点打开某服务的虚拟机,而在下午六点半下班后将虚拟机进入suspend状态。
11、支持多用户管理,可以添加多个用户帐号,进行ESX Server的管理 ,可以设定不同的用户权限,比如是 admin还是 power user ,比如是否可以建立虚拟机,是否具有关闭电源的权利等等。
12、支持虚拟机模板技术,可以将一个虚拟机clone 或者 convert 为一个 template ,比如,我们将一个win2003 的guest os转化为模板,当需要新建一台虚拟机的时候,只需要从这个template deploy出来即可。模板和虚拟机的转化是双向的。也可以将模板重新转化回虚拟机,这样的好处是可以保证模板永远是最新最使用的。
13、支持虚拟机的迁移,可以将一个虚拟机从一台ESx server转移到另外一台ESX server 。当然,如果你使用了Vmotion ,这个转移过程还可以是自动的,根据一些设定好的条件,如资源占用情况,是否宕机等等。 当然,这种转移需要共享存储的支持。
14、可以通过VC控制台对存储空间进行管理,比如上传或者下载文件,在控制台界面中,默认的布局是host and cluster ,可以选择datastore,就可以看到存储界面了,可以常看其状态并进行文件管理。
15、ESX是支持存储的,无论是SAN还是NAS,可以用openfiler 或者 freenas来模仿SAN或者NAS 。在ESX中,需要配置一个网卡作为vmkernel和存储通讯,还要在openfiler或者freenas中设置安全措施,或者允许的ip地址访问等 等。
16、支持snapshot ,很方便的功能,对虚拟机做了snapshot后,任何时候都可以恢复到做snapshot时的系统状态,支持多个snapshot,相当于guest os有了一个时光机器。
17、运行很稳定。 让底层的linux和硬件打交道,在其上面模拟运行windows类操作系统,给良好的UI ,也算是各自发挥各自的长处,运行三个月以来,ESX很稳定,运行在它上面的windows服务也很稳定。以前我的windows服务器一般需要定期重 启,现在基本不需要了。
18、HA DRS 这些试验还没有做,不过我有个疑问就是,当使用这些服务的时候,需要使用共享存储,共享存储成为一个故障点,连接共享存储的网络也是故障点。而且如果 ESX用在生产环境中,对所在的服务器的系统资源应该会有一个大体的规划,包括占用的峰值等等。而自动迁移,很多时候时一台ESX Server无法沟通另外一台ESX Server后产生的自动动作,这种系统的自执行有很多事情,觉得不比人更可靠。 呵呵,等有了实验环境再详细实验吧。
2009年2月9日星期一
万能ghost XP 制作功略
一、XP系统的安装优化
300MB。
三.删除XP系统原有驱动,可以进行克隆!
先卸载网络适配器,和通用串行总线控制器,和声音,视频游戏控制器,监视器,显示卡,卸载时按右键,点卸载就行了。系统提示你要重新启动,都按否,不启动!!( 卸载显卡是为了防止GHOST到别的机上可能会出现的蓝屏现象)
2.接下去,点Advanced Configuration Power Interface(ACPI)右键,点更新驱动程
序, 弹出更新向导-----,点从列表或指定位置安装(高级)------点,不要搜索,我 要自己选择要安装的程序,并更改成Standard PC,点确 定之后,电脑也会提示你重新 启动,按否,不启动!(提示:现在大多数的电脑一般都是 Advanced Configuration Power Interface(ACPI):(高级电源管理) ,则这一步其实可以不用做!
3.最后,一定要更改 IDE ATA/ATAPI控制器, 这一步就是XP系统万能GHOST的主要步骤 所在!!这步不做,则 GHOST到别的机器里根本无法启动,电脑会不断重启!! 因此为 了适应现在各种不同的主板,(如Inter 主板,VIA主板,SIS主板)则必须将 你本机的 IDE 控制器改成 标准的双通道 PCI IDE控制器!
(注意,至此,删除驱动已完成,这时候如果要克隆已经可以,在电脑关机之后,将硬 盘接到别的电脑,或者本机电脑用光盘开机之后,将C盘内容GHSOT 到其他分区就行了 !)
为了更稳定,更标准地让系统自行安装电脑硬件的驱动程序!这时候,我们想到了微软 企业部署工具包里的Sysprep.exe--系统重新封装工具。我们就是希望系统在新克隆的 电脑中自行完整地再装一次所需的驱动,而不是将就地用母机的驱动)
四、创建自动应答文件,系统重新封装!
(X:\SUPPORT\TOOLS\DEPLOY.CAB)文件。接下去我们一步步开始使用这个工具;我们用 先在 C:盘根目录下建议一个名为Sysprep 的文件夹,并将DEPLOY.CAB压缩包文件用 Winrar 解压缩到 c:\sysprep 。
玩过系统无人安装的同志,我想这里都不陌生!!但新手也许会问“为何要创建这个文 件!”其实,电脑系 统无论是进行工厂模式安装,还是进行重新封装,都会要求用户输 入一些必要的内容,如用户名,电脑名,安装序列号等,但是有一个很严重的问题,就 是在新 机GHOST克隆安装中,需要我们输入这些信息时,系统还未找到键盘鼠标的驱 动,键盘鼠标假死,这时就必须让系统进行自动应答安装。否则安装肯定不成 功!!
点确定和完成,就成功地创建了全自动安装的应答文件。(并且,这个文件的文件名一 定要 sysprep.inf,所在目录一定要在c:\sysprep目录下)
特别提示:c:\sysprep 这个目录里不要放其他的东东,因为这个文件夹会在系统第一 次启动应答安装完成之后,自动删除这个文件夹和这个文件夹里的所有的东东。
2.系统重新封装
五、常见问题及适用范围.
1.如果使用重新封装来安装系统,则可以不用更改 计算机的(ACPI)属性为Standard PC,更改了反而不好,克隆之后还需要重新改回去,因为重新封装,会自动检测硬件 驱动!!
验,大至只能装以下软件:(
2. HyperSnap-DX 图像捕捉软件
3. IsoBuster Pro 1.5 光盘读取软件
4. Net Transport 下载工具
5. 网际快车 FlashGet 下载工具
6. RealOne Player Plus 网上电影播放工具
7. Norton AntiVirus 8.1 杀毒软件
8. UltraISO 6.51 光盘文件制作软件
9. WinImage v6.1 各种镜像制作软件
10. WinRAR 3.3 压缩软件
11. 腾讯 QQ 聊天软件
12. 金山影霸 2003 正式版 ,媒体播放软件
13. FinalData 2.0 ---最强数据恢复软件
14. FlashFXP 2.1 Build 923 上传软件
15. MyIE2 0.8.2070 网页浏览软件
16. Winamp 5.01 MP3播放软件
17. Microsoft Power point 2000 办公软件
18. Microsoft Excel 2000 办公软件
19. Microsoft Word 2000 办公软件
因光盘容量有限只能装这些了,当然你可以装你自己喜欢的软件,(硬盘GHOST不限容 量,因此建议用硬盘GHOST,只是在帮别人装系统的时候带上硬盘麻烦一点),
适用范围:
2009年2月7日星期六
制作集成SATA驱动的Windows XP sp3 安装光盘
一、系统准备
目前,XP SP3 VOL版系统MDSN已放出,安装XP SP3不仅用不着打补丁,而且系统性能有所改善,因此向各位朋友推荐XP SP3 VOL版。
1、MSDN官方集成的XP SP3 VOL版系统。下载请见《Windows XP pro with sp3 VOL 微软原版+正版密钥 》
2、下载DPs_BASE_805(集成SATA驱动的主程序)
下载地址:
http://driverpacks.net/DriverPacks/download.php?pag=b
3、下载driverPack MassStorage8.05(SATA驱动包,最新版本8.5)
下载地址:
http://driverpacks.net/DriverPacks/download.php?pag=m
这个driverpack massstorage里面包含有我们要添加的SATA驱动。
4、载Ultraiso(软碟通)
下载及使用方法请参考《软碟通UltraISO V9.2.0简体中文版下载及注册码》
二 、集成SATA驱动详细过程
1、复制Windows XP光盘里的文件至硬盘,比如F:LENOVO xp sp3 OEM。
2、安装DrivePacks。在F盘里新建一个目录(如F:DriverPacks),把下载的DriverPacks BASE文件放进去,双击即可把所有程序文件自动解压到该目录下,然后把DrivePacks文件移到另一个硬盘(如D盘的常用软件文件夹里备用)。释放 后如下图:
3、把DriverPack MassStorage的7zip格式压缩包放到F:DriverPacks\DriverPacks目录下,不需要解压缩。
这是DriverPacks小组制作好的SATA/SCSI驱动包,包括常见的大多数磁盘设备,可以到这个页面查看所支持设备的列表和驱动版本:
http://driverpacks.net/DriverPacks/devices.php?pag=m
特别提醒:如果此步出错,在第6步将显示无法找到驱动包的提示(全部为阴影,这是网友反映最多的问题)。
4、运行E:DriverPacks DPs_BASE.exe。初始界面可以选择语言。选择Chinese (Simplified),然后点下另边的APPLY按钮,就进入简体中文界面了。
5、选择“设置-位置”,选中“磁盘”项,点击“浏览”按钮。选中刚才的F:LENOVO xp sp3 OEM目录,确定。这时候左边的窗口会多出几项设置内容。
注意:加载时有一个诸如警告之类的提示,不理它。加载成功后如下图:
6、在“设置-驱动包”中选中“DriverPack MassStorage 8.0”。这个软件也可以集成显示卡驱动、芯片组驱动等,其它驱动详细指南请访问 http://forum.driverpacks.net/viewtopic.php?id=1449
注意:一般我们只集成SATA驱动,集成其余驱动程序太多的话,容易出错!
7、“驱动包整合方式”选择方式2。方式1虽然比较正统,但是会受到Windows安装程序检索文件夹数量的限制,导致有部分驱动可能无法被载入。
8、在KTD选项中,选用默认的“禁用KTD”。
9、在“选项设置-快速整合缓存”里选中第一项。
10、点击“整合”按钮,程序会自动把驱动整合进Windows XP安装目录里。这个过程比较长,大概要三到五分钟左右,要有耐心等待。开始集成时如下图:
集成过程如下图:
集成结束后如下图:
集成完成后,在F:LENOVO xp sp3 OEM目录中多了个OEM文件夹,这是集成的SATA驱动文件包。打开OEM文件夹,可见:
至此,我们已在MSDN xp sp3 VOL集成了SATA驱动了。接下来的工作就是重新封装与刻录。
三、封装、刻录可光盘启动的XP SP3系统
1、打开UltraISO软件,在“文件”下拉菜单里点“打开”,导入一个我们从网络资源中下载的LENOVO XP SP3 或者任一XP SP3零售版、VOL的镜像文件(ISO文件也可,光盘镜像文件也可)。
2、在“启动光盘”下拉菜单里点“保存引导文件”,按弹出的对话框提示,把引导文件另存在桌面上(文件名随便)。当然,我们手中已有一张原版的 WindowsXP sp2光盘也行,直接在“启动光盘”下拉菜单里点“从CD/DVD提取引导文件”,也能提取一个引导文件。
3、把F:LENOVO xp sp3 OEM目录下的全部文件和文件夹拖放到上栏右边的窗口,在“启动光盘”下拉菜单里点“加载引导文件”,按照提示从桌面上把刚才提取的引导文件加载到集成了SATA驱动程序的LENOVO xp sp3 OEM镜像文件里。
4、在文件下拉菜单中点“保存”,文件随便取。这样,一个集成SATA驱动程序的LENOVO xp sp3 OEM系统就做好了,接下来就上刻录成光盘在联想电脑上测试了。
特别说明:最新版本修改了许多BUG,是一款容易上手的集成驱动程序的软件。经分析发现,出名的番茄花园集成SATA驱动程序,也是用的这种方法。
D630安装XP时无法找到硬盘的解决方案
分析:
Latitude D630采用SATA硬盘,我们知道, 目前SATA硬盘工作在两种模式下,一种是”ATA模式”(”兼容”模式,”标准” 模式,将SATA硬盘映射到系统的IDE通道上),之前D620等机型均采用这种模式;第二种是”AHCI”模式,Latitude D630开始支持这种模?同时BIOS中,可以在这两种模式中选择(出厂和ALT+F都默认成”AHCI”).
如果在BIOS中将”SATA Operation”设置为”AHCI”模式,安装Windows XP的时候,需要SATA的驱动支持.如果客户购买的是Windows XP,用D630随机配的XP光盘安装,则可以顺利安装;但是如果客户购买的是Vista或者N系统,用不包含SATA驱动的XP光盘(比如早先的D620所配Windows XP光盘),就会出现该问题.
由于Vista原本就支持AHCI,因此,安装Vista不会有这样的问题.
解决方法:
方法1):
在BIOS中,将”SATA Operation”设置为”ATA”,然后安装Windows XP,让硬盘工作在”ATA”模式下;
方法2):
从RCD中将SATA驱动解压到软驱中,在安装Windows XP过程中按F6安装SATA驱动;
图:RCD中SATA的驱动
图: 安装Windows XP过程中按F6安装SATA驱动
方法3)用含有SATA驱动的Windows XP光盘进行安装,比如D630机器配的Windows XP光盘等;
方法4)先将BIOS设置为”ATA”模式,安装Windows XP后,然后手工安装SATA驱动(这个过程比较繁琐),然后再将BIOS改回”AHCI”模式.
具体过程,请参考http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=25&tid=110139
注意:
请谨慎修改BIOS的”SATA Operation”或者使用ALT+F, 这样操作可能会引起系统无法启动或者需要重新安装操作系统!
比如,在ATA模式安装好Windows XP后,直接将BIOS改成”AHCI”,启动Windows XP后,就会出现BSOD:
