IT博客-点滴-随笔分类-骗子的系统管理工作

网络Ghost克隆教程(ZT)

天空 — Thu, 04 Jan 2007 07:19:00 GMT

/TR />/TR />TD>/TD />/TD />FONT color=#0000ff size=2>1.我们做好一张母盘.并将操作系统目录里的TEMP目录里的东西,以及临时文件夹全部清空.之后将母盘系统备份到另外一块硬盘上.

首先确认备份的系统有一个比较大的分区.并确认能装下你的硬盘备份.

将准备好的另外一块硬盘挂在你做好的机器上.之后重新启动到DOS模式,启动GHOST.

选择LOCAL→DISK→TO IMAGE.

/TR />

/TR />/TR />TD>/TD />/TD />

/TR />

/TR />/TR />TD>/TD />/TD />

/TR />

/TR />/TR />TD>/TD />/TD />

/TR />

/TR />/TR />TD>/TD />/TD />/P>

/TR />

/TR />/TR />TD>/TD />/TD />/P>

2、给文件起个名字...回车.它会问你压缩方式.选NO是不压缩.FAST是快速压缩.HIGH是高压缩率,由于我选的是FAST,而且从来没出过什么问题,在这里也推荐你使用.

/TR />

/TR />/TR />TD>/TD />/TD />

3、因为FAT32格式分区最大只能识别2G的文件.所以每到达2G时候,会提示你会重新建立文件.

/TR />

/TR />/TR />TD>/TD />/TD />

4、文件建立完了,我们该建立GHOST服务器了

启动WINDOWS打开GHOSTSRV.EXE文件.我们讲在后面提供下载,也可以在GHOST企业版里找到.之后给服务器起

一个名字.我起的名字是shenzi

选择克隆客户端

之后选择你备份到另外一个硬盘的备份文件.

点击接受客户的按扭

　/TR />

/TR />/TR />TD>/TD />/TD />FONT color=#0000ff size=2>5、好了,现在服务器已经进入接收状态了.

　/TR />

/TR />/TR />TD>/TD />/TD />FONT color=#0000ff size=2>6、之后到客户端,就是你准备要克地机器.在GHOST.EXE文件所在的目录里,创建一个WATTCP.CFG的文件.此文件是指定IP以及网关的.如果没有此文件GHOST会自动扫描DHCP服务器.不推荐使用DHCP服务器.所以我们用DOS的命令,EDIT建立一个WATTCP.CFG的文件吧.

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>7、好了之后我们建立以下内容

IP=你这台机器所指定的IP.为了避免重复,尽量使用机器号.

NETMASK=子网掩玛,根据IP规则设置。

GATEWAY=网关.就是建立了GHOST服务器的IP地址.

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>8、好了,之后驱动网卡.执行RTSPKT空格0X60,0X60是给网卡的一个中断.这里必须给网卡一个中断.否则你也驱动不起你的网卡.我用的中断是0X60.

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>9、之后进入GHOST.选择MULTICASTING

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>10、它会问你服务器名字.在这里输入你起的服务器名字.按回车

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>11、选择硬盘.按回车

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>12、在这里可以重新修改分区大小,如果没有特别要求,选择OK继续.

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>13、确认开始.选YES,好了,现在你的客户端已经进入接收状态了

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>14、等把客户端全部连接上之后,就可以选择开始传送进行网络克隆了.

　/TR />

/TR />/TR />TD valign="top">/TD />/TD />FONT color=#0000ff size=2>好了,我们的教程到这里就结束了,不过提醒大家,网络GHOST的机器尽量不要超过50台.如果出现问题,那麻烦的可是你了哦.如果有机器断线,请关闭那台机器等待,大约5分钟后会记为超时.GHOST还会继续运行.另外有一些网卡驱动执行完后会锁住键盘.请大家自己建立批处理文件就可以的。/TR />

天空 2007-01-04 15:19 发表评论

Bugzilla安装指南(ZT)

天空 — Thu, 28 Dec 2006 13:10:00 GMT

Bugzilla安装指南

准备

Bugzilla在Windows下的安装颇为复杂，所以有很多人写了安装指南。但是使用安装的时候发现每个指南写的都有缺陷。这里我仅仅是把我安装的过程记录下来，给大家一个参考。同时还列出了一些我觉得有帮助的参考文章和站点。

工欲善其事必先利其器，建议你在开始安装之前把所有需要的软件下载齐全，这样可以提高效率和成功率。Bugzilla所需的软件都是开源的，都可以从它们的官方网站上下载到（我个人不喜欢去华军软件园之类的下载网站上找，因为即不安全，找到的也不一定是最新的版本）。下面把所需东西和下载网站罗列一下：

MySQL（4.1）

http://dev.mysql.com/downloads/mysql

Perl （5.8.7.815）

http://www.activestate.com/Products/Download/Download.plex?id=ActivePerl

Perl模块

有两个简单的途径可以获得Bugzilla所需的Perl模块。一个是Bugzilla汉化项目整理的，收集的很全而且比较新，还有一个安装批处理程序，所以推荐大家用这个；另外一个是Bugzilla的测试服务器，它也提供了完整的Perl模块集合，但是版本似乎比较老。第三条道路也是有的，但是需要自己去找然后再编译。对于像我一样不懂Perl德人来说是在复杂，因此不推荐大家这样做。

http://sourceforge.net/project/showfiles.php?group_id=75477

http://landfill.bugzilla.org/ppm/

Bugzilla（2.20）

http://www.bugzilla.org/download/

Bugzilla汉化包（2.20）

http://sourceforge.net/project/showfiles.php?group_id=75477

安装和配置MySQL

安装MySQL很简单，只要按照安装程序的提示一步一步的做就可以了，如果有问题可以到MySQL官方网站（http://dev.mysql.com/doc/）上查看在线手册。

接下来要配置MySQL。有些文章里写道需要手工修改root用户的密码，其实这一步在MySQL安装程序里就已经完成了（可能那些文档写的较早，MySQL的安装程序可能不太好用吧），因此不用再去设置。我们要新建一个Bug数据库和一个Bugzilla访问这个数据库的用户。操作如下：

C:\mysql\bin>mysql –user=root -p mysql

Enter password: ********

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 15 to server version: 4.0.20a-debug

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the buffer.

mysql> create database ;

Query OK, 1 row affected (0.11 sec)

mysql> grant all privileges on .* to ‘‘@’‘ identified by ‘‘;

Query OK, 0 rows affected (0.03 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.00 sec)

mysql> quit

Bye

C:\mysql\bin>

安装Perl及其模块

安装Perl也很容易，按照安装程序提示一步一步装就可以了。稍微复杂一点的是安装它的模块。不过有了Bugzilla汉化项目提供的批处理程序，这个步骤也非常简单了。大家只要记住一个简单的命令就可以了：

ppn install

ppn uninstall

安装Bugzilla

把下载到压缩包解压到一个文件夹，然后运行Bugzilla的安装检查程序（CheckSetup.pl）。它会自动验证是不是安装了必须的软件。如果没有什么问题它会在Bugzilla目录里生成一个localconfig文件（没有扩展名）。

用文本编辑器打开localconfig文件，找到下面两段文字。$db_host表示服务器名称，$db_name表示数据库名称，$db_user表示登录用户名，$db_pass表示密码。修改这几个值并保存。

# How to access the SQL database:

$db_host = ‘localhost’; # where is the database?

$db_name = ‘bugs’; # name of the SQL database

$db_user = ‘bugs’; # user to attach to the SQL database

# Enter your database password here. It’s normally advisable to specify

# a password for your bugzilla database user.

# If you use apostrophe (’) or a backslash (\) in your password, you’ll

# need to escape it by preceding it with a ‘\’ character. (\’) or (\)

# (Far simpler just not to use those characters.)

$db_pass = ‘bugs@agfa’;

再次运行Bugzilla的安装检查程序（CheckSetup.pl）。这时如果正常它将初始化数据库结构和Demo数据。不过不要高兴得太早，可能会出现“Client does not support authentication protocol requested by server ……”错误信息。这个问题整整困扰了我一个上午，幸亏后来找到Byron Jones写的《Installing Bugzilla on Microsoft Windows》。产生这个错误是因为MySQL 4.1及以后的版本使用了新的密码加密算法，而使用的Perl的DBD::MySql模块不够新，不支持新的加密算法。你可以采取两种方式来解决这个问题：一是使用新的DBD::MySql模块，不过需要自己编译；另一种是在MySQL中强制使用兼容老版本的密码加密算法：

C:\mysql\bin> mysql –user=root -p mysql

Enter password: ********

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 15 to server version: 4.1.11-nt

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the buffer.

mysql> set password for ‘‘@’‘ = OLD_PASSWORD (’‘);

Query OK, 0 rows affected (0.00 sec)

mysql> quit

Bye

C:\mysql\bin>

配置IIS

打开IIS管理界面。新建一个虚拟路径，指向Bugzilla所在文件夹。

然后按应用程序设置按钮。增加一个映射，将 .cgi 文件映射到 perl.exe 。这里特别注意，有些文档里写成： perl.exe “%s” %s ，这样不正确，在运行时出错（又花去一个小时）。正确的配置应该如下：

完整路径 >\perl.exe -x 完整路径 > -wT “%s” %s

例如：

c:\perl\bin\perl.exe -xc:\bugzilla -wT “%s” %s

最后，将index.cgi加入到默认文档列表中。最好移到最前面，这样可以加快查询速度。如果不希望/不能把index.cgi加入到默认文档列表中，也可以在安装Bugzilla的时候，将localconfig文件中$index_html的值改为1。这样运行checksetup.pl时，就会生成一个index.html，自动重定向到index.cgi。

# With the introduction of a configurable index page using the

# template toolkit, Bugzilla’s main index page is now index.cgi.

# Most web servers will allow you to use index.cgi as a directory

# index, and many come preconfigured that way, but if yours doesn’t

# then you’ll need an index.html file that provides redirection

# to index.cgi. Setting $index_html to 1 below will allow

# checksetup.pl to create one for you if it doesn’t exist.

# NOTE: checksetup.pl will not replace an existing file, so if you

# wish to have checksetup.pl create one for you, you must

# make sure that index.html doesn’t already exist

$index_html = 1;

配置Bugzilla

不想多写了，在浏览器中打开 http://localhost/bugzilla （根据你的具体情况而定）。如果你的Bugzilla是第一次使用，它会自动转向到Setup页面，按部就班的做就可以了。

汉化Bugzilla

最后要做的就是汉化了，不过你不想汉化也没有问题。将汉化包解压解压到cn文件夹，将整个文件目录 cn 拷贝至 Bugzilla 的子目录 template下；然后以管理员身份登录Bugzilla，点击页脚的 Parameters（系统参数设置）链接，将 languages 一项的值改为 cn，保存，则以后见到的Bugzilla页面就是汉语页面了。如果想返回英文界面，将 cn 改回 en 即可。

为保证向后兼容，汉化的文件全部存为 UTF-8 格式。但不管你是否汉化Bugzilla，为强迫Bugzilla采用UTF-8来处理字符串，避免Bugzilla偶然出现的乱码，强烈建议大家将文件安装目录>\Bugzilla\CGI.pm 的第55行改为 $self->charset(’UTF-8‘)。

总结

到这里，Bugzilla的安装就基本上搞定了。也许你已经发现了，这篇文档没有说明关于邮件的问题。这时因为我没有配置，不过按照Bugzilla文档的说明，它已经提供了内置的SMTP支持。可是它不支持需要认证的SMTP，可以使用Glob’s sendmail wrapper来解决。

参考

Bugzilla官方网站http://www.bugzilla.org

Bugzilla汉化项目http://sourceforge.net/projects/bugzilla-cn

http://cosoft.org.cn/projects/bugzillchinese/

Perl官方网站http://www.perl.com

ActivePerl官方网站http://www.activestate.com/Products/ActivePerl

MySQL官方网站http://www.mysql.com

Fake Sendmait for Windows http://www.glob.com.au/sendmail/

Installing Bugzilla on Microsoft Windows

http://www.bugzilla.org/docs/win32install.html

The Bugzilla Guide http://www.bugzilla.org/docs/2.20/html

Bugzilla windows安装红宝书http://blog.fz0132.com/trackback.asp?tbID=654

附录

安装配置 Bugzilla 的工作清单

□ 下载Perl

□下载Perl模块

□下载MySQL

□下载Bugzilla

□下载Bugzilla汉化包

□安装MySQL

□生成Bug数据库

□生成Bugzilla数据库用户并分配权限

□安装Perl

□安装Perl模块

□解压Bugzilla压缩包

□运行CheckSetup.pl检查安装

□修改localconfig文件，设置数据库访问方式

□再次运行CheckSetup.pl完成数据库初始化

□修改Bugzilla数据库用户密码加密方式（视情况而定）

□在IIS管理器中为Bugzilla建立虚拟路径

□将.cgi文件映射到perl.exe

□将index.cgi加入到默认文档列表中（可选）

□配置Bugzilla

□汉化Bugzilla

天空 2006-12-28 21:10 发表评论

mysql 5.0的安装（ZT）

天空 — Thu, 28 Dec 2006 12:20:00 GMT

1. 在http://dev.mysql.com/downloads/mysql/5.0.html下载mysql-noinstall-5.0.15- win32.zip.

2. 解压到C:\mysql, 拷贝my-medium.ini到C:\WINDOWS, 并重命名为my.ini. 3. 编辑 my.ini,在[mysqld]部分中增加如下两句: basedir = 你装mysql的地址 datadir = F:/Data/mysqldata 因安装CodeLib .Net, [mysqld]修改以下几句为:(原因见:http://codelib.threeus.com/Manual/ConnectionMySQL.htm 《安装设定Code Library(MySQL)三步骤》) max_allowed_packet = 32M (默认为1M) sort_buffer_size = 4M (MySQL 5.0.15 my-medium.ini默认为512K) 新增default-character-set = utf8 在[client]中同样增加default-charac

一、连接MYSQL。
格式： mysql -h主机地址 -u用户名－p用户密码
1、例1：连接到本机上的MYSQL。
首先在打开DOS窗口，然后进入目录 mysqlbin，再键入命令mysql -uroot -p，回车后提示你输密码，如果刚安装好MYSQL，超级用户root是没有密码的，故直接回车即可进入到MYSQL中了，MYSQL的提示符是：mysql>
2、例2：连接到远程主机上的MYSQL。假设远程主机的IP为：110.110.110.110，用户名为root,密码为abcd123。则键入以下命令：
mysql -h110.110.110.110 -uroot -pabcd123
（注:u与root可以不用加空格，其它也一样）
3、退出MYSQL命令： exit （回车）
二、修改密码。
格式：mysqladmin -u用户名 -p旧密码 password 新密码
1、例1：给root加个密码ab12。首先在DOS下进入目录mysqlbin，然后键入以下命令
mysqladmin -uroot -password ab12
注：因为开始时root没有密码，所以-p旧密码一项就可以省略了。
2、例2：再将root的密码改为djg345。
mysqladmin -uroot -pab12 password djg345
三、增加新用户。（注意：和上面不同，下面的因为是MYSQL环境中的命令，所以后面都带一个分号作为命令结束符）
格式：grant select on 数据库.* to 用户名@登录主机 identified by "密码"
例1、增加一个用户test1密码为abc，让他可以在任何主机上登录，并对所有数据库有查询、插入、修改、删除的权限。首先用以root用户连入MYSQL，然后键入以下命令：
grant select,insert,update,delete on *.* to test1@"%" Identified by "abc";
但例1增加的用户是十分危险的，你想如某个人知道test1的密码，那么他就可以在internet上的任何一台电脑上登录你的mysql数据库并对你的数据可以为所欲为了，解决办法见例2。
例2、增加一个用户test2密码为abc,让他只可以在localhost上登录，并可以对数据库mydb进行查询、插入、修改、删除的好作（localhost指本地主机，即MYSQL数据库所在的那台主机），这样用户即使用知道test2的密码，他也无法从internet上直接访问数据库，只能通过MYSQL主机上的web页来访问了。
grant select,insert,update,delete on mydb.* to test2@localhost identified by "abc";
如果你不想test2有密码，可以再打一个命令将密码消掉。
grant select,insert,update,delete on mydb.* to test2@localhost identified by "";

我们来看看MYSQL中有关数据库方面的好作。注意：你必须首先登录到MYSQL中，以下好作都是在MYSQL的提示符下进行的，而且每个命令以分号结束。

一、好作技巧
1、如果你打命令时，回车后发现忘记加分号，你无须重打一遍命令，只要打个分号回车就可以了。也就是说你可以把一个完整的命令分成几行来打，完后用分号作结束标志就OK。
2、你可以使用光标上下键调出以前的命令。但以前我用过的一个MYSQL旧版本不支持。我现在用的是mysql-3.23.27-beta-win。

二、显示命令
1、显示数据库列表。
show databases;
刚开始时才两个数据库：mysql和test。mysql库很重要它里面有MYSQL的系统信息，我们改密码和新增用户，实际上就是用这个库进行好作。
2、显示库中的数据表：
use mysql；／／打开库，学过FOXBASE的一定不会陌生吧
show tables;
3、显示数据表的结构：
describe 表名;
4、建库：
create database 库名;
5、建表：
use 库名；
create table 表名 (字段设定列表)；
6、删库和删表:
drop database 库名;
drop table 表名；
7、将表中记录清空：
delete from 表名;
8、显示表中的记录：
select * from 表名;

三、一个建库和建表以及插入数据的实例
drop database if exists school; //如果存在SCHOOL则删除
create database school; //建立库SCHOOL
use school; //打开库SCHOOL
create table teacher //建立表TEACHER
(
id int(3) auto_increment not null primary key,
name char(10) not null,
address varchar(50) default '深圳',
year date
); //建表结束
//以下为插入字段
insert into teacher values('','glchengang','深圳一中','1976-10-10');
insert into teacher values('','jack','深圳一中','1975-12-23');

注：在建表中（1）将ID设为长度为3的数字字段:int(3)并让它每个记录自动加一:auto_increment并不能为空:not null而且让他成为主字段primary key（2）将NAME设为长度为10的字符字段（3）将ADDRESS设为长度50的字符字段，而且缺省值为深圳。varchar和char有什么区别呢，只有等以后的文章再说了。（4）将YEAR设为好期字段。
如果你在mysql提示符键入上面的命令也可以，但不方便调试。你可以将以上命令原样写入一个文本文件中假设为school.sql，然后复制到c:\下，并在DOS状态进入目录\mysql\bin，然后键入以下命令：
mysql -uroot -p密码 < c:\school.sql
如果成功，空出一行无任何显示；如有错误，会有提示。（以上命令已经调试，你只要将//的注释去掉即可使用）。

四、将文本数据转到数据库中
1、文本数据应符合的格式：字段数据之间用tab键隔开，null值用\n来代替.
例：
3 rose 深圳二中 1976-10-10
4 mike 深圳一中 1975-12-23
2、数据传入命令 load data local infile "文件名" into table 表名;
注意：你最好将文件复制到\mysql\bin目录下，并且要先用use命令打表所在的库。

五、备份数据库：（命令在DOS的\mysql\bin目录下执行）
mysqldump --opt school>school.bbb
注释:将数据库school备份到school.bbb文件，school.bbb是一个文本文件，文件名任取，打开看看你会有新发现。

天空 2006-12-28 20:20 发表评论

win2000 下安装配置 BUGZILLA 心得（ZT）

天空 — Thu, 28 Dec 2006 12:14:00 GMT

摘要: 决定将上星期安装BUGZILLA的经验告诉大家，希望能对那些正在为装BUGZILLA的朋友们有所帮助网上有很多关于 bugzilla 在 windows 环境下安装的资料，但是也有部分不适合自已，走到某一步总会出现一些错误提示，我整整花了一周的时间才配置好，现将我的安装步骤写下来，希望对大家有些启发。 ... 阅读全文

天空 2006-12-28 20:14 发表评论

bugfree学习（一）

天空 — Thu, 28 Dec 2006 11:04:00 GMT

这个工具很好，可是不会采用。因为不方便，芝麻大的事情要去搞数据库。稳定性很难保证
停止学习这个工具

1：BugFree的7种解决方案各自的含义是什么？

By Design - 就是这么设计的，无效的Bug
Duplicate - 这个问题别人已经发现了，重复的Bug
External - 是个外部因素(比如浏览器、操作系统、其他第3方软件)造成的问题
Fixed - 问题被修理掉了。Tester要尽可能找到这种Bug
Not Repro - 无法复现你这个问题，无效的Bug
Postponed - 是个问题，但是目前不必修理了，推迟到以后再解
Won't Fix - 是个问题，但是不值得修理了，不管它吧

2：如何成为管理员？

打开Include/ConfigBug.inc.php文件:
$BugConfig["AdminUser"] = array("admin","你的用户名");
要注意引号和逗号的间隔。

3：如何增加上传附件的大小?

修改ConfigBug.inc.php文件。
$BugConfig["File"]["MaxFileSize"] = 1024 * 100; //注意单位是字节。

1.4 保护你的Shell目录，以免造成密码泄漏。

Shell目录下面的脚本程序是用来自动发送邮件通知的，这个目录必须加以保护，以免造成安全方面的隐患。
保护的措施有以下几个方法：

1.4.1 将Shell目录移到网站目录之外。
1.4.2 如果是linux 系统下面，可以通过chmod o-rwx Shell -R 来去掉Shell目录的读写权限。
1.4.3 可以将扩展名为.sh结尾的文件删除，通过.php文件来完成自动发信的功能。具体的调用方式:
windows: your/path/to/php.exe your/path/to/BugFree/Shell/NoticeBug.php
linux: your/path/to/php your/path/to/BugFree/Shell/NoticeBug.php

1.3 修改目录的权限

上传之后，必须修改几个目录的权限：

linux平台下面：chmod o=rwx Compile BugFile
windows平台下面，如果BugFree所在的目录分区为NTFS分区，也需要增加读写的权限。

1.4 访问install.php页面，生成ConfigBug.inc.php文件

访问http://xxx.com/BugFree/install.php页面，根据页面提示填写参数，生成BugFree的配置文件，将其保存到Include目录下面，命名为ConfigBug.inc.php文件。

1.5 用管理员账号登录，建立初始的项目，建立权限系统。

使用在1.4步骤里面建立的管理员账号登录，点击页面右上部的“管理”菜单进入后台管理，建立项目、模块，添加用户组，添加用户就可以了。

3.1 不能正确的改变Bug状态

一个Bug只有3种状态：Active、Resolved、Closed。实践中经常有不熟悉的同事通过“编辑 (Edit)”来改变所有的状态，那是不合适的。正确的状态转换方法应该是：

某个状态自己到自己的改变，使用“编辑 (Edit)”。比如一个Active的Bug，从一个人指派到另外一个人；
Active -> Resolved 只能用“解决 (Resolve)”； Resolved -> Closed 只能用“关闭 (Closed)”；
Resolved -> Active 和 Closed -> Active 只能使用“激活 (Activate)”

http://bugfree.1zsoft.com/Doc/FILES.htm

http://bugfree.1zsoft.com/Doc/CONFIG.htm

天空 2006-12-28 19:04 发表评论

用VNC远程登陆linux (ZT)

天空 — Thu, 28 Dec 2006 07:34:00 GMT

由于客户需要充分利用花了N多money购买的服务器，而服务器上运行的是Linux AS,客户又不太会使用文本模式，因此只好采用配置X-server的方式来给每一个用户一个图形终端了，这多亏了X-windows设计的先进性呀。
为了简单，我就使用了Linux自带的vnc-server。
代码::
#uname -a
Linux server1.linux 2.4.21-4.ELsmp #1 SMP
#rpm -q vnc-server
vnc-server-4.0-0.beta4.1.1

你可以使用特定的帐号来运行你的vncserver命令。这样可以做到同时有多个用户登录图形终端。同时一个图形终端编号只能有一个用户登录。
代码::
#useradd demo
#passwd -d demo
#su demo
$vncserver
passwd: //如果这个帐号是第一次运行vncserver，则会要求你输入连接的密码。
verify:
New 'server1.linux:4 (demo)' desktop is server1.linux:4
Starting applications specified in /home/demo/.vnc/xstartup
Log file is /home/demo/.vnc/server1.linux:4.log

上面这段话表示起动了一个图形终端，编号为4,要记住这个编号，等下登录时需要提供这个编号。
如果你要停止这个进程，使用
代码::
$vncserver -kill :4

就可以了，后面的数字表示图形终端编号。
ok，这样，x-server已经起动了。
我们来测试一下。
找另外一台机器，如果是Linux的系统，那就比较方便，直接使用下面的命令
代码::
#vncviewer xx.xx.xx.xx:4 ;连接方式是ip地址:编号,这里的编号是4.

会弹出一个对话框，要求你输入密码，如果密码正确，这是就会出现图形终端了。
如果是windows的机器，那就下载一个vnc的软件吧。我用的是winVNC。
连接方式是一样的。
不过大家也看到了，虽然图形界面是看到了，但是好丑呀！的确，因为默认的图形终端采用xterm+twm，桌面上什么都没有。如果能使用默认的GNOME或者KDE或者FVWM等X-manager该有多好？
没有问题，接下来的配置就是解决这个问题。
每当一个帐号运行一次vncserver后，就会在家目录下创建.vnc目录。
里面有一个可执行脚本xstartup。看看里面的内容就知道了，默认起动的是twm。
那么我们就修改这个文件吧，去掉里面的所有内容，写入下面一行
代码::
gnome-session

这样就指定起动gnome。
也可以写入
代码::
unset SESSION_MANAGER
exec /etc/X11/xinit/xinitrc

表示起动默认的图形管理器。
保存退出，然后重新起动vncserver。
代码::
$vncserver -kill :4
$vncserver

然后到客户端去连接X-server，看是不是变得漂亮些啦。
可能你又会问了，如果我有1000个用户呢，是不是每一个用户都需要去修改这个文件呀，那多麻烦呀。
那我们就找到根源吧，看到底xstartup是谁创建的。
找到/usr/bin/vncserver，他是一个perl脚本程序。
打开看看
转到43行，你就会看到
$defaultXStartup变量的定义了，看到了吧。
这下你知道怎么改了吧。
把他变成这个样子：
代码::
$defaultXStartup
= ("#!/bin/shnn".
"# Uncomment the following two lines for normal desktop:n".
"unset SESSION_MANAGERn".
"exec /etc/X11/xinit/xinitrcnn".
"#[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresourcesn".
"#xsetroot -solid greyn".
"#vncconfig -iconic &n".
"#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &n".
"#twm &n");

实际上就是去掉最前面的两行注释，注释掉下面的几行。保存退出。
你再创建一个帐号，运行vncserver看看。
是不是默认的图形终端就修改了呢？
我的任务完成了。
需要去面试了。
大家试试吧。

安装远程桌面，VNC Server on FreeBSD + VNC Viewer on Windows ！

一直都在思考*NIX下面如何远程桌面，发现VNC实在是一个很好的东东，在*NIX平台上的性能表现远超过于Windows平台上面！

下面就以FreeBSD为例子来说明如何建立Remote Desktop：

1) FreeBSD + X-Window(xorg) + Gnome Desktop + VNCServer
2) Windows + RealVNC Viewer Free Edition

安装FreeBSD, xorg, Gnome不作过多叙述了，直入主题！

FreeBSD# cd /usr/ports/net/vnc
FreeBSD# make
FreeBSD# make install
FreeBSD# make clean distclean

完成后，可以用which vncserver查看路径为：/usr/local/bin/vncserver
在自己的home目录下面新建一个目录：

[xport@FreeBSD ~] $ mkdir .vnc
[xport@FreeBSD ~] $ cd .vnc
[xport@FreeBSD ~/.vnc] $

启动vncserver，第一次启动会为你的session设定密码：

[xport@FreeBSD ~/.vnc] $ vncserver
You will require a password to access your desktops.

Password:<--输入密码
Verify: <--确认密码
xauth: creating new authority file /home/xport/.Xauthority

New 'X' desktop is xport.localdomain:1

Creating default startup script /home/xport/.vnc/xstartup <--这个文件很重要，接下来会修改它！
Starting applications specified in /home/xport/.vnc/xstartup
Log file is /home/dan/.vnc/xport.localdomain:1.log

如果要关闭vncserver，用下面的方法：

[xport@FreeBSD ~/.vnc] $ vncserver -kill :1
[xport@FreeBSD ~/.vnc] $ ls -al
total 16
-rw-r--r-- 1 xport users 10382 Oct 11 23:20 FreeBSD.localdomain:1.log
-rw------- 1 xport users 8 Oct 11 23:09 passwd
-rwxr-xr-x 1 xport users 184 Oct 11 23:11 xstartup

接下来修改xstartup：

[xport@FreeBSD ~/.vnc] vi xstartup
# 修改成下面的内容
#!/bin/sh

[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
# 下面的2行是vncserver第一次启动的时候产生的，为了使用Gnome，我把它们给
# 注释掉了
# xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
# twm &

gnome-session & <--这个是我增加的，不要忘了后面的&

好了，再次启动vncserver吧！

[xport@FreeBSD ~/.vnc] $ vncserver
New 'FreeBSD.localdomain:1 (xport)' desktop is FreeBSD.localdomain:1

Starting applications specified in /home/xport/.vnc/xstartup
Log file is /home/xport/.vnc/FreeBSD.localdomain:1.log
[xport@FreeBSD ~/.vnc] $

好现在我们从Windows下面连接FreeBSD：

输入密码：

进入Gnome，我启动了Eclipse IDE：

哈哈，感觉这样运行比较爽！

天空 2006-12-28 15:34 发表评论

FTP站长必读(ZT)

天空 — Wed, 27 Dec 2006 09:03:00 GMT

您是否正准备搭建自己的FTP网站？您知道FTP协议的工作机制吗？您知道什么是PORT方式？什么是PASV方式吗？如果您不知道，或没有完全掌握，请您坐下来，花一点点时间，细心读完这篇文章。所谓磨刀不误砍柴功，掌握这些基础知识，会令您事半功倍。否则，很可能折腾几天，最后一事无成。
FTP基础知识    FTP是File Transfer Protocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。
    FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。
    PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器：“我打开了XXXX端口，你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据。
    PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端：“我打开了XXXX端口，你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求，建立一条数据链路来传送数据。
    从上面可以看出，两种方式的命令链路连接方法是一样的，而数据链路的建立方法就完全不同。而FTP的复杂性就在于此。
   FTP服务器端的注意事项
   一、FTP服务器是公网IP，用公网动态域名；或是内网IP，用内网专业版TrueHost1、服务器如果安装了防火墙，请记住要在防火墙上打开FTP端口（默认是21）。
   2、所有FTP服务器软件都支持PORT方式。至于PASV方式，大部分FTP服务器软件都支持。支持PASV方式的FTP服务器软件，也可以设置为只工作在PORT方式上。
   3、为了PASV方式能正常工作，需要在FTP服务器软件上为PASV方式指定可用的端口范围（设置方法）。此外，还要在服务器的防火墙上打开这些端口。当客户端以PASV方式连接服务器的时候，服务器就会在这个端口范围里挑选一个端口出来，给客户端连接。
   二、FTP服务器是内网IP，用内网动态域名标准版cmxnatproxy 这种情况下，FTP服务器不需要做特殊设置，只要支持PASV方式就可以了。大部分FTP服务器软件都支持PASV方式。
   FTP客户端的注意事项
    请注意：选择用PASV方式还是PORT方式登录FTP服务器，选择权在FTP客户端，而不是在FTP服务器。
    一、客户端只有内网IP，没有公网IP    从上面的FTP基础知识可知，如果用PORT方式，因为客户端没有公网IP，FTP将无法连接客户端建立数据链路。因此，在这种情况下，客户端必须要用PASV方式，才能连接FTP服务器。大部分FTP站长发现自己的服务器有人能登录上，有人登录不上，典型的错误原因就是因为客户端没有公网IP，但用了IE作为FTP客户端来登录（IE默认使用PORT方式）。
    作为FTP站长，有必要掌握FTP的基础知识，然后指导您的朋友如何正确登录您的FTP。
   二、客户端有公网IP，但安装了防火墙    如果用PASV方式登录FTP服务器，因为建立数据链路的时候，是由客户端向服务器发送连接请求，没有问题。反过来，如果用PORT方式登录FTP服务器，因为建立数据链路的时候，是由服务器向客户端发送连接请求，此时连接请求会被防火墙拦截。如果要用PORT方式登录FTP服务器，请在防火墙上打开1024以上的高端端口。
   三、连接用内网标准版cmxnatproxy搭建的FTP服务，必须要用PASV方式。连接任何公网FTP服务器、或用内网专业版TrueHost搭建的FTP服务器，PORT方式和PASV方式都可以使用。
    当然，使用PORT方式的时候，还要满足上面的两个条件。
   四、常见的FTP客户端软件PORT方式与PASV方式的切换方法。
    大部分FTP客户端默认使用PASV方式。IE默认使用PORT方式。
    在大部分FTP客户端的设置里，常见到的字眼都是“PASV”或“被动模式”，极少见到“PORT”或“主动模式”等字眼。因为FTP的登录方式只有两种：PORT和PASV，取消PASV方式，就意味着使用PORT方式。
IE：工具 -> Internet选项 -> 高级 -> “使用被动FTP”（需要IE6.0以上才支持）。如果找不到这个选项，请看图片。
CuteFTP：
    Edit -> Setting -> Connection -> Firewall -> “PASV Mode”
或    File -> Site Manager，在左边选中站点 -> Edit -> “Use PASV mode”
FlashGet：
    工具 -> 选项 -> 代理服务器 -> 直接连接 -> 编辑 -> “PASV模式”
FlashFXP：
    选项 -> 参数选择 -> 代理/防火墙/标识 -> “使用被动模式”
或    站点管理 -> 对应站点 -> 选项 -> “使用被动模式”
或    快速连接 -> 切换 -> “使用被动模式”
LeechFTP：
    Option -> Firewall -> Do not Use
五、请尽量不要用IE作为FTP客户端    IE只是个很粗糙的FTP客户端工具。首先，IE6.0以下的版本不支持PASV方式；其次，IE在登录FTP的时候，看不到登录信息。在登录出错的时候，无法找到错误的原因。在测试自己的FTP网站的时候，强烈建议不要使用IE。
   FTP建站的详细配置过程
    请参考这个网页的说明来配置：
    使用Serv-U建立FTP网站
   高级话题
   一、为什么没有公网IP，也能使用PORT方式登录FTP？
    NAT网关的工作方式是在TCP/IP数据包的包头里找局域网的源地址和源端口，替换成网关的地址和端口。对数据包里的内容，是不会改变的。而使用PORT方式登录FTP的时候，IP地址与端口信息是在数据包里面的，而不是在包头。因此，没有公网IP，使用PORT方式是无法从internet上的ftp服务器下载数据的。
    但是，极少数的NAT网关也支持PORT方式。这些NAT网关连数据包里面的内容都扫描，扫描到PORT指令后会替换PORT方式的IP和端口。在这种NAT网关下面，用PORT方式就没问题了。不过，这些网关也只扫描21端口的数据包，如果FTP服务器不是用默认的21端口，也无法使用PORT方式。
   二、内网可以用PORT访问其他FTP，为什么不能用PORT访问自己的TrueHost FTP？
    下面要讨论的问题，只是为了说明一些原理，是不影响实际使用的。如果您没有兴趣深究这些原理，不必花时间看。
    内网用户通过支持PORT方式的NAT网关，访问自己本机利用TrueHost建立的FTP服务器，FTP命令链路的建立过程如下：
FTP客户端10.10.0.1端口xxx <==> ISP NAT网关61.144.1.2端口xxxx <==> TH服务器x.x.x.x端口21 <==> TH客户端 <==> 用户FTP服务器10.10.0.1端口21
    FTP客户端通过ISP的NAT网关、科迈TrueHost服务器、TrueHost客户端，连接用户本机的FTP服务器的21端口。
    当需要下载数据的时候，FTP客户端通过这条命令链路，向FTP服务器发送PORT命令。
假设命令为：
        PORT 10,10,0,1,30,4 （即IP=10.10.0.1 端口=30*256+4=7684）  当命令通过ISP的NAT网关的时候，NAT网关判断目的端口是21，并且是PORT命令，于是，修改命令里的IP和端口，替换为自己的IP和端口，比如：
        PORT 61,144,1,2,50,6 （即IP=61.144.1.2 端口=50*256+6=12806）    用户的FTP服务器最终收到的是上面这个PORT命令。于是，FTP服务器向这个IP和端口发送连接请求，建立数据链路。图示：
用户FTP服务器10.10.0.1端口20 <==> ISP NAT网关61.144.1.2端口12806 <==> FTP客户端10.10.0.1端口7684
    但是，因为NAT网关的公网IP只能接收外来的连接请求。就是说，61.144.1.2:12806只能接收其他公网IP的连接请求，对于从NAT内部（10.10.0.1:20）发起的连接请求，是无法建立连接的。为什么？原因很简单，因为内网IP要访问外网，必须要通过NAT建立映射。于是FTP数据链路无法建立。于是，用户无法在自己的机器上通过21端口访问自己的TrueHost FTP。
    我们再来看看，如果FTP端口不是21，比如是22，会发生什么情况呢？在FTP客户端发送PORT命令的时候，NAT网关检测到目标端口是22，因为支持PORT的NAT网关只监视目的端口是21的数据包，发现目的端口是22的数据包，不做任何处理，完全放行。于是FTP服务器收到的PORT命令依然是PORT 10,10,0,1,30,4。于是FTP服务器向这个IP和端口发送连接请求。图示：
用户FTP服务器10.10.0.1端口20 <==> FTP客户端10.10.0.1端口7684
    这种情况下命令链路就可以建立起来了。而且是等于本机连接本机，速度飞快。
    综上所述，内网用户无法用PORT方式通过21端口访问自己的TrueHost FTP服务器。如果FTP端口不是21，则可以访问，而且实际上是本机连接本机。
    上面的文字，仅仅是为了说明一些原理，不影响实际使用。如果本机访问本机，还要通过FTP的话，就有画蛇添足之嫌了。

天空 2006-12-27 17:03 发表评论

MSN 登录时出现80048820错误的官方解释(ZT)

天空 — Wed, 27 Dec 2006 02:25:00 GMT

资料:MSN 登录时出现80048820错误的官方解释

[ 分类：资源分享 ] [阅读：146617 ] [ 日期：2005-11-4 ] [ 来自：飘雪工作室 ]

Quote:

When you start MSN Messenger you cannot sign in, and you get the message:

Sorry, we were unable to sign you in to the MSN Messenger at this time. Please try again later.

To let us try and troubleshoot the problem, click the Troubleshoot button.

80048820

Fix this error / possible solutionThis error seems to indicate a problem with MSN Messenger's encryption routines.
The usual cause is that the time on your computer is not correct.
To correct the time on your computer, double-click the clock in the bottom right of your screen, in the window that appears you should check both the time and date.
If you use Windows XP, you can automatically correct the time by clicking the "Internet Time" tab, next click the "Update Now" button.
If you still have problems connecting with the time adjusted, try to run this file. This will make sure MSN Messenger can find all the files it needs on your computer.

中文大概意思:当你的MSN 无法登录，且提示错误代码为80048820，这种问题一般是由于你的系统时间不对，先校准系统时间，如果仍然无法登录，可能是由于DLL文件注册信息丢失，下载这个批处理文件 http://www.msn-problems.com/downloads/register-messenger-dll-files.bat 运行一下，问题应该可以解决.

近期反应无法下载批处理文件的比较多,特放到本地供大家下载:
点击下载此文件

注:如果你的系统时间无法同步的话,请使用这个软件来同步时间
时间同步程序 1.0.0.1（http://www.onlinedown.net/soft/23218.htm）

据小道消息说这几天MSN及HOTMAIL无法登陆是因为被屏掉了，所以如果有能力的话，请寻找国外的代理服务器即可正常使用。
此处给大家留一个代理服务器列表页：http://www.proxy4free.com/page1.html

WENDY网友提出这个解决办法：

Quote:

我最近也遇到了80048820问题，我按照这里说的所有方法都试过，都不成功。但是我在留言里看到有位朋友提到，新帐户可以登陆，我试了试真的可以，于是我把老账户里的C:\Documents and Settings\你的账户名\Application Data下的所有文件夹和文件都删除，问题解决。

其实不需要删除那么多，在其下面有一个目录：Microsfot\MSN Messenger\下保存的就是MSN的资料，各位网友可以试试把这个目录删除看看能否登陆，如果不行的话，再动手删除Microsoft，再不行的话，再按这位网友的办法试试，感谢Wendy网友！

天空 2006-12-27 10:25 发表评论

建站技术之（六）-所有碰过“端口”这类问题的朋友，进来了解一下（ZT）

天空 — Thu, 21 Dec 2006 12:11:00 GMT

◢◣所有碰过“端口”这类问题的朋友，进来了解一下◢◣

   很多很多很多很多的朋友打电话问我“为什么ftp登陆不了”“外面无法访问”“怎么映射端口”“内网如何映射”。
   而关于这类“射来射去”的问题，我已经回答很多次了，感谢你们的询问，我自己也提高不少。

　　到底什么是端口

　　在网络技术中，端口的英文是Port，它有有两种解释：
      一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。
      二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。

　　端口的分类

　　逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

　　1. 按端口号分布划分

　　（1）知名端口（Well-Known Ports）

　　知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

　　（2）动态端口（Dynamic Ports）

　　动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

　　不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

　　2. 按协议类型划分

　　按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

　　（1）TCP端口

　　TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

　　（2）UDP端口

　　UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等

      怎样去查看（找）端口呢？

      提示：本人对Windows系统熟悉点，所以不阐述其它系统了！见谅！

　　在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：

　　依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态（如图）。

QUOTE:

Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>netstat -a -n

Active Connections

  Proto  Local Address       Foreign Address       State
  TCP 0.0.0.0:21          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:25          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:80          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:110          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:135          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:143          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:366          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1025          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1026          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1027          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1040          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1045          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1863          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3000          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3004          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3306          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3389          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:4449          0.0.0.0:0             LISTENING
  TCP 127.0.0.1:3001       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:3002       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:3003       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:3009       127.0.0.1:3306       ESTABLISHED
  TCP 127.0.0.1:3306       127.0.0.1:3009       ESTABLISHED
  TCP 127.0.0.1:9189       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:23883       0.0.0.0:0             LISTENING
  TCP 192.168.1.100:80    59.49.233.34:31456    ESTABLISHED
  TCP 192.168.1.100:80    61.141.167.189:1177 ESTABLISHED
  TCP 192.168.1.100:80    218.56.136.208:5285 ESTABLISHED
  TCP 192.168.1.100:80    221.237.165.17:1213 ESTABLISHED
  TCP 192.168.1.100:80    222.168.11.186:4422 ESTABLISHED
  TCP 192.168.1.100:139    0.0.0.0:0             LISTENING
  TCP 192.168.1.100:1038    222.47.205.27:5050    ESTABLISHED
  TCP 192.168.1.100:4079    219.136.252.79:80    ESTABLISHED
  TCP 192.168.1.100:4604    83.149.119.17:80    CLOSE_WAIT
  TCP 192.168.1.100:4605    83.149.119.17:80    CLOSE_WAIT
  TCP 192.168.1.100:4691    165.21.32.111:80    FIN_WAIT_1
  TCP 192.168.1.100:4694    165.21.32.104:80    FIN_WAIT_1
  UDP 0.0.0.0:161          *:*
  UDP 0.0.0.0:500          *:*
  UDP 0.0.0.0:1028          *:*
  UDP 0.0.0.0:1044          *:*
  UDP 0.0.0.0:3005          *:*
  UDP 0.0.0.0:3010          *:*
  UDP 0.0.0.0:3348          *:*
  UDP 0.0.0.0:3581          *:*
  UDP 0.0.0.0:3956          *:*
  UDP 0.0.0.0:3958          *:*
  UDP 0.0.0.0:4500          *:*
  UDP 0.0.0.0:4714          *:*
  UDP 0.0.0.0:27099       *:*
  UDP 0.0.0.0:29367       *:*
  UDP 0.0.0.0:29368       *:*
  UDP 127.0.0.1:123       *:*
  UDP 127.0.0.1:1037       *:*
  UDP 127.0.0.1:3006       *:*
  UDP 127.0.0.1:3363       *:*
  UDP 127.0.0.1:3551       *:*
  UDP 127.0.0.1:3600       *:*
  UDP 127.0.0.1:4321       *:*
  UDP 192.168.1.100:123    *:*
  UDP 192.168.1.100:137    *:*
  UDP 192.168.1.100:138    *:*
  UDP 192.168.1.100:17985 *:*
  UDP 192.168.1.100:17987 *:*

C:\Documents and Settings\Administrator>

这些，就是你的机器开放和正在使用的端口了！
（上面的具体参数是什么意思，我们后面再讲，这里不讲那么多，免得新手一下接受不了）

不过这个操作命令我还是要解释一下，因为我自己也经常忘记
Netstat命令

命令格式：Netstat -a -e -n -o -s

　　－a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。

　　－e 表示显示以太网发送和接收的字节数、数据包数等。

　　－n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。

　　－o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。

　　－s 表示按协议显示各种连接的统计信息，包括端口号

netstat命令详解

Displays protocol statistics and current TCP/IP network connections.

NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval]

  nbsp;-a nbsp;          Displays all connections and listening ports.
  -e          Displays Ethernet statistics. This may be combined with the -s
            option.
  -n          Displays addresses and port numbers in numerical form.
  -o          Displays the owning process ID associated with each connection.
  -p proto    Shows connections for the protocol specified by proto; proto
            may be any of: TCP, UDP, TCPv6, or UDPv6.  If used with the -s
            option to display per-protocol statistics, proto may be any of:
            IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, or UDPv6.
  -r          Displays the routing table.
  -s          Displays per-protocol statistics.  By default, statistics are
            shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and UDPv6;
            the -p option may be used to specify a subset of the default.
  interval    Redisplays selected statistics, pausing interval seconds
            between each display.  Press CTRL+C to stop redisplaying
            statistics.  If omitted, netstat will print the current
            configuration information once.

基本是这样了。

好了，基本上，你应该有些端口的概念了！接下来，让我们再来了解，什么叫《端口映射》

      1-为什么要映射：如果你是ADSL、CABLE MODEM或光纤等宽带接入用户，想在网吧或公司内部建一个游戏服务器或WEB服务器，并且能够让互联网上的用户访问你的服务器，那么你就会遇到端口映射问题。（举个简单例子：你爸上学校找你，来到学校大门却不知道你在哪个教室，这时候值班老师就带你爸爸来到你的教室---->这个过程就如同“端口映射”）

      2-怎样去映射：通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL线口)，而访问不到内部服务器。要想让外面用户访问到服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。这就是端口映射。
目前，所有的宽带路由器都有端口映射功能，只是各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置。。。
端口映射设置很简单，例如要映射一台IP地址为192.168.1.254的WEB服务器，只需把服务器的IP地址192.168.1.254和TCP端口80填入到路由器的端口映射表中就OK了，当然不同的服务有不同的端口，新手切勿乱改端口，避免造成冲突，这样的冲突故障一般情况下你是找不到原因的！

      3-射完后，如何检测：举个例子：WEB服务器应该是80端口映射，这时候，先放一个名为index.htm的静态页面，然后用你的ip或者域名输入到地址栏，回车，看看是否能正常访问！

新手进阶：

      关闭/开启端口

　　在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

　　关闭端口

　　比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

　　开启端口

　　如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

　　提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

　　21端口

　　端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

　　在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

　　操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。

　　23端口

　　端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

　　操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

　　25端口

　　端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

      端口漏洞：

　　1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

　　2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

　　操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

　　53端口

　　端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

　　端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。

　　操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

　　67与68端口

　　端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

　　端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

　　操作建议：建议关闭该端口。

　　69端口
　　端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

　　端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

　　操作建议：建议关闭该端口。

　　79端口

　　端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息，可以在命令行中键入“finger user01@www.abc.com”即可。

　　端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

　　操作建议：建议关闭该端口。

　　80端口

　　端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如http://www.0755oK.Com:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

　　端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。
　　操作建议：为了能正常上网冲浪，我们必须开启80端口。

   99端口

　　端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

　　端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

　　操作建议：建议关闭该端口。

　　109与110端口

　　端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。

   　　端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

　　操作建议：如果是执行邮件服务器，可以打开该端口。

　　111端口

　　端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。

　　端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者远程或本地获取root权限。

　　113端口

　　端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

　　端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。

　　操作建议：建议关闭该端口。

　　119端口

　　端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。

　　端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。

　　操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。

[广

135端口

　　端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

　　端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

　　操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

　　137端口

　　端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

　　端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

　　操作建议：建议关闭该端口。

　　139端口

　　端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

　　端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

　　操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

　　143端口

　　端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。

　　端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

　　操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。

　　161端口

　　端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。

　　在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。

　　端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。

　　操作建议：建议关闭该端口。

　　443端口

　　端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。

　　端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。

　　操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。

　　554端口

　　端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。

　　端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

　　操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。

　　1024端口
　　端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他服务的调用。

　　端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。

　　操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，所以在确认无YAI病毒的情况下建议开启该端口。

　　1080端口

　　端口说明：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于HTTP代理服务，它是以通道方式穿越防火墙，可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中，比如限制了QQ，那么就可以打开QQ参数设置窗口，选择“网络设置”，在其中设置Socks代理服务。另外，还可以通过安装Socks代理软件来使用QQ，比如Socks2HTTP、SocksCap32等。

　　端口漏洞：著名的代理服务器软件WinGate默认的端口就是1080，通过该端口来实现局域网内计算机的共享上网。不过，如Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸弹变种B）等蠕虫病毒也会在本地系统监听1080端口，给计算机的安全带来不利。

　　操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口。

　　1755端口

　　端口说明：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS），该协议是由微软发布的流媒体协议，通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等，可以使用Windows Media Player等媒体播放软件来实时播放。其中，具体来讲，1755端口又可以分为TCP和UDP的MMS协议，分别是MMST和MMSU，一般采用TCP的MMS协议，即MMST。目前，流媒体和普通下载软件大部分都支持MMS协议。

　　端口漏洞：目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看，并没有什么特别明显的漏洞，主要一个就是MMS协议与防火墙和NAT（网络地址转换）之间存在的兼容性问题。

　　操作建议：为了能实时播放、下载到MMS协议的流媒体文件，建议开启该端口。

　　4000端口
　　端口说明：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。通过4000端口，QQ客户端程序可以向QQ服务器发送信息，实现身份验证、消息转发等，QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议，而是属于UDP协议。

　　端口漏洞：因为4000端口属于UDP端口，虽然可以直接传送消息，但是也存在着各种漏洞，比如Worm_Witty.A（维迪）蠕虫病毒就是利用4000端口向随机IP发送病毒，并且伪装成ICQ数据包，造成的后果就是向硬盘中写入随机数据。另外，Trojan.SkyDance特洛伊木马病毒也是利用该端口的。

　　操作建议：为了用QQ聊天，4000大门敞开也无妨。

　　5554端口

　　端口说明：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

　　端口漏洞：在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒，并尝试连接TCP 445端口并发送攻击，中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象，甚至会被黑客利用夺取系统的控制权限。

　　操作建议：为了防止感染“震荡波”病毒，建议关闭5554端口。

　　5632端口

　　端口说明：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口，分TCP和UDP两种，通过该端口可以实现在本地计算机上控制远程计算机，查看远程计算机屏幕，进行文件传输，实现文件同步传输。在安装了pcAnwhere被控端计算机启动后，pcAnywhere主控端程序会自动扫描该端口。

　　端口漏洞：通过5632端口主控端计算机可以控制远程计算机，进行各种操作，可能会被不法分子所利用盗取账号，盗取重要数据，进行各种破坏。

　　操作建议：为了避免通过5632端口进行扫描并远程控制计算机，建议关闭该端口。

　　8080端口

　　端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如http://www.0755oK.Com:8080。

　　端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

　　操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

天空 2006-12-21 20:11 发表评论

建站技术之（五）-路由器设置（ZT）

天空 — Thu, 21 Dec 2006 12:05:00 GMT

1、登陆路由器设置截面。方法：在IE里面输入路由器IP（相关默认IP请查询说明书），然后就会得到一个登陆窗口，并输入相关的用户名和密码便可登陆（默认的用户名和密码请查询相关说明书），

图片附件: 1.jpg (2005-10-15 12:15, 36.46 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

成功登陆以后会出现以下画面

图片附件: 2.jpg (2005-10-15 12:17, 181.03 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

2、点击<进阶设定> -- <虚拟服务器>

图片附件: 3.jpg (2005-10-15 12:15, 93.09 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

3、然后点击 "Virtual Server FTP" 后面 <编辑>的图标

图片附件: 4.jpg (2005-10-15 12:15, 43.85 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

点击以后会在上面出现该选项的相关设置

图片附件: 5.jpg (2005-10-15 12:15, 82.35 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

4、  选择<激活>，然后填写相关设置。

   名称：只是一个识别，可以进行个人爱好进行修改，也可不修改；

   个人IP地址：填入您的内网IP最后一位，如192.168.82.10那么只需要输入10就可以了。

   协议模式：可以选择TCP，UDP，BOTH，BOTH的意思就是包含TCP和UDP。

   个人服务埠：服务器提供该服务的端口，如FTP默认的是21，WEB：80。

   公用服务端口：外网访问该服务的端口。

确认以后点击<执行>。

同理可设置另外其他服务的端口。

当整个端口影射设置完成以后，可以在外网（不同一个局域网内，可以叫朋友帮忙进行测试）使用Telnet ???.com 端口号进行测试，如对www.Root.net的WEB服务80端口检测，格式如下：
Telnet www.Root.net 80。

注意：您的公用服务端口和个人服务埠可以设置为不一样，如有些地方的80端口被封，如果通过8080端口进行访问，那么在这里的个人服务埠仍然可以填写80，公用服务端口填写8080，那么别人访问您公网IP8080端口的时候，就会自动转发到该内网IP服务器的80端口上。

天空 2006-12-21 20:05 发表评论

建站技术之（四）-如何在WIN2003 SERVER 防火墙中打开相关服务的端口（ZT）

天空 — Thu, 21 Dec 2006 12:03:00 GMT

如何在WIN2003 SERVER 防火墙中打开相关服务的端口

1、打开<控制面板> -- <网络连接>

图片附件: 1.jpg (2005-10-15 13:53, 53.91 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

2、双击打开<本地连接>，再打开<属性>

图片附件: 2.jpg (2005-10-15 13:53, 50.24 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

点击<高级>

图片附件: 3.jpg (2005-10-15 13:53, 74.61 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

点击<设置>

图片附件: 4.jpg (2005-10-15 13:53, 62.21 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

这样便进入了设置防火墙的界面。

3、选择<启动>，在<不允许例外>上不要打勾。

图片附件: 5.jpg (2005-10-15 13:53, 88.79 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

4、选择<例外>，在这里便可以看到所有例外（可以通过防火墙进行访问）的服务。

图片附件: 6.jpg (2005-10-15 14:04, 65.49 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

5、点击<添加端口>，然后输入一个名称、端口、协议，<确定>就可以了。
如需要做WEB对外开放，使用的是80端口。
则输入名称WEB（用户可以随意填写，只作一个识别），端口填入80。

图片附件: 7.jpg (2005-10-15 13:53, 42.88 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

6、添加成功以后，就会在列表里面显示出来，并在前面自动打上勾，说明该策略目前是有效的。（如果把勾去掉，说明该策略目前无效。）

图片附件: 8.jpg (2005-10-15 14:04, 65.84 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

注：如果是使用直接虚拟拨号的用户，请在该拨号连接上设置防火墙策略。

天空 2006-12-21 20:03 发表评论

建站技术之（三）－Serv-U FTP文件服务器组建攻略（ZT）

天空 — Thu, 21 Dec 2006 12:01:00 GMT

建站技术－Serv-U FTP文件服务器组建攻略

在所有的FTP服务器端软件中，ServU除了拥有其他同类软件所具备的大部分功能外，还支持断点续传、支持带宽限制、支持远程管理、支持远程打印、支持虚拟主机等，再加上良好的安全机制、友好的管理界面及稳定的性能，使它赢得了很高的赞誉，并被非常广泛地使用着。本文将从ServU的安装和设置方面入手，向你介绍这种优秀软件的最基本使用方法。

一、ServU的基本情况

软件名称：ServU (共享软件，30天使用限制)
运行环境：除Windows3.x之外的全系列版本Windows
下载地址：www.servu.com/susetup1.exe(2.8M)

二、ServU的安装和卸载

1.ServU的安装
直接双击下载所得到的susetup1.exe文件即可开始安装工作。除了在出现使用协议那一步中需要先勾选中Ihavereadandaccepttheabovelicenseagreement(我已经阅读并接受以上协议)再按Next(下一步)按钮之外，其他均使用其默认选项即可。
当安装完成后，系统将自动进入ServUAdministrator(以下简称“管理器”)的窗口，同时出现SetupWizard(安装向导)，此时就可以根据这个向导开始建立你的第一个FTP服务器了。

2.ServU的卸载
选“开始→程序→ServUFTPServer”下的RemoveServU(卸载)，再根据需要按提示操作即可。

三、建立第一个FTP服务器

为了说明方便起见，笔者在这里假设你的本机IP地址是192.168.0.1，本机计算机名为WY，你想在自己的局域网中建立一个只允许匿名访问(Anonymous)的FTP服务器，匿名用户登录后进入的将是D:＼wy目录。
在安装向导中，一般建议除了以下几个需要修改的地方之外，对于初学者来说，其他部分一律选其默认选项(直接按Next按钮)即可。
1.当进行到有Anonymoushomedirectory(匿名用户的主目录)提示的一步时，单击其右侧的箱子图标选择好目标目录D:＼wy后再按Next(下一步)按钮继续。
2.当进行到有Createnamedaccount(建立名字账户)提示的一步时，选中No(不)一项后再按Next(下一步)按钮继续。
当配置完成后，即可以在管理器左边框架的Domains(域名)下看到有个WizardGeneratedDomain项，其下的Users(用户)中就包含了一个名为Anonymous的账户，此账户登录后的虚拟根目录(主目录)即为D:＼wy目录。
此FTP服务器地址为192.168.0.1(或用此服务器的计算机名WY也可)，默认端口号为21，只允许用匿名账号Anonymous登录。

ServU安装向导主要内容详解
1.IPaddress,leaveblankfordynamicorunknownIP(IP地址，如果是动态IP或不知道IP则保持为空)：此项需要填入你欲为此FTP服务器绑定的IP地址。除非你的计算机有多个固定的IP地址，并且你只想其中一个被FTP服务器所使用时，才需要在此地输入那个相应的IP地址；否则一般建议，不管你是否有固定的IP地址，都请保留此项为空。
2.Domainname(域名)：此处填入你FTP服务器的域名。但域名是由DNS解析而不是由这里决定的，因此实际上你可以填入任意内容，比如像“我的第一个FTP服务器”这种对此FTP进行说明的文字。
3.Installassystemservice(作为系统服务安装吗)：此项对于操作系统是WindowsNT/2000/XP的服务器有效。选择了Yes(是)，则ServU的FTP服务就会被添加到系统服务中(在“管理工具”下的“服务”中可以查看到)；选择了No(否)，则不会作为系统服务存在。如果你的FTP服务器是常年运行的，则建议选Yes(是)；如果只是需要时才运行，则建议选No(否)。
4.Allowanonymousaccess(接受匿名登录吗)：如果你想让此FTP服务器接受匿名登录，则此处必须选择Yes(是)；否则选No(否)。
5.Anonymoushomedirectory(匿名用户的主目录)：此处可设定匿名用户登录后其虚拟根目录在FTP服务器上的真实位置。
6.Lockanonymoususersintotheirhomedirectory(将匿名用户锁定到其主目录吗)：如果选择Yes(是)，则匿名用户只能访问其主目录及以下的目录树；如果选择No(否)，则它还可以访问其主目录的同级或更高级的目录树。从安全角度考虑，一般建议选Yes(是)。
7.Createnamedaccount(建立命名账户吗)：这里询问是否直接建立普通用户(相对匿名用户而言)账号。

四、常见基本操作

在根据安装向导建立好你的第一个FTP服务器后，只能实现ServU赋予的默认功能和权限，要真正让这个服务器能被你自己随心所欲地控制，则还需要经过以下后续操作。

1.客户端的连接
在IE浏览器(InternetExplorer)中，客户端的访问格式为ftp://127.0.0.1，不需要输入用户名和密码；在DOS(或命令提示符)状态下，客户端的访问格式为ftpA127.0.0.1，也不需要输入用户名和密码；在专业的FTP客户端软件设置中，以CuteFTPVersion4.2中文版为例，在“站点管理器”的“FTP主机地址”处输入127.0.0.1，再选中“登录类型”下的“匿名连接”项即可，同样不需要输入用户名和密码。
说明
1.在以上客户端的连接中，IP地址127.0.0.1也可以用计算机名WY来代替。
2.除了在ftpA127.0.0.1中的“A”一定要大写外，其他地方均不区分大小写。
3.如果在DOS下用ftp127.0.0.1的格式进行登录，则需要输入匿名登录的用户名Anonymous，此时密码为空(直接回车)或为其他任意值。

2.对FTP用户的管理
欲增加一个新用户(包括增加Anonymous用户)，则在管理器的左边框架中选中Users(用户)，然后单击右键，进入NewUser(新用户)，依次根据提示为它设置好UserName(用户名)、Password(密码)、Homedirectory(主目录)等即可完成。
欲删除一个用户，则在此用户上单击右键，选DeleteUser(删除用户)即可。
欲复制一个用户，则在此用户上单击右键，选CopyUser(复制用户)，则会多出一个名字如Copyofxxx格式的新用户，它除了用户名和原来的用户不同外，其他部分(包括密码、主目录、目录权限等等)均与之完全一致。
欲暂时禁止一个用户的登录权限，只需先在左边框架中选中此用户，然后在右边框架中进入Account(账户)窗口，勾选中Disableaccount(禁止账户)即可。

3.对目录权限的管理
在管理器左边框架中选中用户名，再在右边框架中进入DirAccess(目录存取)窗口，然后在列表中选中相应目录后，就可以在窗口的右侧更改当前用户对它的访问权限了。
说明
1.Read(读)：对文件进行读操作(复制、下载，不含查看)的权力。
2.Write(写)：对文件进行写操作(上传)的权力。
3.Append(附加)：对文件进行写操作和附加操作的权力。
4.Delete(删除)：对文件进行删除(上传、更名、删除、移动)操作的权力。
5.Execute(执行)：直接运行可执行文件的权力。
6.List(列表)：对文件和目录的查看权力。
7.Create(建立)：建立目录的权力。
8.Remove(移动)：对目录进行移动、删除和更名的权力。
9.Inherit(继承)：如勾选中此项，则以上设置的属性将对当前Path(目录)及其下的整个目录树起作用；否则就只对其当前Path(目录)有效。

4.增加虚拟目录
比如匿名用户(Anonymous)的主目录为D:＼wy，想要能通过ftp://192.168.0.1/test的格式能访问到在E:＼all＼nodisk中的内容，则需要为它添加虚拟目录。操作步骤如下：
(1)在管理器左边框架中，选择Domains(域名)下的Settings(设置)，再在右边框架中转到General(常用)窗口。
(2)单击Virtualpathmappings(虚拟目录映射)下的Add(增加)按钮，之后根据提示在Physicalpath(物理路径)下选择E:＼all＼nodisk，在MapPhysicalpathto(映射物理路径到)下选择D:＼wy，在mappedpathname(映射路径名)处输入test，即可添加此虚拟目录的映射记录。
(3)最后在管理器的左边框架中选中Anonymous用户，再在右边框架中转到DirAccess(目录存取)窗口，按Add(添加)按钮将目录E:＼all＼nodisk增加到列表中去。

天空 2006-12-21 20:01 发表评论

建站技术之（二）- IIS服务器组建攻略

天空 — Thu, 21 Dec 2006 11:59:00 GMT

建站技术－ IIS服务器组建攻略

IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本文将向你讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。

准备篇 IIS的添加和运行

一、IIS的添加

请进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

二、IIS的运行

当IIS添加成功之后，再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。

第一篇 IIS之Web服务器

一、建立第一个Web站点

比如本机的IP地址为192.168.0.1，自己的网页放在D:\Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。

对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。

1．修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。

2．修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:\Wy”目录。

3．添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。

4．添加虚拟目录：比如你的主目录在“D:\Wy”下，而你想输入“192.168.0.1/test”的格式就可调出“E:\All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建→虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:\All”后再按提示操作即可添加成功。

南山5．效果的测试：打开IE浏览器，在地址栏输入“192.168.0.1”之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！

二、添加更多的Web站点

1．多个IP对应多个Web站点

如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建→站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可（如图1）；当建立好此Web站点之后，再按上步的方法进行相应设置。

图片附件: 1.gif (2005-9-23 10:43, 22.41 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

2．一个IP地址对应多个Web站点

当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82……（如图2），则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“http://192.168.0.1:81”的格式。

图片附件: 2.gif (2005-9-23 10:43, 34.07 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

很显然，改了端口号之后使用起来就麻烦些。如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址，则用设不同“主机头名”的方法，可以让你直接用域名来完成对不同Web站点的访问。
比如你本机只有一个IP地址为192.168.0.1，你已经建立（或设置）好了两个Web站点，一个是“默认Web站点”，一个是“我的第二个Web站点”，现在你想输入“www.enanshan.com”可直接访问前者，输入“www.popunet.com”可直接访问后者。其操作步骤如下：

（1）请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上；并确保所有的Web站点的端口号均保持为80这个默认值。

（2）再依次选“默认Web站点→右键→属性→Web站点”，单击“IP地址”右侧的“高级”按钮，在“此站点有多个标识下”双击已有的那个IP地址（或单击选中它后再按“编辑”按钮），然后在“主机头名”下输入“www.enanshan.com”再按“确定”按钮保存退出

图片附件: 3.gif (2005-9-23 10:43, 43.94 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

（3）接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“www.xxxx.com”即可。

（4）最后，打开你的IE浏览器，在地址栏输入不同的网址，就可以调出不同Web站点的内容了。

3．多个域名对应同个Web站点

你只需先将某个IP地址绑定到Web站点上，再在DNS服务器中，将所需域名全部映射向你的这个IP地址上，则你在浏览器中输入任何一个域名，都会直接得到所设置好的那个网站的内容。

三、对IIS服务的远程管理

1．在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。

2．转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。

3．则在任意计算机的浏览器中输入如“http://192.168.0.1:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。

四、本部分常见问题解答

Q：在上文中所涉及到的网址中，有的加了“http://”，有的没加，这意味着什么呢？

A：没有加“http://”部分的网址，说明其可加可不加；而加了“http://”部分的，则说明它必不可少！对于带端口号的网址则必须加；否则可省略。

Q：对于上文中涉及到IP地址的网址，可否用比较“友好”的名称来代替呢？

A：可以！它除了能够用IIS服务器所在的计算机名来代替之外，还可在DNS服务器中新建域名和相应IP地址的映射表，就也可以用域名来进行访问了！

Q：我设置好了一个Web服务器，但是当我访问网页时，却出现密码提示窗口。这是为什么？

A：访问Web站点时，出现密码提示窗口，一般来说有以下原因，请逐个去进行检查：

1．所访问的网页文件本身加了密。比如“默认Web站点”原主目录“E:\Inetpub\wwwroot”下的首页文件“iisstart.asp”访问时就需要密码。

2．没有设置允许匿名访问或作了不应该的改动。如图4所示，首先应确保已勾选中了“匿名访问”这一项；并且其下“编辑”中“匿名用户帐号”中“用户名”一项应为“IUSR_NODISK”（其中“NODISK”为计算机名）的格式；另外，还需要已勾选中“允许IIS控制密码”一项。

图片附件: 4.gif (2005-9-23 10:43, 42.78 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

3．你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式分区中时才可能出现。请在其上单击右键，选“属性”，再进入“安全”窗口，看列表中是不是默认的允许“Everyone”组完全控制的状态，如不是，请改回

图片附件: 5.gif (2005-9-23 10:43, 22.76 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

天空 2006-12-21 19:59 发表评论

建站技术之（一）- 通过D-LINK604路由器向互联网提供服务之一(ZT)

天空 — Thu, 21 Dec 2006 11:45:00 GMT

为了节省成本，不少企业和个人都采用多台内网计算机通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多计算机的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事。

网络环境：通过D-LINK 604路由器进行拨号上网（ADSL），
系统平台：WINDOWS 2003CN SERVER + SP1

一、建立WEB服务。

二、建立FTP服务。

三、设置防火墙。

四、通过在D-LINK 604路由器上设置端口影射，向互联网提供服务。

[ 本帖最后由 oray-LS 于 2005-10-16 11:31 编辑 ]

图片附件 : Lan.jpg (2005-10-16 11:08, 51.38 K)

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

天空 2006-12-21 19:45 发表评论

有关‘内网建站’的问题和原理 (路由器后建站、Web服务出现用户名密码提示)(ZT)

天空 — Thu, 21 Dec 2006 11:42:00 GMT

有关‘内网建站’的问题和原理 (路由器后建站、Web服务出现用户名密码提示)

近期许多的网友问，为什么按照ORAY.NET的示范流程设置WEB站点服务，然后运行花生壳使其状态为在线后，通过自己的域名访问出现登陆提示，或自己能访问而别人不能访问。导致这种现象的有多种的可能，在此将其原因简单的阐述一下，敬请遇到问题的网友细读以解决问题。

问题一，自己能通过域名访问网站，而别人无法通过域名来访问网站？
解释：此现象大多因在网络模块设置错误引起的。排错首先应从网络模块着手。
检查：

1、系统防火墙（XP、2003等系统自动启用了网络防火墙，您需要将其关闭或设置相应的服务通讯规则）

2、硬件防火墙。有条件的企业用户一般都会为网络增添硬件网络防火墙，单独的防火墙模块可为公司网络减少网络安全风险，而一般防火墙在没有设置规则时是禁止任何外网连接到防火墙内部的计算机，所以应当为其添加服务访问规则。

客观问题解决：

1、城域网。在我们过去的技术支持当中，曾经出现过城市内可以访问服务，而非本城市不可以访问服务的现象。此情况是城域网的网关设置了访问规则导致的，也就是说所搭建的服务只允许属于该城市的IP段或同一个ISP访问。上网用户没有办法向其他城市提供电子信息服务。

2、ISP规则拦截。在广东的多个城市里面，大部分的ISP将访问方向为IN到用户的80端口拦截，但拦截的端口对象仅仅为WEB默认端口。如果遇到这种情况，那么您可以考虑在ORAY注册顶级域名，使用专业服务扩展功能，URL跳转功能能把访问域名默认的80端口自动跳转到其他服务端口。用户只需要把WEB服务的端口改成其他的，加上URL跳转功能即可解决问题。

问题二，自己或别人通过域名访问网站时出现用户名和密码？

解释：由两种情况导致该情况发生

1、 WEB服务根本没有搭建起来，其中导致的可能原因有WEB服务程序运行权限不足，或WEB站点目录权限不足。（WEB文件目录必须可以让WEB服务站点运行用户或WEB站点匿名用户进行访问，根据某些程序特点，还需要为目录或文件设置可写入或执行权限。在调试阶段建议把目录设置为EVERYONE全权控制，在服务建立后在把权限缩小）

2、提供服务的计算机通过没有做端口转发策略的路由上网。这是一个最多人遇到的问题，如果当前你通过路由器上网，由路由器获取公网IP地址，那么可能意味着路由器内的计算机不具有公网IP地址。当你的花生壳程序安装完成并在线、WEB服务也搭建好、网络防火墙也设置了相应的访问规则时，首先你要明白花生壳会获取你的公网IP地址绑定到所申请的固定域名，而INTERNET访问你公布的域名时首先会进行一个解析过程，也就是反过来把域名转换为IP地址，最终也是通过你上网的公网IP地址来进行服务的连接。既然INTERNET是访问公网IP，那么作为网管的你要准确地知道公网IP地址所在的设备在哪里，如果你不知道获得公网IP地址的设备在哪里，可以在CMD下敲入 IPCONFIG /ALL，其中DEFAULT GATEWAY（网关）极有可能是获得公网IP地址的设备（多层网络环境除外）。网关可能是一台路由器，也有可那是一台计算机。此时需要登陆到获得公网IP地址的设备上进行端口转发规则设置，赶快把公网所访问的服务端口（具体看你做什么服务了）转发到设备后面的计算机去，例如WEB服务使用的是80端口，那么把80端口设置规则映射到内网计算机的IP（例如192.168.1.2或10.0.1.2）。不同的路由软件有不同的设置方法，详细请移步到网络通讯区寻找答案。
设置完成后，赶快让你的朋友访问你的网站吧。但这里有一点需要注意，通过路由上网的服务器（服务器为内网IP地址）是无法通过域名或公网IP地址来访问自身的服务，因为在访问域名时，路由接收到来源为内网IP地址的数据包，它只认为这是一个公网有效的IP地址对其进行访问，所以路由会把应答请求回复到互联网的‘内网IP’去了，但一些路由会把其丢弃，或将其转发到内网去。在我们测试公司所销售的众多产品中只有寥寥几款路由器具此功能。

如果你现在遇到上述的环境，而你的领导要求内网也必须通过域名来访问到网站，不成问题，给你三套方案：

A．赶快致电我们购买具有此功能的路由器，一劳永逸解决问题，呵呵。

B．在每个客户端中修改HOSTS文件指向，把对应域名的IP地址强制解析为指定的服
务器内网IP地址。例如用记事本打开 c:\winnt\system32\drviers\ect\hosts，添加www.xxx..com 192.168.1.2 . （WWW.XXX.COM是在ORAY所申请的的域名，192.168.1.2是服务器内网IP地址，请根据实际情况修改）。
C．在服务器上建立DNS服务器，增加主区域XXX.COM（在ORAY所申请的域名），添加A记录到内网服务器IP地址，然后通知所有的内网用户在上网网卡的TCP / IP属性中修改主DNS为内网服务器的IP地址。此方法有点劳师动众的感觉，不过也算是实际，第一可以解决掉内网访问域名的问题，第二不影响客户端上网。

问题三，自己和别人都无法通过域名访问网站？

解释：此现象在没有数据提供之前不好判断问题发生在网络模块或系统模块上，以下把多种的情况以及检查过程列出。

检查：

1、首先判断系统是否存在问题，使用排除法查探当前的WEB端口是否有被打开。在CMD窗口下敲入telnet 127.0.0.1 80。如果端口有被打开，那么在输入命令后的窗口会跳转到另外一个没有任何返回的屏幕。如果无法打开，那么你需要阅读建站相关的文章重新建立服务。

2、第一步先解决了本地的80端口有被打开，那么我们继续测试外网是否访问服务器的80端口。换一种方式测试，从外网测试本地的80端口是否能被访问。从网卡的属性或花生壳3.0窗口中获得当前上网的公网IP地址。例如IP地址是 61.145.112.1，那么找一个其他地区正在上网的朋友，让他在CMD窗口下敲入telnet 61.145.112.1 80 ，同样结果和第一步一样，马上可以看到你的端口是否有被打开了。

在本文中使用WEBS服务进行距离，实际上使用花生壳应用的不单单是WEBS，或者你可以利用花生壳搭建一个远程管理服务，若果你经常使用聊天工具，是否一直在忧心因经常异地登陆而导致聊天记录不全，或资料文件不统一，用花生壳搭建一个远程终端服务，无论在任何的地方只需要用服务指定客户端输入花生壳域名、登陆用户名、密码等，马上连接到现实的桌面工作。当你出差为客户安装一套软件进行示范，而客户没有所需要的系统以及相关资源时，使用‘远程桌面’连回单位的‘示范主机’马上让客户观摩你的精彩示范。当然，你也可以做一个FTP让朋友一起共享你收藏已久的精彩内容，或做一个REAL电台让自己当上主播？呵呵…

天空 2006-12-21 19:42 发表评论

NAT外网访问内网方法,内网端口映射外网ip(ZT)

天空 — Thu, 21 Dec 2006 10:44:00 GMT

NAT外网访问内网方法,内网端口映射外网ip

由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转到内部一主机的提供这种特定服务的主机；利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。端口映射功能还可以完成一些特定代理功能，比如代理POP，SMTP，TELNET等协议。理论上可以提供六万多个端口的映射，恐怕我们永远都用不完的。

一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。中国公务网 2004-5-31 16:05:58
1、在Windows 2000 Server上，从管理工具中进入“路由和远程访问”（Routing and Remote Access）服务，在服务器上鼠标右击，－》“配置并启用路由和远程访问”

2、点“下一步”

3、选“Internet连接服务器”，让内网主机可以通过这台服务器访问Internet.

（最好先配置好NAT共享，让内网主机可以正常上网，不然的话，配好端口映射后再来配置NAT共享就有点麻烦了，弄的不好NAT还共享不了。）
4、选“设置有网络地址转换（NAT）路由协议的路由器”，不要选“设置Internet连接共享(ICS)”.(ICS与NAT的区别在于使用的容易程度上，为了启用ICS，只需要选择一个复选框就可以了，而为了启用NAT，则需要更多的配置任务，此外，ICS用于小型网络上的原因还在于：针对内部主机，它需要有一个固定的IP地址范围；针对与外部网络的通信，它被限制在单个公共IP地址上；它只允许单个内部网络接口。)
5、先在此说一下我的网络情况：
Internet连接 192.200.200.3(也是个内部地址，没办法，铁通的网络不太好，网速不快，价钱又贵，我的命真苦啊)
宿舍内连接 192.168.0.1（宿舍里连有局域网，共4台电脑，其中一台上装了Sambar 5.1b5做的Web服务器，Web端口是80，待会就从外网（用192.200.200.55来替代）来访问这个192.168.0.2:80上的网页）

这台NAT主机上开通了IIS 5.0，端口是80，用端口映射的办法把8081端口映射到内部主机192.168.0.2的80端口上。

6、在“路由和远程访问服务器安装向导”中选“Internet连接”（就是连向Internet的那个连接），点“下一步”。

7、选“完成”

到此为止，NAT共享设置也就完成了，内部的主机也能上网了。内部主机的网络设置如下：

IP地址范围是912.168.0.2~192.168.0.254，子网掩码为255.255.255.0，网关为192.168.0.1，DNS为ISP给的地址，我们的是211.98.xxx.xxx

二、利用NAT来映射端口
1、添加NAT协议。右击“常规”，－》“新路由选择协议”

2、在“新路由选择协议”中选择“网络地址转换（NAT）”，点击“确定”

3、这样在“IP路由选择”中就多了一项“网络地址转换（NAT）”
4、右击“网络地址转换（NAT）”,添加“新接口”

5、在“网络地址转换（NAT）的新接口”中选择“Internet连接”（也就是连向Internet的那个连接，可不要选错咯）

6、在“网络地址转换-Internet连接属性”中选中“公用接口连接到Internet”，复选“转换TCP/UDP头（推荐）”

7、在"地址池"选项表里添加你需要提供端口重定向的起始地址与结束地址.（也

7、
就是你要拿出来搞端口映射的所有IP地址，一般情况下我们就一个IP地址，所以可以不用“地址池”不同之处后面再讲。这里假设有8个地址，设置如下：

添好后是这样的：

8、在"特殊端口"选项表里提供了你需要定向的数据连接协议（是TCP还是UDP协议，如Web和FTP就是TCP协议的），选准后“添加”

9、“添加特殊端口”，这里就是设置端口映射的核心了，把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置，由于设有“地址池”，所以可以在“公网地址”中添上“地址池”中的任一地址，这里添的是“192.200.200.3”，也就

是我的地址，如果你在前面没有设置“地址池”，那么在这个选项页中“在此地址池项”为灰色不可选，你只能选“在此接口”，

也就是你只有一个公网IP地址，这比较适合只有一个IP的朋友，可以不用“地址池”，何必做多余的设置呢？假如有问题的话，还不是自找麻烦。
“传入端口”就是别人从网外访问有公网IP的NAT服务器的端口，这里设的为8080。
“专用地址和传出地址”就是内部主机的IP地址和提供特殊服务的端口，这里是把192.200.200.3上的8080端口映射到192.168.0.2上的80端口。
这就是TCP协议端口的重定向，至于UDP的定向页差不多，下图就是添加端口映射后的情况。

四、测试结果
在192.200.200.55出测试了一下NAT主机上的Web服务器和内网中192.168.0.2上建的Web服务器，得出结果如下：（不好意思，中间改过一下端口号，192.200.200.3上的8081端口映射到192.168.0.2的80端口）

天空 2006-12-21 18:44 发表评论

按部就班——图解配置IIS5的SSL安全访问(ZT)

天空 — Wed, 20 Dec 2006 09:23:00 GMT

按部就班——图解配置IIS5的SSL安全访问

作者：mikespook

版本：1.0

最后更新：2004-12-22 16:04

按部就班——图解配置IIS5的SSL安全访问... 1

写在前面的... 1

第一步：准备工作... 1

第二步： IIS创建证书... 3

第三步：向“证书颁发机构”申请证书... 8

第四步：颁发证书... 10

第五步：安装证书，配置SSL. 12

第六步：完成... 14

写在前面的

这几天自己的商城写完了，准备搞搞IIS5的SSL访问。查了一圈资料，发现多数文章都如出一辙。虽然写得很详细，但是东一榔头，西一棒槌，让我摸不着头脑。罢！罢！罢！直接看帮助，学着配吧。没想到顺利得很，一遍搞掂。就此写文一篇，以帮助跟我有一样困惑的朋友。

在看本文之前我先和读者做一个约定。我假设你会使用鼠标和键盘，并且能够对Windows 2000 Server进行基本的操作（我只想在本文里说明如何配置IIS5的SSL安全访问，对于如何双击图标我不想涉及。）。同时你的计算机上也正确安装有IIS和浏览器（这个是Windows 2000 Server的标准配置，如果你使用的是Windows 2000 Professional版本就不用阅读本文了，因为这个版本不支持IIS的SSL访问。）。

第一步：准备工作

首先你应该有一台你自己的计算机，而且需要有鼠标、键盘或者你能够从其他具有鼠标键盘的计算机访问它。不要拿东西扔我，多数服务器是没有鼠标和键盘的^_^。这台计算机应该安装有Windows 2000 Server或者Windows 2000 Advance Server。其他版本的Windows要么不支持IIS的SSL访问，要么就是跟本文讨论的配置方法有出入，比如Windows 2003的IIS6。

然后就是需要检查你的计算机有没有安装“证书服务”，如果已经安装了该组件，你可以跳过本步骤。

在“控制面板”à“添加/删除程序”中点击“添加/删除Windows组件”，找到“证书服务”，在其前面打钩。如图1。

图1

注意，这个服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便期间，这两个功能都需要安装。

图2。

点击下一步，“Windows组件向导”会引导你完成该服务的安装。在安装过程中会出现“证书颁发机构类型”的选择，这里务必要选择独立根（图3）。当然，如果你是在域中的话，请不要继续阅读。因为那需要创建的是企业根或者企业从属根。

图3

当完成了“证书服务” 的安装后，你的“控制面板”à“管理工具”中就会多出一个“证书颁发机构”这样一个图标。

图4

准备工作到此结束。

第二步： IIS创建证书

完成了上面的准备，现在就可以让IIS来申请证书了。在“控制面板”à“管理工具”中进入“Internet 服务管理器”。鼠标右键点击你需要配置的站点，在弹出的菜单中选择“属性”（如果你跟我一样是左手使用鼠标，那就点击鼠标左键。）。这时就会打开如图5的“属性”对话框。在“目录安全性”中点击“服务器证书”按钮（图6）。

图5

图6

这时就会有“IIS证书向导”来一步一步提示你完成证书的申请（图7）。

图7

点击“下一步”选择“创建一个新证书”并继续（图8）。需要说名的是另外两种方式“分配一个已存在的证书”和“从密钥管理器备份文件导入一个证书”也可以正确的配置IIS的SSL访问，但是和本问所讲顺序有所不同，这里不再赘述。

图8

继续创建证书，“选择现在准备请求，但稍后发送”。实际上你也只能选择这个选项，另外一个选项“立即发送请求到一个在线证书颁发机构”多数情况下不可用（图9）。我也没有查到在什么时候可用，什么时候不可用的资料。个人猜测大概是在安装“证书服务”的时候如果选择了XXXXXXXXXXXXX或XXXXXXXXXX，这里可能就可以直接申请。如果真是我猜测的这样，那后面那些麻烦的过程都可以略过不谈了。^_^

图9

继续“下一步”，会要求你输入一个容易记忆的名称来标识你的证书。同时会要求你选择“位长”，实际上就是加密强度。“位长”越大，越安全。当然这是以牺牲性能为代价的（图10）。

图10

接下来是输入组织和部门，这个将会出现在你的证书中，并且当他人查看你的证书的时候会显示出来（图11）。最好还是使用合法的名称，别伪造别人的证书哦。比如我输入的组织是“mikespook & swill”，部门因为是为我的商城申请的，所以我输入“XYShop”。

图11

在输入站点公用名称时要注意，最好是使用你将绑定的域名。否则在别人访问你的站点，弹出证书确认对话框时，会有一个名称不匹配的提示（图12）。

图12

接着是输入地理信息（图13）。

图13

最后一步就是将生成的证书保存下来，以备后用（图14、图15、图16）。

图14

图15

图16

这时在C盘根目录下就保存了一个由BASE64编码的证书文件certreq.txt。当然，如果你在保存证书（图14）的时候选择了其他路径，则有所不同了。

第三步：向“证书颁发机构”申请证书

看到“证书颁发机构”不用紧张，我们不是要跟什么权威部门打交道，更不需要准备什么申请公文之类的烦琐文档。因为在第一步安装的“证书服务”就是我们的“证书颁发机构”。

在浏览器中输入地址http://localhost/CertSrv/会打开“Microsoft 证书服务”页面（图17）。选择申请证书，点击按钮“下一步”。

图17

在“选择申请类型”的时候应该选择“高级申请”，以便导入在第二步时生成的IIS证书（图18）。

图18

因为在第二步保存的那个证书文件是BASE64编码的，所以我们应该选择“使用BASE64编码的PKCS #10文件提交一个证书申请，或使用BASE64编码的PKCS #7文件更新证书申请”（图19）。

图19

“CTRL+A”、“CTRL+C”、“CTRL+V”这是每个使用MS操作系统的人都该熟记于心的“宝典”。用此“宝典”将第二步中生成的那个文件的内容复制于图20所示文本框中。

图20

这时你就会收到“证书挂起”的通知，这就意味着你的证书已经被提交了（图21）。

图21

第四步：颁发证书

完成了申请证书，证书就被提交到了“证书颁发机构”。呵呵，赶紧自己给自己办法一个证书吧。

进入“控制面板”à“管理工具”打开图3所示的“证书颁发机构”，打开左边的“证书颁发机构（本地）”那棵树，并找到“待定申请”（图22）。

图22
查看右边的列表，刚才提交的证书申请赫然在目（图23）。还等什么？还不赶紧通过？

图23

在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务”一项，选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”下面。

在“颁发的证书”下找到刚才那个证书，双击打开。并在“证书”à“详细信息”中选择“复制到文件”（图24）。

图24

在“证书导出向导”中，任意选择一种CER格式导出，比如“DER 编码二进制”（图25）。并保存成文件。

图25

OK，到此，我们又完成一个里程碑。^_^

第五步：安装证书，配置SSL

现在回到IIS属性下面的那个“IIS证书向导”那里（忘了？看看图7）。这时的“下一步”已经变成了“挂起的证书请求”（图26）。自然是选择“处理挂起的请求，并安装证书”了。

图26

选择刚才在图22中导出的CER文件（图27）。

图27
一路“下一步”完成证书的安装。这时证书就安装好了。

安装好证书之后原先不可以使用的“编辑”按钮被激活（图28），点击“编辑”按钮打开“安全通信”对话框。

图28

在“安全通信”对话框中将“申请安全通信（SSL）”前面的勾选中（图29）并确定。

图29

在IIS的属性对话框的“Web站点”下找到“SSL端口”，你会发现原先不可使用的文本框现在可以录入了。将文本框内容设置为433后“确定”（图30）。

图30

第六步：完成

现在你分别用http（图30）和https（图31）方式去访问你刚才配置过的站点，看看有什么不同。

图30

图31

恩，OK，完成了。只要你按部就班的如此操作，配置IIS的SSL访问易如反掌。呵呵~^_^

天空 2006-12-20 17:23 发表评论

IIS使用指南之六：在IIS中部署HTTPS服务 (ZT)

天空 — Wed, 20 Dec 2006 05:11:00 GMT

在IIS中部署HTTPS服务非常简单，所需要的就是在Web服务器上具有服务器身份验证证书，并将证书绑定在Web站点。如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构，则可以在配置过程中在线申请并自动安装Web服务器证书，否则你需要离线申请Web服务器证书。

申请Web服务器证书的步骤如下：

在Web服务器上运行管理工具下的Internet信息服务管理控制台，在左面板展开Web站点节点，然后右击需要部署HTTPS服务的网站，在此我右击默认网站，选择属性；

在默认网站属性对话框，点击目录安全性标签，然后点击服务器证书按钮；

在欢迎使用Web服务器证书向导页，点击下一步；

在服务器证书页，选择新建证书，点击下一步；如果已经具有其他的服务器身份验证证书，则可以选择分配现有证书来将现有证书分配给此Web站点；

接下来的操作步骤我根据证书申请方式的不同，分别进行介绍：

在线申请证书

在延迟或立即请求页，选择立即将证书请求发送到联机证书颁发机构，然后点击下一步；

在名字和安全性设置页，在名称栏为新证书输入一个容易分辨的名字，然后点击下一步；

在单位信息页，在单位和部门栏中分别输入相关信息，然后点击下一步；

在站点公用名称页，输入Web站点的FQDN，这个名称将被用户用于访问这个站点，如果你输入的FQDN和用户访问所输入的FQDN不一致，那么在通过HTTPS连接此Web站点时会发生错误，在此我输入Web站点的FQDN munich.winsvr.org，然后点击下一步；

在地理信息页，输入你的相关信息，然后点击下一步；

在SSL端口页，输入你需要让客户用于访问此Web站点的HTTPS服务端口，建议你总是使用默认的443，点击下一步；

在选择证书颁发机构页，如果你具有多个联机的证书颁发机构，在此可以选择向哪个发起证书申请。在此我接受默认的选择，然后点击下一步；

在证书请求提交页回顾你的设置，然后点击下一步；

最后，在完成Web服务器证书向导页，点击完成。此时，证书向导已经从联机证书颁发机构申请了一个Web服务器证书，你可以在目录安全性标签点击查看证书按钮来查看证书状态。

离线申请证书

如果活动目录中没有在线的企业证书颁发机构或者Web服务器并不位于活动目录环境中，那么你必须离线申请Web服务器证书。

在延迟或立即请求页，选择现在准备证书请求，但稍后发送，然后点击下一步；

在名字和安全性设置页，在名称栏为新证书输入一个容易分辨的名字，然后点击下一步；

在单位信息页，在单位和部门栏中分别输入相关信息，然后点击下一步；

在站点公用名称页，输入Web站点的FQDN munich.winsvr.org，然后点击下一步；

在地理信息页，输入你的相关信息，然后点击下一步；

在证书请求文件名页，输入证书申请请求保存到的文件名，在此我接受默认设置c:\certreq.txt，点击下一步；

在请求文件摘要页回顾你的设置，然后点击下一步；

在完成Web服务器证书向导页，点击完成，此时，证书请求信息保存到了c:\certreq.txt文件中。

现在我们访问证书颁发机沟腤eb注册登录页面，如下图所示，点击申请一个证书链接；

然后点击高级证书申请链接；

然后再点击使用 base64编码的CMC 或PKCS #10文件提高一个证书申请，或使用base64编码的PKCS#7文件续订证书申请，

在提交一个证书申请或续订申请页，你可以点击浏览要插入的文件来插入前面保存的证书申请信息文件的内容，不过有时IE的安全设置会阻止这一行为，你可以打开证书申请信息文件，然后将所有内容复制到保存的申请文本框中，如下图所示，然后在证书模板栏选择Web服务器，再点击提交；

在此我的证书颁发机构设置为自动颁发证书，因此此时已经颁发了证书，如果证书颁发机构设置为手动颁发证书，那么你还需要在证书颁发机构管理控制台中手动颁发证书。点击下载证书链接，然后将证书保存在本地目录中。

再次回到Internet信息服务管理控制台，右击默认网站，选择属性；在默认网站属性对话框，点击目录安全性标签，然后点击服务器证书按钮；

在欢迎使用Web服务器证书向导页，点击下一步；

在挂起的证书请求页，选择处理挂起的请求并安装证书，点击下一步；

在处理挂起的请求页，点击浏览选择刚才保存的证书文件，点击下一步；

在SSL端口页，接受默认的443，点击下一步；

在证书摘要页回顾你的设置，然后点击下一步；

在完成Web服务器证书向导页，点击完成。此时，证书已经安装完毕，另外在离线申请Web服务器证书时需要特别注意：你必须将颁发证书的证书颁发机构的CA证书导入到本地计算机所信任的根证书颁发结构中，否则此证书无法使用。在此由于我已经导入，所以不再进行这个操作。

配置Web站点强制使用HTTPS服务

当Web站点绑定服务器身份验证证书之后，已经可以通过HTTPS服务访问Web站点了。只是此时还允许通过未加密的HTTP服务访问Web站点，如果需要强制Web站点使用HTTPS服务，则进行以下配置：

在网站属性的目录安全性标签中点击安全通讯框架中的编辑按钮；

在弹出的安全通信对话框上，勾选要求安全通道（SSL），此时将强制只能使用HTTPS服务访问此Web站点；默认加密强度只有40位，如果你需要更高的加密强度则勾选要求128位加密，不过这也要求客户端浏览器支持128位加密；

默认情况下忽略客户端证书，这允许用户不必提供用户证书就可以通过HTTPS连接到此Web站点，如果要让用户提供证书，请使用接受客户证书或要求客户端证书，其中后者要求客户必须具有用户证书才能通过HTTPS连接到此Web站点。

另外你还可以启用客户端证书映射功能，它可以将用户证书映射到活动目录中的用户，从而根据用户访问网站时提供的证书自动识别用户。

在此我仅强制用户只能使用HTTPS来访问此Web站点，因此只是勾选要求安全通道（SSL）和要求128位加密，然后点击两次确定回到Internet信息服务管理控制台。

我们首先通过HTTP来访问此Web站点试试，访问失败，提示要求必须通过安全通道查看，

于是使用HTTPS来进行访问，访问成功，如下图所示，右下角的小锁标志代表是通过HTTPS进行的访问，将鼠标移动到它上面，可以看到现在的加密强度为128位。

天空 2006-12-20 13:11 发表评论

IIS使用指南之五：深入理解Socket Pooling（套接字池） (ZT)

天空 — Wed, 20 Dec 2006 05:09:00 GMT

IIS使用指南之五：深入理解Socket Pooling（套接字池）

可能很多朋友都遇到过这个现象：在启动IIS时，你会发现IIS会将Web站点中配置的服务端口（例如TCP 80）绑定在计算机的所有IP地址上，而不仅仅是分配给Web站点的IP地址，这是为什么呢？

这个特性称为Socket Pooling（套接字池）。套接字（Socket ）是IP地址和端口的组合，用于进行网络通讯，任何应用程序需要和网络上的其他应用程序进行通许时，必须具有相应的套接字，例如Web站点侦听客户的HTTP请求，那么它就绑定在相应的套接字（IP地址和端口，例如端口为标准的TCP 80）上。在IIS 4.0中，微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时，会占用较多的系统资源，于是在IIS 5.0中引入了Socket Pool（套接字池）这个概念，它的工作原理是这样的：IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上（运行Netstat -ano可以看到，这些Web服务端口侦听的IP地址是代表所有IP地址的“0.0.0.0”），而不管这些IP地址是否分配给了这些Web站点，IIS把绑定的这些套接字称为套接字池；然后IIS再将套接字池中的套接字根据Web站点的配置分配到相应的Web站点，这样避免了不同Web站点占用不同IP地址的相同Web服务端口时需要不同的套接字，从而减少了系统资源的占用，提高了IIS的性能。

需要注意的是，Web站点所分配的IP地址是从IIS的套接字池中进行再分配的，因此你不能分配套接字池中不具有的IP地址给Web站点，这会导致Web站点无法工作。

IIS的所有组件均具有Socket Pooling特性。虽然这样提高了IIS的性能，但是也导致了其他应用程序不能再绑定端口到这些IP地址上。例如Web站点侦听TCP 80端口，那么IIS启动时会侦听所有IP地址上的TCP 80端口，此时如果在ISA防火墙中做Web服务发布，需要侦听相应的IP地址（例如外部接口的IP地址）上的TCP 80端口，那么ISA防火墙的端口绑定就会失败，因为IIS已经占用了这些端口。

在这篇文章中，我主要给大家介绍如何处理IIS 6中Web服务的Socket Pooling（套接字池）现象。注意我在此使用的是“现象”这个词，因为我觉得Socket Pooling并不是问题，虽然很多人都这样认为。如果你并没有其他应用程序需要占用IIS套接字池中的端口，你根本就不需要对Socket Pooling进行任何处理。

还记得在IIS使用指南之一：IIS 6 新特性一文中所描述的IIS 6的新架构吗？在IIS 5中，Socket Pooling是作为Metabase的一个可配置属性出现；而在IIS 6中是由HTTP.sys来侦听客户发送的HTTP请求，因此也是由它来处理Socket Pool。HTTP.sys使用一个IP地址包含列表来决定自己侦听HTTP请求的IP地址，在每次启动时读取此列表并依照此列表进行配置。默认情况下，此IP地址包含列表并不包含任何IP地址，因此HTTP.sys侦听本地计算机的所有IP地址。此IP地址包含列表不能通过IIS管理控制台或者修改Metabase.xml来进行配置，你必须通过微软提供的Windows支持工具httpcfg来配置。

httpcfg工具专用于HTTP.sys的配置，它作为Windows支持工具，附带在Windows Server 2003的安装光盘中。我们首先需要安装Windows支持工具，放入Windows Server 2003安装光盘，双击运行“光盘根目录\Support\Tools\”下的Support.msi文件，跟随提示进行安装。

安装完成后点击开始、所有程序，指向Windows Support Tools，然后选择Command Prompt，此时即可运行httpcfg。

我在一台绑定了两个IP地址的Web服务器上给大家进行演示，如下图所示，Web服务器绑定了10.1.1.9、10.1.1.10这两个IP地址，IIS中的默认网站的Web服务端口是TCP 80，因此HTTP.sys侦听所有IP地址的80端口。

现在我先查询一下HTTP.sys的IP地址包含列表，运行以下命令：

httpcfg query iplisten

如下图所示，返回的错误代码1168的含义是找不到匹配元素，这代表IP地址包含列表目前没有任何元素，因此HTTP.sys侦听本地计算机的所有IP地址。

现在我们为IP地址包含列表添加一个IP地址，例如，我想让HTTP.sys只是侦听10.1.1.9这个IP地址，则运行以下命令：

httpcfg set iplisten -i 10.1.1.9

如下图所示，返回的错误代码0代表成功完成。因为HTTP.sys只是在启动时读取此IP地址包含列表，所以此时我们需要重启HTTP.sys。

运行以下命令重启HTTP.sys：

net stop http /y

net start w3svc

如下图所示，HTTP.sys成功重启。

再查询一下IP地址包含列表和HTTP.sys侦听Web服务的端口，如下图所示，已经修改为10.1.1.9了。

我们试着在IIS中为Web站点分配一个并未包含在HTTP.sys IP地址包含列表中的IP地址，例如10.1.1.10，

此时，你会发现，此Web站点已经停止服务了，当你试着启动它时，错误提示不能访问网络位置。

另外需要注意的是，如果你需要通过localhost来访问Web站点，那么你需要将环回IP地址127.0.0.1加入到IP地址包含列表中，如下图所示：

最后，如果你想还原Socket Pool，则删除IP地址包含列表中的所有IP地址即可，运行以下命令：

httpcfg delete iplisten -i 127.0.0.1

httpcfg delete iplisten -i 10.1.1.9

结果如下图所示，

然后重启HTTP.sys即可。

天空 2006-12-20 13:09 发表评论

IIS使用指南之四：在IIS中安装PHP(ZT)

天空 — Wed, 20 Dec 2006 05:07:00 GMT

IIS使用指南之四：在IIS中安装PHP

PHP是一种广泛使用的动态脚本语言，不过在IIS中并没有内置对PHP语言的支持，因此如果需要使用PHP，必须自行安装。PHP可以安装为CGI模式或者ISAPI模式，由于ISAPI模式具有更高的性能，因此我建议大家使用ISAPI模式。PHP具有PHP4、PHP5两种版本，不同的版本安装时有些区别，在此我分别进行介绍。

在PHP官方网站（http://www.php.net/downloads.php）上提供了PHP解析器的两种安装包的下载，分别是完整文件的压缩包和不包含扩展库文件的Installer安装包。Installer安装包只能安装PHP为CGI模式，如果你只需要让PHP工作在CGI模式，可以下载Installer安装包并执行，它可以自动安装并配置PHP。

安装PHP4

PHP4的安装比较简单，在此我仅介绍ISAPI模式的安装。本文写作时PHP4的最新版本是4.4.2，下载完整安装包后，将它解压到C盘根目录下，将其目录改名为PHP（个人习惯 :) ），如下图所示：

PHP执行时需要php4ts.dll文件，此文件位于“C:\PHP”目录中。你可以将“C:\PHP”添加到path系统环境变量中，也可以将php4ts.dll文件复制到其他path中已经定义的目录，例如“C:\windows”、“C:\windows\system32”目录中；在此我将其复制到“C:\windows”目录中；

现在我们需要在“C:\windows”目录下创建PHP配置文件，在PHP目录下自带了两个PHP配置文件样本，分别名为php.ini-dist和php.ini-recommended。其中php.ini-recommended在性能和安全性上有更大的提高，推荐使用；但是如果使用php.ini-recommended出现问题，则可以使用php.ini-dist，它具有最简单的配置，但是也具有最好的兼容性。

将php.ini-recommended文件复制到“C:\windows”下，然后改名为“php.ini”；

此时，基础配置完成，我们需要在IIS中进行进一步的设置。

在IIS管理控制台中，右击Web服务扩展，然后选择添加一个新的Web服务扩展，

在弹出的新建Web服务扩展对话框，输入扩展名为php，然后添加按钮，选择“c:\php\sapi\php4isapi.dll”，然后勾选设置扩展状态为允许，再点击确定；

此时，Web服务扩展添加完成，如下图所示：

现在，我们还需要在Web站点属性中添加应用程序映射，右击需要启用PHP支持的Web站点，选择属性；如果要对所有Web站点启用PHP支持，则右击网站，然后选择属性，在网站全局所做的配置可以应用到所有已有的站点并且将应用到所有新建的Web站点；

在弹出的Web站点属性对话框上，点击主目录标签，然后点击配置按钮；需要注意的是，如果Web站点的执行权限为无，那么你需要修改为纯脚本；

然后在弹出的应用程序配置对话框上点击添加按钮；

在弹出的添加/编辑应用程序扩展名映射对话框上，点击浏览选择可执行文件为“c:\php\sapi\php4isapi.dll”，然后输入扩展名为php，点击确定即可；

依次点击确定回到IIS管理控制台，然后我们可以在对应站点的主目录创建一个php脚本文件来测试PHP支持是否启用，例如我在Web站点根目录创建一个名为phpinfo.php的文件，包含以下内容：

phpinfo()

然后在浏览器中访问，如下图所示，ISAPI模式的PHP4安装成功。

如果你需要在PHP4启用PHP扩展，例如GD2，则需要执行以下三步：

1、修改PHP.ini文件（默认为C:\windows目录中）中的extension_dir变量，将其指向PHP4的扩展文件目录，默认为“c:/php/extensions”；

1、

2、修改PHP.ini中后面的扩展变量，去掉对应扩展库前注释用的分号从而启用此扩展；如下图，我启用GD2；

3、最后，也是最关键的一步，你需要将PHP扩展所依赖的DLL文件的路径（“c:\php\dlls”）添加到path变量中，或者将这些DLL文件复制到path变量已定义的路径中，例如“C:\windows”、“C:\windows\system32”目录中，然后重启IIS服务以让它读取修改后的配置文件。

从phpinfo上获取的信息可以看出PHP扩展添加成功。下图是配置的PHP扩展目录，

从下图可以看出GD2扩展配置成功。

安装PHP5

安装PHP5比安装PHP4更为复杂，虽然可以采用和安装PHP4同样的方式来安装ISAPI模式的PHP5，但是我建议你同时下载Installer安装包和完整安装包，先运行Installer安装包安装CGI模式的PHP，然后在CGI模式的基础上配置PHP5为ISAPI模式。这样更为方便，更重要的是可以避免一些问题。本文写作时PHP5的最新版本是5.1.2，下载Installer安装包和完整安装包后，首先将完整安装包解压到“c:\php5”目录下，如下图所示：

和PHP4不同，PHP5中的PHP扩展所依赖的DLL文件并没有单独存放在一个子目录中，而是放置在php5目录中，因此我们最好为php5目录添加一个path变量。

右击我的电脑，选择属性，然后在弹出的系统属性对话框上点击高级标签，然后点击环境变量按钮；

在弹出的环境变量对话框上，在下部的系统变量列表框中找到path变量并双击，然后在弹出的编辑系统变量对话框的变量值中添加“c:\php5”目录，依次点击确定返回。

现在运行Installer安装包，在弹出的欢迎页和授权协议页点击下一步；

在安装类型页，根据你的喜好进行选择，建议选择高级，这样可以自定义更多的选项，选择后点击下一步；

在目标目录页，选择我们将完整安装包解压的目录“c:\php5”，然后点击下一步；

在备份替换的文件页，选择不，点击下一步；

在选择上传临时目录页，选择用于缓存上传文件的临时目录，你可以设置为任意目录，但是客户访问Web站点时所使用的用户账户（通常是IUSR_服务器名）必须具有此目录的读写权限；在此我接受默认设置，点击下一步，PHP安装程序会自动创建此目录；

在选择会话保存目录页，选择用于保存用户会话数据的临时目录，你可以设置为任意目录，但是客户访问Web站点时所使用的用户账户（通常是IUSR_服务器名）必须具有此目录的读写权限；在此我接受默认设置，点击下一步，PHP安装程序会自动创建此目录；

在邮件配置页，如果你具有对应的邮件服务器则输入相应选项，否则直接点击下一步；

在错误报告级别页，接受默认的显示所有错误、警告和提示，点击下一步；在PHP完全安装成功时，我们应配置PHP不显示任何错误信息，从而增强Web站点的安全性；

在选择服务器类型页，根据你的服务器类型进行选择，在此我选择Microsoft IIS 6 or higher，点击下一步；

在文件扩展名页，接受默认的只选择.php，点击下一步；

在开始安装页点击下一步；此时，PHP开始进行安装，最后在安装完成的对话框上点击确定；

现在我们需要添加客户访问Web站点时所使用的用户账户（通常是IUSR_服务器名）对于上传临时目录和会话保存目录的读写权限，在“c:\php5”目录下选择sessiondata和uploadtemp这两个目录后右击，选择属性，

然后在安全标签上添加相应用户账户的读写权限，例如在此我添加了IUSR_MUNICH的读写权限。

Installer安装包只是在Web站点中添加了应用程序映射，并没有在IIS中添加Web服务扩展，你必须为CGI模式执行文件php-cgi.exe添加一个Web服务扩展后才能使用PHP，如下图所示：

此时，运行phpinfo来查看，如下图所示，CGI模式的PHP5已经安装好了。

现在我们来修改PHP5为ISAPI模式，首先修改应用程序映射，在IIS管理控制台中右击网站，然后选择属性，在弹出的Web站点属性对话框上，点击主目录标签，然后点击配置按钮，在弹出的应用程序配置对话框中，你可以看到php扩展名是映射到“c:\php5\php-cgi.exe”，

双击此项，修改其映射到“c:\php5\php5isapi.dll”，然后依次点击确定返回到IIS管理控制台。

然后在Web服务扩展中进行同样的修改，如下图所示，然后点击确定；

在phpinfo中刷新，此时PHP5已经运行在ISAPI模式下了。

当PHP5安装好后，我们需要修改PHP.ini提高配置的安全性，在PHP.ini中修改以下变量：

safe_mode = on ：启用PHP的安全模式，可以获得更高的安全性；
cgi.force.redirect = 1 ： cgi.force.redirect为CGI方式的运行提供了更高的安全性，默认PHP是启用的，但是在通过Installer安装包安装PHP时会设置为禁用（cgi.force.redirect = 0），你可以简单的删除此行（cgi.force.redirect = 0）即可；
display_errors = off ：不显示任何PHP的错误，这样可以提高Web站点的安全性，但是不利于Web站点出现问题时的调试；

如果你需要在PHP5启用PHP扩展，例如不再作为默认扩展的mysql或者GD2，操作方式和PHP4是一样的，

1、修改PHP.ini文件（默认为C:\windows目录中）中的extension_dir变量，将其指向PHP5中的扩展文件目录，在此为“c:/php5/ext”；

2、修改PHP.ini中后面的扩展变量，去掉对应扩展库前注释用的分号从而启用此扩展；如下图，我启用Mysql和GD2；

3、由于在前面我已经将PHP扩展所依赖的DLL文件的路径（“c:\php5”）添加到了path变量中，所以在此无需进行其他操作。否则你需要将这些DLL文件复制到path变量已定义的路径中，例如“C:\windows”、“C:\windows\system32”目录中。最后重启IIS服务以让它读取修改后的配置文件。

从phpinfo上获取的信息可以看出PHP扩展添加成功，下面的图分别是配置的PHP扩展目录、GD2和mysql扩展。

天空 2006-12-20 13:07 发表评论

IIS使用指南之三：创建和配置Web站点 (ZT)

天空 — Wed, 20 Dec 2006 05:04:00 GMT

IIS使用指南之三：创建和配置Web站点

一个IIS服务器上可以架设多个Web站点，IIS服务器通过网站标识来区分不同的Web站点。网站标识分为HTTP标识和SSL标识两部分，一个Web站点可以同时具有多个HTTP标识或多个SSL标识，但是至少必须具有一个HTTP标识。

HTTP标识是以下三个属性的组合，只要其中一个属性在IIS服务器的所有HTTP标识中具有唯一值，则IIS服务器认为此HTTP标识是唯一的：

分配给Web站点的IP地址；此Web站点侦听客户发送的HTTP请求的IP地址；
分配给Web站点的TCP端口；此Web站点侦听客户发送的HTTP请求的TCP端口，如果不是标准的HTTP端口（TCP 80），那么客户端在访问时必须明确指定端口号；
分配给Web 站点的主机名头；此Web站点的主机名头（域名），当指定主机名头时，客户端访问时必须明确指定主机名头。

对于网站标识来说，SSL标识不是必需的，即可以不具有SSL标识。SSL标识是以下两个属性的组合，只要其中一个属性在IIS服务器的所有SSL标识中具有唯一值，则IIS服务器认为此SSL标识是唯一的：

分配给Web站点的IP地址；此Web站点侦听客户发送的HTTPS请求的IP地址；
分配给Web站点的TCP端口；此Web站点侦听客户发送的HTTPS请求的TCP端口，如果不是标准的HTTPS端口（TCP 443），那么客户端在访问时必须明确指定端口号；

当网站 标识的HTTP标识和SSL标识（如果有）均是唯一的时，IIS才认为网站标识是唯一的。只有具有各自唯一的网站标识时，不同的Web站点才可以同时在IIS服务器上运行。如果发现Web站点无法启动并且提示端口被占用，那么你需要检查Web站点的网站标识是否是唯一的。

IIS服务器根据Web站点的网站标识路由客户端的访问请求到不同的Web站点，例如，如果某个Web站点的网站标识为：

IP地址为：10.1.1.9
HTTP端口：TCP 80
主机名头：无

那么客户只需要通过http://10.1.1.9就可以访问此Web站点。

而另外一个Web站点的网站标识为：

IP地址为：10.1.1.10
HTTP端口：TCP 88
主机名头：无

那么客户必须通过http://10.1.1.10:88才能访问此Web站点。

如果另外一个Web站点的网站标识为：

IP地址为：10.1.1.11
HTTP端口：TCP 80
主机名头：www.winsvr.org

客户端必须向IP 10.1.1.11提交主机名头www.winsvr.org才能访问此Web站点，如果只是通过http://10.1.1.11是无法访问的。

安装IIS时默认会创建一个名为默认网站的Web站点，你可以根据修改此站点的属性来迎合你的需求，也可以额外创建Web站点。

创建Web站点

你可以通过以下两种方式来创建Web站点：

使用网站创建向导创建；
使用模板文件创建。

使用网站创建向导创建Web站点

在IIS管理控制台中，右击网站，指向新建，选择网站，

在弹出的欢迎使用网站创建向导页，点击下一步；

在网站描述页，输入网站的描述，在此我输入为Winsvr.org，然后点击下一步，

在IP地址和端口设置页，设置此Web站点的网站标识（IP地址、端口和主机名头），在此仅能设置一个默认的HTTP标识，你可以在创建网站后添加其他的HTTP标识和SSL标识。由于IIS中的默认网站尚在运行，它的IP地址设置为全部未分配，端口为80，所以在此我必须不能设置为和默认站点冲突，因此我选择网站IP地址为10.1.1.9；保持端口为默认HTTP端口80，不输入主机名头，然后点击下一步；

在网站主目录页，输入主目录的路径，主目录即你的网站内容存放的目录，在此我输入为c:\winsvr，其实把网站主目录存放在系统分区不是安全的行为，只是在此我只有一个驱动器。默认选择了允许匿名访问网站，这允许对此网站的匿名访问，点击下一步；

在网站访问权限页，默认只是选择了读取，即只能读取静态内容，如果你需要运行脚本如ASP等，则勾选运行脚本（如ASP），至于其他权限，请根据需要慎重考虑后再选取；

最后在已成功完成网站创建向导页，点击完成，此时，Web站点就创建好了。

使用模板文件创建Web站点

除了使用向导以外，你还可以通过模板文件来创建Web站点。模板文件是保存的Web站点配置文件，它记录了保存的Web站点的所有属性，你可以通过读取它，然后创建Web站点，这适合需要创建多个相似配置的Web站点的场景。

首先你需要创建模板文件，在IIS管理器中右击需要作为模板的Web站点，在此我右击刚才创建的Web站点Winsvr.org，然后指向所有任务，选择将配置保存到一个文件，如果你右击网站然后再选择将配置保存到一个文件，那么会将IIS中的所有Web站点的配置保存到文件中；

然后在弹出的将配置保存到一个文件对话框上，输入保存的配置文件名，然后点击浏览按钮选择路径，如果需要加密则勾选用密码对配置进行加密，然后输入并确认密码，点击确定即可，此时此Web站点的所有配置均保存在此配置文件中。

现在我们右击Web站点Winsvr.org，选择删除，然后右击网站，指向新建，选择网站（来自文件），在弹出的导入配置对话框，点击浏览选择要导入的配置文件，然后在点击读文件，此时IIS读取配置文件中的配置，列出了其中包含的Web站点，选择对应的Web站点后，点击确定；此时，IIS将根据配置文件中的配置创建并启动对应的Web站点，如果和现有Web站点冲突，则此Web站点处于停止服务状态。

配置Web站点

在IIS管理控制台中右击对应的Web站点，然后选择属性，即可配置Web站点的属性，在此我仅介绍一下常用的几个配置标签：

网站

在网站标签，你可以在网站标识框修改此网站的默认HTTP标识，也可以点击高级按钮添加其他的HTTP标识和SSL标识；在连接框，你可以配置Web站点在客户端空闲多久时断开与客户端的连接，而保持HTTP连接选项有助于HTTP连接性能的提高，你应该总是启用；最后在下部你可以配置是否启用日志记录以及日志记录文件的存储路径和记录的字段。

性能

在性能标签，你可以限制网站可以使用的网络带宽和并发连接数，如果启用限制网络带宽，则勾选限制网站可以使用的网络带宽，然后输入此网站可以使用的最大带宽即可，不过IIS需要在网络适配器上安装QoS数据包计划程序；默认情况下此Web站点的并发连接数不受限制，你可以限制它可以使用的并发连接数，但是配置时请注意，设置值不应超过应用程序池所设置的核心请求队列长度。

主目录

在主目录标签，主要可以进行以下配置：

修改网站的主目录：配置为本地目录、共享目录或者重定向到其他URL地址；

修改网站访问权限：网站访问权限用于控制用户对网站的访问，IIS 6中具有以下六种网站访问权限，：

读取：用户和读取文件内容和属性，默认启用；
写入：用户可以修改目录或文件的内容；如果需要启用此权限，请在设置之前慎重考虑。
脚本资源访问：允许用户访问脚本文件的源代码，必须和读取或写入权限同时启用方可生效；如果需要启用此权限，请在设置之前慎重考虑。
目录浏览：用户可以浏览目录，从而可以看到目录中的所有文件；如果需要启用此权限，请在设置之前慎重考虑。
记录访问：当用户浏览此网站时进行日志记录，默认启用。
索引资源：允许索引服务对此资源进行索引，默认启用。

需要注意的是，网站访问权限只是完整的用户访问控制体系结构中的一部分，我将在后文介绍IIS完整的用户访问控制体系。

执行权限：执行权限用于控制此网站的程序执行级别，IIS 6中具有以下三种执行权限：

无：不能执行任何代码，只能访问静态内容；
纯脚本：只能运行脚本代码例如ASP等等，不允许执行可执行程序；
脚本和可执行文件：允许执行所有脚本和可执行程序，如果需要启用此权限，请在设置之前慎重考虑。

应用程序池：配置此网站所使用的应用程序池；

此外，点击配置可以进入应用程序配置对话框，如下图所示：

在映射标签中，你可以配置应用程序映射，即配置由哪个Web服务扩展来处理具有对应扩展名的文件，IIS默认安装的Web服务扩展如ASP等已经自动添加了应用程序映射，因此你只需要在Web服务扩展中启用；默认情况下勾选了缓存ISAPI扩展，这样以ISAPI方式运行的Web服务扩展可以在被用户请求激活后长驻内存，从而减少加载DLL的时间，否则DLL将在运行之后被卸载。你应该只有在特别需要的环境下时才取消此选项，例如调试ISAPI扩展。

在选项标签有个比较重要的选项，就是启用父路径。父路径指使用“..”相对表示当前路径的父路径的方式，由于具有安全隐患，在IIS 6中是默认禁用的，如果你的程序需要使用，则勾选此选项，不过，在启用之前，你应该检查你的应用程序，以确定不会引起安全问题。

在调试标签，同样也具有一个比较重要的选项：脚本错误的错误消息。默认情况下当脚本执行错误时，Web站点会向客户发送详细的ASP错误信息，这点有助于Web应用程序的开发；但是在正常的网站运行中，此选项也便于入侵者获取信息，因此建议你在正常的网站运行中，设置为向客户端发送下列文本错误消息，然后输入自定义的错误消息。

文档

在文档标签，你可以配置此网站使用的默认内容文档。默认内容文档指如果客户请求时并未指定请求的具体文件名时，例如客户访问http://www.winsvr.org/，那么按照在此配置的优先级（从上到下）在对应目录下进行搜索直到找到匹配的文件为止，然后将找到的默认内容文档返回给客户。由于搜索需要耗费系统性能和降低响应时间，因此你最好确认指定的第一个默认内容文档即存在于网站主目录中。你可以添加和删除默认内容文档，也可以选择对应名字后点击上移、下移调整优先级。

下部的启用文档页脚功能可以让Web站点自动附件一个HTML格式的页脚到返回给客户的任何一个文档中，不过你选择的页脚文件不应是完整的HTML文件，而应仅仅是部分HTML代码。

目录安全性

在目录安全性标签，你可以配置身份验证和访问控制、IP地址和域名限制、安全通信等，

身份验证和访问控制：点击编辑弹出身份验证方法对话框，IIS 6支持五种身份验证方式，在此我仅介绍常用的三种：

匿名访问：注意此匿名访问和Windows中的匿名访问概念不同。在启用匿名访问时，当客户访问此Web站点时，Web站点会使用预配置的用户账户代替客户进行身份验证，而不需要客户输入身份验证信息。在安装IIS时，会创建一个名为IUSR_服务器名的用户账户，它属于Guests用户组，具有很少的访问权限。默认情况下在启用匿名访问时，IIS使用此用户账户来代替客户进行身份验证；不过为了实现更高的安全性和隔离性，你可以配置为使用自定义的用户账户。但是无论配置为使用任何账户，你都必须确定此账户具有对网站主目录的相应NTFS权限，否则客户的访问将会被拒绝。
基本身份验证：基本身份验证是广泛使用的工业标准身份验证方式，它访问时要求用户显式输入身份验证信息，然后通过BASE64编码传送至Web服务器，由于没有进行加密，如果数据包被其他人捕获则会造成身份验证信息的泄漏，因此建议你在SSL上使用基本身份验证。
集成Windows身份验证：集成Windows 身份验证在通过网络发送用户名和密码之前，先将它们进行哈希计算，因此更为安全，它在Windows系统中广泛使用。但是非Windows系统可能不支持集成身份验证，并且不能通过代理使用集成身份验证。

IP地址和域名限制：点击编辑弹出IP地址和域名限制对话框，在此你可以限制可以访问此Web站点的IP地址范围，你可以仅允许你所添加的IP地址范围的访问，也可以允许除了所添加的IP地址范围外的其他IP地址范围的访问。

安全通信：在安全通信中你可以配置Web站点和客户端之间是否启用安全通信，我将在另行撰文介绍。

配置上传文件限制

默认情况下，在IIS 6 全局配置中允许上传的文件长度最大为4 GB，但是在Web站点级却限制了ASP应用程序上传的最大文件长度为200 KB。如果你需要上传超过200KB的文件，则需要手动修改IIS的metabase.xml中对应Web站点的AspMaxRequestEntityAllowed属性。

metabase.xml位于"systemroot"\system32\inetsrv目录下，用于保存IIS的基本配置信息。默认情况下IIS是不允许你直接对metabase.xml进行编辑的，你可以通过以下两种方式来实现：

停止IISAdmin服务后再编辑；
在IIS管理控制台中右击服务器名，选择属性，然后在弹出的服务器属性对话框中勾选允许直接编辑配置数据库，再点击确定即可；

然后在任何文本编辑器中打开Metabase.xml文件，修改对应Web站点的AspMaxRequestEntityAllowed属性即可，它的单位是字节。

Metabase.xml对于IIS至关重要，修改之前最好进行备份 。

IIS 6 中的用户访问控制体系

在上面中给大家介绍了Web站点中的配置，可以看到具有网站访问权限、身份验证和访问控制、IP地址和域名限制等配置，它们都只是IIS 6中用户访问控制体系的一部分。IIS 6中的用户访问控制体系是和Windows系统紧密结合的，当IIS服务器接收到客户所发送的访问请求时，它按照以下步骤进行处理：

IIS检查是否具有匹配客户访问请求的Web站点；如果没有则返回给客户400-错误请求错误信息；
IIS检查客户的IP地址是否在Web站点所允许访问的IP地址范围内；如果被拒绝则IIS拒绝客户访问并返回给客户403.6-禁止访问错误信息；
如果Web站点配置为使用除匿名验证的其他验证方式，则提示客户提交身份验证信息，如果客户提交的身份验证信息未能通过IIS服务器的身份验证，则IIS拒绝客户访问并返回给客户401.1-未经授权错误信息；
IIS检查网站访问权限，如果不具有相应的网站访问权限，则IIS拒绝客户访问并返回给客户403.2-禁止访问错误信息；
此时，工作进程模拟客户提交的用户账户或者使用配置为匿名访问时预定义的用户账户来访问网站主目录对应路径下的资源文件，如果此资源文件存放在NTFS格式的驱动器上，则Windows系统检查该资源文件的NTFS权限，如果工作进程模拟的用户账户不具有相应的权限，则工作进程访问被系统拒绝，此时IIS返回给客户401.3-未经授权错误信息。如果资源文件存放在FAT32格式的驱动器上则不会进行检查，因此强烈建议大家使用NTFS格式的驱动器并且将网站内容存放在除系统分区外的其他驱动器上，然后使用NTFS权限加以严格限制，这样可以带来更高的安全性。

关于IIS 6安装时的默认权限，可以参考微软的知识库文档“KB812614，Default permissions and user rights for IIS 6.0”。在使用ASP.NET时，默认情况下不会进行用户账户的模拟，因此，所有运行ASP.NET的Web 应用程序访问任何资源访问均使用ASP.NET进程所运行的用户账户，如果你需要创建自定义帐户来运行ASP.NET，请参考微软技术文章如何创建自定义帐户来运行 ASP.NET。

天空 2006-12-20 13:04 发表评论

IIS使用指南之二：安装和配置IIS (ZT)

天空 — Wed, 20 Dec 2006 05:01:00 GMT

IIS使用指南之二：安装和配置IIS

建议你在阅读本文之前，先阅读IIS使用指南之一：IIS 6 新特性一文，只有当你了解IIS 6的新特性后，才能更好的使用它。如非特别说明，本文中所有涉及的IIS均指Windows Server 2003中提供的IIS 6。

安装IIS

在安装IIS之前，你需要考虑如何增强IIS服务器的安全性，首先的一点就是减少IIS服务器的攻击面。在IIS服务器上你首先应该安全配置Windows服务器；使用NTFS文件格式；尽可能少的安装其他网络服务；停止不相关的服务；并且只是安装需要的IIS组件。

安装IIS的过程很简单，点击开始，指向控制面板，选择添加或删除程序，然后点击添加/删除Windows组件，在弹出的Windows组件向导对话框，勾选应用程序服务器下的Internet信息服务（IIS）即可。需要注意的是，从安全性考虑，在Windows Server 2003中安装IIS时，默认只会安装IIS的部分组件而不是全部，安装的组件如下表所示：

默认安装的IIS组件说明

组件名	默认设置	推荐设置
FrontPage 2002 Server Extensions	禁用	提供对在FrontPage中发布Web站点的支持，根据你自己的需要来决定是否启用，建议不启用。
Internet打印	禁用	Internet打印服务组件，请根据你自己的需要来决定是否启用。
Internet信息服务管理器	启用	用于本地管理IIS的MMC单元。
NNTP Service	禁用	网络新闻传输服务组件，请根据你自己的需要来决定是否启用。
SMTP Service	禁用	SMTP服务组件，请根据你自己的需要来决定是否启用，例如安装Exchange服务器则需要安装此组件。
公用文件	启用	IIS所必需的程序文件。
后台智能传送服务（BITS）服务器扩展	禁用	BITS是一种后台文件传送机制，被Windows更新或自动更新所使用，只有你的应用程序需要此功能时才启用，例如安装WSUS服务器则需要安装此组件。
万维网服务	启用	Web服务组件，这是IIS最常用的组件。它包含了多个子组件，详见下表。
文件传输协议（FTP）服务	禁用	FTP服务组件，根据你的需要来决定是否启用。

默认安装的万维网服务组件说明

组件名	默认设置	推荐设置
Active Server Pages	安装此组件但是禁止使用	ASP脚本支持组件，从安全性考虑，默认情况下虽然安装但是禁止使用，你可以在此勾选它，那么它将默认启用；或者你可以在此保持默认设置，以后再手动启用。
Internet数据连接器	安装此组件但是禁止使用	通过.idc文件提供的动态内容支持，从安全性考虑，默认情况下虽然安装但是禁止使用，你可以在此勾选它，那么它将默认启用；或者你可以在此保持默认设置，以后再手动启用。
WebDav发布	安装此组件但是禁止使用	WebDAV扩展了HTTP 1.1协议，使其支持Web内容的发布和管理，从安全性考虑，默认情况下虽然安装但是禁止使用，你可以在此勾选它，那么它将默认启用；或者你可以在此保持默认设置，以后再手动启用。
万维网服务	启用	IIS Web服务的核心组件
远程管理（HTML）	禁用	支持从HTML界面远程管理IIS，你可以根据需要进行安装。
远程桌面Web连接	禁用	支持从Web页面连接到终端服务的组件，你可以根据需要进行安装。
在服务器端的包含文件	安装此组件但是禁止使用	提供对.shtm、.shtml、和.stm文件的支持，从安全性考虑，默认情况下虽然安装但是禁止使用，你可以在此勾选它，那么它将默认启用；或者你可以在此保持默认设置，以后再手动启用。

如果你只是想提供Web服务，那么IIS安装的默认组件已经完全满足你的需求。在此我仅安装Web服务组件，所以勾选Internet信息服务（IIS）后依次点击确定，然后在Windows组件向导对话框上点击下一步，此时Windows服务器开始IIS组件的安装，安装过程中可能提示你插入安装光盘，当安装完成后IIS就安装好了。

配置IIS

通常情况下对于IIS本身我们需要做的配置不多，主要集中在以下几个方面：

配置IIS的应用程序隔离模式；
配置HTTP压缩；
配置MIME类型；
配置Web服务扩展；
配置应用程序池。

配置IIS的应用程序隔离模式

我们在IIS使用指南之一：IIS 6 新特性中介绍过，默认情况下IIS 6工作在工作进程隔离模式下，如果你的Web应用程序不能兼容此模式，那么你需要将IIS 6配置为工作在IIS 5 隔离模式下，配置过程如下：

点击开始，指向控制面板，然后选择Internet信息服务（IIS）管理器，在弹出的Internet信息服务（IIS）管理器上右击网站文件夹，选择属性，然后在弹出的网站属性对话框上点击服务标签，在隔离模式下勾选以IIS 5.0隔离模式运行WWW服务即可，需要重启整个IIS服务。

配置HTTP压缩

如上图中的配置，你可以看到IIS 6支持HTTP压缩。HTTP压缩是一种牺牲CPU性能来降低带宽消耗的功能，如果IIS中启用了HTTP压缩并且客户端浏览器支持HTTP压缩，那么IIS在传送文件之前，会对数据进行压缩后再进行传送。它的工作原理是这样的：

IIS接收到客户端浏览器发送的请求时，将检查客户端浏览器是否支持HTTP压缩；然后IIS检查客户端浏览器请求的文件的扩展名，以确定请求的文件为静态文件或包含动态内容。

如果为静态文件，IIS将查看是否已将此文件以压缩格式存储在临时目录中。如果文件没有以压缩格式存储，IIS会将未压缩的文件发送至发起请求的客户端浏览器，并将此文件进行压缩后存储在临时目录中；如果文件已经以压缩格式存储在临时目录中，IIS会将压缩过的文件发送给浏览器。在客户端浏览器首次请求之前，IIS不会压缩任何文件；在客户端浏览器首次请求某个文件之前，此文件不会被压缩；并且在客户端浏览器首次请求某个文件时，它获得的文件并未经过压缩。
如果文件包含动态内容（应用程序文件），IIS将首先针对动态内容生成响应，然后对生成的响应进行压缩，并将压缩后的响应发送至客户端浏览器；IIS不对此响应进行存储。

压缩静态文件所消耗的CPU性能较少，并且通常只需要压缩一次，然后就保存在缓存的临时目录中；压缩动态内容的代价要高一些，因为它们并不存储在临时目录中，并且每次请求时都必须重新生成。推荐你只压缩静态文件，而不压缩应用程序文件。当然，如果你认为与CPU性能消耗相比你更在乎带宽的利用率，那么也可以压缩应用程序文件；微软建议在CPU利用率已经达到80％以上时，不对应用程序文件进行压缩。

当配置HTTP压缩时，根据你的需要选择压缩静态文件和压缩应用程序文件，如果要压缩应用程序文件，则必需勾选压缩静态文件，然后输入压缩后的内容的缓存临时目录，默认为%windir%\IIS Temporary Compressed Files，然后输入所存储的压缩内容的最大容量即可，默认为不受限制。

配置MIME类型

从安全性上考虑，IIS 6中只是定义了常见的MIME类型（文件扩展名），而没有和IIS 5一样包含通配符MIME映射。这样当客户端浏览器从IIS 6 Web服务器上请求某个文件时，如果该文件的扩展名并没有在IIS的MIME类型中进行定义，IIS 会返回404错误-文件或目录未找到。对于使用Access数据库的站点，为了防止别人下载Access数据库，有些文章中介绍了将Access数据库改名为.asp来防止下载的方法，这并不安全，最好的办法就是将Access数据库的扩展名修改为MIME类型中未定义的扩展名，这样别人就无法访问此数据库。

当然，有时你需要添加MIME类型。你可以在IIS全局、网站、单个网站这三个级别上添加MIME类型，默认的MIME类型定义在IIS全局属性中，而网站属性中定义的MIME类型可以覆盖所有网站中的MIME类型定义，在单个网站上定义的MIME类型只会影响此站点。

在IIS全局上添加MIME类型的过程如下：

在IIS管理控制台中右击服务器名，然后选择属性；

在弹出的计算机属性对话框上点击MIME类型按钮；

在MIME类型对话框中，你可以创建、修改、删除MIME类型，在此我为ISO文件创建一个MIME类型，点击新建按钮；

在扩展名栏中，键入对应的文件扩展名.iso，如果你不输入“.”（例如只输入ISO），那么IIS会自动为你添加；如果你想添加通配符MIME映射，即允许访问任何没有MIME类型定义的文件，则在扩展名栏输入“*”，不过不推荐使用这种方式。然后在MIME类型栏，输入application/octet-stream，最后点依次击确定即可。

而在网站或单个网站上添加MIME类型定义则是右击网站或单个网站，然后选择属性，点击HTTP头标签中的MIME类型按钮即可进行配置。

配置Web服务扩展

Web服务扩展是IIS中用于处理动态内容请求的扩展组件，在IIS中支持以下两种方式的Web服务扩展：

ISAPI（Internet Server Application Programming Interface）扩展；
CGI（Common Gateway Interface）应用程序；

它们之间的工作原理基本相同，主要是实现机制不同。ISAPI和CGI之间最大的区别在于ISAPI扩展基本以动态链接库的形式存在，而CGI以可执行程序形式存在；ISAPI方式运行的Web服务扩展可以在被用户请求激活后长驻内存，从而减少加载DLL的时间，因此具有比CGI方式更高的效率。

从安全性上考虑，在安装IIS时，默认情况下会安装以下四个Web服务扩展但是并不启用，因此只能支持静态内容的访问：

Active Server Pages
Internet数据连接器
WebDav
在服务器端的包含文件

你可以根据你的需要添加或删除自定义的Web服务扩展，而对于IIS内建的Web服务扩展则只能禁用或启用。

对于这些内置的Web服务扩展，IIS已经为Web站点配置好了应用程序映射，你只需要启用这些Web服务扩展，就可以在Web站点中启用对相应动态内容的访问。

如果要启用某个系统自带的Web服务扩展，则在IIS管理控制台中点击Web服务扩展文件夹，然后在右侧窗口中点击对应的Web服务扩展，点击允许即可，例如要启用对ASP页面的支持，则启用Active Server Pages即可；

如果要添加自定义的Web服务扩展，除了需要在Web服务扩展文件夹中进行添加外，还需要在Web站点中添加应用程序映射，我将以后专文进行描述。

配置应用程序池

IIS 6的核心在于工作进程隔离模式，而应用程序池则是定义工作进程如何进行工作，因此，可以说应用程序池是整个IIS 6的核心。

和IIS 5中只能使用单个应用程序池不同，工作在工作进程隔离模式的IIS 6可以创建多个应用程序池，不同的应用程序池之间是完全隔离的，某个应用程序池停止服务时不会影响到其他应用程序池。

在使用应用程序池之前，你应该确定你所需要的应用程序池数量。可能有很多朋友会认为，既然不同的应用程序池之间是完全隔离的，那么我只需要为每个Web站点创建一个应用程序池就可以了。这个办法在IIS服务器上具有较少的Web站点数量时可以使用，但是如果IIS服务器上具有很多Web站点数量，那么这个办法就不适用了，因为不同的应用程序池在被访问时都会创建各自的工作进程，当大量的工作进程并发工作时会消耗大量的系统资源和CPU利用率，反而会降低服务器性能。你应该根据Web站点的重要性、隔离性、所运行代码的安全性和稳定性等来对IIS服务器上所具有的Web站点进行划分，然后根据情况来决定所需要的应用程序池数量。对于那些非常重要的Web站点、需要单独隔离的Web站点、所运行代码稳定性和安全性并不可靠的Web站点配置为使用各自独立的应用程序池，而将其他普通的Web站点配置为使用一个公共的应用程序池。

默认情况下，在安装IIS时会创建一个默认网站并创建一个名为DefaultAppPool的应用程序池为其使用；默认配置下的应用程序池已经可以很好的进行工作，建议你只有在特别需要时才对应用程序池进行配置。

配置应用程序池属性

在IIS管理控制台中展开应用程序池文件夹，然后右击对应的应用程序池，点击属性，你可以在应用程序池的属性中进行以下配置：

回收

在回收标签，你可以设置工作进程的回收方式：

回收工作进程（分钟）：在工作进程运行多少分钟后回收工作进程，默认启用，并且设置为1740分钟（29小时）；
回收工作进程（请求数目）：在工作进程处理多少个HTTP请求后终止此工作进程，默认禁用，如果启用则默认值为35000；
在下列时间回收工作进程：在指定的时间回收工作进程，默认禁用；如需启用，勾选后点击添加按钮添加回收的时间即可，使用24小时制定义回收的时间；
消耗太多内存时回收工作进程：
- 最大虚拟内存（兆）：当工作进程使用的虚拟内存达到设置的值时回收工作进程，默认禁用，如果启用则默认值为500 M；建议设置为不超过虚拟内存总数的70％；
- 最大使用的内存（兆）：当工作进程使用的物理内存达到设置的值时回收工作进程，默认禁用，如果启用则默认值为192 M；建议设置为不超过物理内存总数的60％；

另外需要注意的是，应用程序池具有以下两种工作进程回收方式，不过这两种回收方式均不会造成Web服务的中断：

默认情况下，应用程序池使用重叠回收方式。在这种方式下，当应用程序池要关闭某个工作进程时，会先创建一个工作进程，直到新的工作进程成功创建后才关闭旧的工作进程；
应用程序池也可以先关闭旧的工作进程，然后再创建新的工作进程。

如果Web应用程序不支持多实例运行，那么你必须配置应用程序池禁止使用重叠回收方式。此配置无法在IIS管理控制台中进行修改，只能通过在metabase.xml中修改对应应用程序池的DisallowOverlappingRotation metabase属性为true进行。
　

性能

在性能标签你可以设置工作进程的运行方式：

在空闲此段时间后关闭工作进程（分钟）：当工作进程空闲多少分钟后关闭此工作进程，这降低了空闲工作进程对系统资源和CPU性能的消耗，默认启用并且设置为20分钟；
核心请求队列限制为（请求次数）：当HTTP.sys接收到某个客户端发送的HTTP请求时，如果处理此请求的对应应用程序池的工作进程还处于忙状态，则HTTP.sys将接收到的请求保存在对应应用程序池的请求队列中，直到工作进程空闲为止。此选项即用于设置此应用程序池的请求队列所能容纳的请求数量，默认情况下每个应用程序池的请求队列限制为保留1000个请求，如果超出则向客户端返回503错误，你可以根据需要适当进行修改，最大可以设置为65535。但是如果设置太大则会消耗大量的系统资源，而设置太小会导致客户端访问时频繁出现503错误。
启用CPU监视：监视此应用程序池的CPU使用率，默认未启用；如果某个应用程序池占用的CPU利用率过多，那么可以通过配置此选项来限制此应用程序池；
- 最大CPU使用率（百分比）：所设置的应用程序池所能使用的最大CPU使用率；启用CPU监视时默认值为100；
- 刷新CPU使用率（分钟）：刷新CPU使用率的间隔时间；启用CPU监视时默认值为5；
- CPU使用率超过最大使用率时执行的操作：当此应用程序池的CPU使用率超过所设置的最大CPU使用率时所进行的操作，启用CPU监视时默认为无，此时IIS只是在事件日志中进行记录而不进行其他操作；如果选择为关闭，那么IIS将关闭此应用程序池中的所有工作进程；
Web园：在Web园中你可以配置此应用程序池所使用的最大工作进程数，默认为1，最大可以设置为4000000；配置使用多个工作进程可以提高该应用程序池处理请求的性能，但是在设置为使用多个工作进程之前，请考虑以下两点：
- 每一个工作进程都会消耗系统资源和CPU占用率；太多的工作进程会导致系统资源和CPU利用率的急剧消耗；
- 每一个工作进程都具有自己的状态数据，如果Web应用程序依赖于工作进程保存状态数据，那么可能不支持使用多个工作进程。

运行状况

在运行状况标签你可以配置应用程序池监视工作进程的运行状况，

启用Ping：默认情况下应用程序池配置为每隔30秒Ping工作进程，当工作进程没有进行响应时，则认为此工作进程出现故障并默认配置为关闭此工作进程。你可以修改Ping的时间间隔，但是太长的Ping间隔可能会导致Web服务的中断，而太短的Ping间隔又会消耗更多的系统资源和CPU利用率，因此建议你保留默认配置；
启用快速失败保护：如果Web应用程序代码编写有问题，它可能会导致工作进程持续出现问题。默认情况下应用程序池配置为启用快速失败保护，当工作进程在配置的时间段（默认为5分钟）内发生的失败次数超过了配置的值（默认为5次），则禁用此应用程序池。
启动时间限制：IIS等待属于此应用程序池的工作进程启动的时间，当工作进程启用时间超出此设置值时，IIS会在事件日志中进行记录；
关闭时间限制：当IIS检测到某个工作进程出现故障时，将此工作进程标记为关闭，此选项指定了IIS等待工作进程自动关闭的时间限制，如果超出此时间限制后工作进程尚未关闭，则IIS强行关闭工作进程。

标识

在标识标签，你可以配置工作进程所运行的用户账户。在IIS 5或者当IIS 6运行在IIS 5隔离模式时，工作进程运行在本地系统账户，而运行在工作进程隔离模式下的IIS 6的工作进程运行在网络服务账户下，这降低了系统被攻击的可能性。

你可以配置工作进程运行在预定义的本地系统、本地服务或网络服务账户下，也可以配置为使用某个自定义的用户账户。建议使用默认的网络服务账户；不过如果为了更高的安全性，可以配置使用自定义的用户账户，不过建议你只是将此自定义用户加入到IIS_WPG用户组中，因此IIS_WPG用户组包含了可以启动和运行工作进程的最小权限。

创建应用程序池

要新建应用程序池，在IIS管理控制台中右击应用程序池文件夹，指向新建，选择应用程序池；

然后在弹出的添加新应用程序池对话框，在应用程序池ID栏输入应用程序池名，然后选择使用默认设置还是继承现有的应用程序池设置，再点击确定即可；

分配Web站点到应用程序池中

在IIS管理控制台中展开网站文件夹，右击对应的网站，然后选择属性，在弹出的网站属性对话框上，点击主目录标签，然后在应用程序池栏选择不同的应用程序池即可，默认情况下所有网站所使用的应用程序均名为默认应用程序，如果要想此网站使用不同的应用程序名，则在应用程序名栏修改即可，例如在此我就修改为winsvr，这主要是便于查看，然后点击确定即可，

此时，在对应的应用程序池下就显示出了对应网站的应用程序，如下图所示：

天空 2006-12-20 13:01 发表评论

IIS使用指南之一：IIS 6 新特性(ZT)

天空 — Wed, 20 Dec 2006 04:59:00 GMT

IIS使用指南之一：IIS 6 新特性

可能很多朋友使用Windows Server 2003是因为IIS 6 的强大性能吧，和Windows 2000中包含的IIS 5 相比，IIS 6更为安全和稳定，最重要的是具有更高的性能，那么，为什么IIS 6会具有更高的性能呢？

IIS 5 和 IIS 6 的架构比较

这点需要从IIS 5的架构说起。IIS 5的架构如下图所示，

IIS 5 的所有组件都工作在用户模式中，核心组件INETINFO侦听WinSock端口（例如常见的TCP 80端口）。当HTTP访问请求到达时，工作在内核模式的TCP/IP驱动将其直接路由到INETINFO进程，INETINFO进程自己本身对此请求进行处理或者将其交付扩展组件（如ISAPI扩展）进行处理。IIS 5 使用COM+提供的DLLHOST基础结构方式进行工作，这种方式具有以下缺陷：

在INETINFO中执行第三方代码；这样的后果是如果执行的代码有问题，那么会导致整个Web服务器停止工作；
如果执行的代码工作在OOB方式，那么可能需要多次用户模式到用户模式的转换，这降低了执行效率；
Web服务器上的所有Web站点工作在一个应用程序池内，无法实现隔离；

针对IIS 5中的种种问题，微软将IIS 5的代码推倒重来，重新设计了IIS 6并在Windows Server 2003中提供。IIS 6的架构如下图所示，

可以从上图中看到，INETINFO进程虽然也存在，但是已经不再处理HTTP请求，而是处理FTP、SMTP和NNTP等非HTTP请求了。在IIS 6中，Web服务组件由以下三个组件构成：

运行在内核模式的HTTP.sys（HTTP协议栈）；
运行在用户模式的WAS（Web Admin Service，包含于W3SVC服务中）；
运行在用户模式的工作进程（WP，Worker Process）

HTTP.sys （HTTP协议栈）

HTTP.sys是工作在内核模式的HTTP请求侦听器，它的架构如下图所示：

HTTP.sys不会执行外部代码，它具有以下作用：

侦听和分析HTTP请求，支持IPv4和IPv6；
根据URL命名空间将接收到的HTTP请求路由到不同的工作进程；如果请求的URL并不位于本地的URL命名空间范围中，则返回400错误；
将HTTP请求进行队列缓存；
在内核模式中缓存静态的和无需身份验证的内容响应；这极大的提高了Web服务的响应速度，增强了Web服务器的性能。
支持PAE内存寻址方式，在x86上支持的内存容量为64GB；

WAS（W3SVC）

WAS包含于W3SVC服务中，它负责管理IIS 6中的配置、应用程序池和工作进程，它工作在用户模式，但不会执行外部代码。

它主要具有以下作用：

配置HTTP.sys；
管理应用程序池；
创建工作进程；
工作进程回收；
工作进程状态监视；
工作进程快速失败保护；
支持孤立工作进程以进行调试等；

工作进程（WP，Worker Process）

在介绍工作进程之前，需要先介绍应用程序池。应用程序池定义了可以共享工作进程的Web应用程序（Web站点）的集合，你可以认为它是一组URL命名空间，属于此URL命名空间范围中的Web站点将共享此应用程序池中的工作进程，而HTTP.sys是根据应用程序池所定义的URL命名空间将接收到的HTTP请求路由到此应用程序池对应的工作进程。

和IIS 5 中只能使用一个应用程序池不同，在IIS 6 中你可以创建多个应用程序池，并将不同的Web站点（Web应用程序）分配到不同的应用程序池中，一个应用程序池可以具有一个或多个Web应用程序。不同应用程序池之间是完全隔离的，某个应用程序池出现故障时不会影响其他应用程序池；这样当属于某个应用程序池的Web站点因为代码编写问题而导致停止服务时，不会影响到使用其他应用程序池的Web站点，这最大的实现了Web服务器的高可用性。

在IIS 6中提供了Web园功能，支持使用超过1个的工作进程，并且支持在SMP系统中为工作进程分配CPU亲缘关系，让其只在某些CPU上运行。

工作进程则是真正用于处理客户发送的HTTP请求的组件，你可以认为它是一个全功能的Web服务器，就像一个微型的IIS 5 服务器一样。当HTTP.sys决定将接收到的HTTP请求路由到某个应用程序池时，它是将HTTP请求路由到此应用程序池对应的工作进程进行处理；工作进程处理HTTP请求，如果需要则加载其他组件（ISAPI扩展或过滤器等等）进行处理，并将处理结果返回给HTTP.sys。

当客户发起HTTP连接请求时，IIS 6完整的处理过程如下：

在W3SVC服务启动时，WAS即启动，并且根据metabase.xml中的设置来配置HTTP.sys；
当HTTP.sys接收到HTTP请求时，分析其URL命名空间，如果在自己的响应缓存中具有匹配值则直接从缓存中获取响应并返回给客户，如果没有匹配值则根据WAS提供的URL命名空间范围来决定由哪个应用程序池处理此HTTP请求；
如果此应用程序池当前没有工作进程，那么HTTP.sys通知WAS为其创建一个新的工作进程；
HTTP.sys将接收到的HTTP请求路由到对应的工作进程中，工作进程处理此HTTP请求然后将结果返回给HTTP.sys，并且根据缓存活动算法来告知HTTP.sys是否缓存此结果；
HTTP.sys将请求的处理结果返回给原始客户，并根据工作进程的提示来决定是否保存此处理结果到自己的缓存中。

IIS 6 新特性

从上面的比较可以看出，IIS 6 和 IIS 5 相比在可靠性、扩展性和安全性上都具有很大的提升，它主要具有以下新特性：

可靠性：由于Web应用程序在不同的工作进程中执行，并且基于WAS完善的隔离、监控和恢复机制，当某个应用程序池出现问题时，不会影响其他应用程序池并且能够得到最快的恢复。
扩展性：通过全新设计的架构，IIS 6显著的提高了Web服务器的吞吐量和性能，从而在以下方面得到了提高：
- IIS 6 Web服务器可以架设的Web站点数；
- 并发活动工作进程数；
- Web服务器或Web站点的启动和停止性能；
- Web服务器可以处理的并发请求数；
安全性：和安装Windows 2000服务器时会默认安装IIS 5并启用ASP支持不同，在安装Windows Server 2003 标准版/企业版/数据中心版时默认并不会安装IIS 6，并且在安装IIS 6时，默认只能访问静态内容并且禁止使用父路径访问。管理员可以根据自己的需要在IIS管理器中启用或禁用Web服务扩展。
可管理性：为了迎合企业中管理的需要，IIS 6中提供了多种管理工具，例如你可以通过IIS管理器、运行脚本或者直接修改IIS Metabase来配置IIS，你也可以安装IIS的远程管理组件来进行远程管理。
增强开发支持：在IIS 6中提供了ASP.NET的支持，并且也支持XML、SOAP和IPv6。

IIS 6 中的应用程序隔离模式

和IIS 5 的架构相比，IIS 6 的新架构具有更高的性能、稳定性和可用性，但是IIS 6这种新架构所运行的隔离模式（工作进程隔离模式）不支持使用以下特性的Web应用程序：

COM+ OOB；
会话状态保存在工作进程中：在回收工作进程时会话状态就会丢失（IIS 6 中默认会在一定空闲时间后回收工作进程）；
多实例ISAPI：为由多个进程加载所编写的并且并发运行的 ISAPI 应用程序。
工作外进程：所编写的将请求转给其他工作进程的应用程序。

不过微软为了保持后向兼容，在IIS 6 中除了提供工作方式如上文所描述的工作进程隔离模式外，还提供了工作方式几乎和IIS 5一样的IIS 5 隔离模式，当工作在IIS 5 隔离模式下，IIS 6的架构如下图所示：

当IIS 6 工作模式为IIS 5 隔离模式时，它和IIS 5 的工作方式基本一样。而当IIS 6 工作在工作进程隔离模式下时，根据IIS 6的新架构，在隔离环境中运行所有应用程序代码，并且由于在应用程序池间切换所需要的指令很少，在隔离方式下运行代码并不会带来性能的降低。工作进程隔离模式和目前的绝大部分Web站点和Web应用程序兼容，并且可以获得更高的安全性和性能，和IIS 5 隔离模式相比，运行在工作进程隔离模式主要具有以下好处：

支持使用多个应用程序池，并且每个应用程序池可以具有不同的配置；而IIS 5 隔离模式只能使用一个应用程序池并且不能进行配置；
工作进程的运行账户为网络服务账户而不是IIS 5 隔离模式中的本地系统账户；
支持在一个应用程序池中使用多个工作进程；支持工作进程CPU亲缘关系设定；支持工作进程回收以减少系统资源的占用；支持工作进程状态监控；支持工作进程快速失败保护；支持孤立工作进程以进行调试等；
在应用程序池之间完全隔离；

因此强烈推荐你将IIS 6运行在工作进程隔离模式下，除非你的Web应用程序明确说明不支持运行在此模式下。

天空 2006-12-20 12:59 发表评论

TFS学习教程-第一阶段-自定义Project Portal

天空 — Mon, 04 Dec 2006 14:03:00 GMT

自定义项目 Portal

作者 : liu 骗子

这篇教程主要讲述如何自定义 Sharepoint Server 来调整项目报告，以适应项目的具体个性化需求。

一、添加图片

1. 在 Project Portal 页面右上角选择点击“ Modify Shared Page ”

2. 选择 Add Web Parts, 选择“ browser ”

3. 选择 EffortTracking Gallery 下面的“ Image Web Part ”

4. 选择“ Add ”并在 ImageWebPart 编辑器中选择图片的 URL ，并设置其位置和样式，选择 OK 。

二、添加报告

1. 在 Project Portal 页面右上角选择点击“ Modify Shared Page ”

2. 选择 Add Web Parts, 选择“ browser ”

3. 选择 EffortTracking Gallery 下面的“ Page Viewer web Part ”并输入报告地址链接选择 OK

三、编辑 List

1. 选择页面顶部的 Documents and Lists

2. 选择左边列表中的 List

3. 选择“ Links “

天空 2006-12-04 22:03 发表评论

TFS学习教程-第一阶段-TFS用户与组管理

天空 — Mon, 04 Dec 2006 14:00:00 GMT

TFS 用户与组管理

作者：frank.liu kaka.zhou

安装 Team Foundation Server 后，会创建以下全局组。可以使用这些全局组来控制 Team Foundation 用户的权限。

组	权限
Team Foundation Administrators	可以在 Team Foundation Server 上执行所有特权操作。
Team Foundation Valid Users	可以访问 Team Foundation Server。在 Team Foundation Server 用户界面中，不能对此组添加或移除用户或组。
Team Foundation Service Accounts	包含服务帐户。

创建新的团队项目时，Team Foundation 将创建以下团队项目组。

组	权限
Project Administrators	可以管理团队项目。
Project Reader	可以查看团队项目（读取访问权限）。
Project Contributor	可以修改团队项目（读取和写入访问权限）。
Project Build Services	可以生成项目。

使用这些团队项目组可以控制团队项目成员的权限。

一、 向默认组添加用户

将用户添加到与团队项目关联的组

1. 在 Team Explorer 中，选择组所在的团队项目，或者若要添加到服务器级别组，选择组所在的 Team Foundation Server。

2. 在“团队”菜单上，指向“团队项目设置”，然后单击“组成员资格”。

3. 在“项目组”对话框中，选择要添加用户的默认组，然后单击“属性”。

4. 在“Team Foundation Server 组属性”对话框的“成员”选项卡的“添加成员”下面，选择“Windows 用户或组”。

5. 单击“添加”。

6. 在“选择用户或组”对话框的“输入对象名称来选择”下面，按照以下格式输入域名和要添加的用户的别名：

域\用户别名

若要一次添加多个用户，请以分号 (;) 分隔各项。

7. 单击“确定”。

二、将 Team Foundation Server 组添加到与团队项目关联的组

1. 在 Team Explorer 中，选择组所在的团队项目，或者若要添加到服务器级别组，选择组所在的 Team Foundation Server。

2. 在“团队”菜单上，指向“团队项目设置”，然后单击“组成员资格”。

3. 在“项目组”对话框中，选择要添加 Team Foundation Server 组的默认组，然后单击“属性”。

4. 在“Team Foundation Server 组属性”对话框的“成员”选项卡的“添加成员”下面，选择“Team Foundation Server 组”。

5. 单击“添加”。

6. 在“选择组”对话框的“组”下面，选择要添加的组并单击“确定”。

三、 创建服务器级别组

在 Team Explorer 中，选择要创建服务器级别组的 Team Foundation Server。

在“团队”菜单上，指向“Team Foundation Server 设置”，然后单击“组成员资格”。

在“全局组成员资格”对话框中单击“新建”。

在“创建 Team Foundation Server 组”对话框的“组名称”框中，键入团队项目组的名称。

四、 创建团队项目组

在 Team Explorer 中，选择要创建组的团队项目。

在“团队”菜单上，指向“团队项目设置”，然后单击“组成员资格”。

在“项目组”对话框中，单击“新建”。

在“创建 Team Foundation Server 组”对话框的“组名称”框中，键入团队项目组的名称。

在“说明”框中键入组的说明。
单击“确定”。

要点

在创建团队项目组之后，必须添加该新组，并授予该组适当的权限，然后将成员添加到该组。默认情况下，团队项目组在创建时未授予任何权限。

五、向团队项目组添加用户

向组添加用户

1. 在 Team Explorer 中，选择组所在的团队项目。

2. 在“团队”菜单上，指向“团队项目设置”，然后单击“组成员资格”。

3. 在“项目组”对话框中，选择要添加用户的团队项目组，然后单击“属性”。

4. 在“Team Foundation Server 组属性”对话框的“成员”选项卡的“添加成员”下面，选择“Windows 用户或组”。

5. 单击“添加”。

在“选择用户或组”对话框中，在“输入要选择的对象名称”中以适当的网络格式键入要添加的用户。

若要一次添加多个用户，请以分号 (;) 分隔各项。

6. 单击“确定”，然后单击“关闭”。

天空 2006-12-04 22:00 发表评论

TFS学习教程-第一阶段-TFB安装过程

天空 — Mon, 04 Dec 2006 13:57:00 GMT

TFB 安装过程

作者：liu

在 Team Foundation Server 安装媒体中，浏览找到 \build 文件夹并运行 setup.exe。

此时将启动“Visual Studio 2005 Team Foundation Build Server 安装向导”。

在“欢迎使用安装程序”页上单击“下一步”。

在“许可条款和产品密钥”页上查看许可协议。如果您接受其中的条款和条件，请选择“我接受许可协议中的条款”，然后单击“下一步”。

在“目标文件夹”页上，接受默认的目标文件夹并单击“下一步”。

在“系统运行状况检查”页上，安装程序向导扫描系统中可能导致安装程序失败或以后在服务器操作期间导致问题的条件。完成系统扫描后，安装程序报告系统运行状况检查的状态。如果系统运行状况检查发现任何问题，您可以单击链接来查看有关特定警告和阻止的报告。应在继续安装之前解除警告，但不应阻止安装程序完成。在继续安装之前，必须解决阻止。如果系统运行状况检查未发现任何阻止，则请单击“下一步”。否则，请单击“取消”并在解决了所有阻止问题后再次运行安装程序。

在“服务帐户”页上，在“帐户名”框中键入您为 Team Foundation Server 服务帐户创建的 Windows 域用户帐户（例如 Domain\TFSSERVICE），并在“密码”框中键入密码，然后单击“下一步”。有关更多信息，请参见 Team Foundation Server 安装所需的用户帐户。

注意

对于此版本，必须使用与 Team Foundation Server 服务帐户相同的 Windows 域用户帐户。

在“安装准备就绪”页上单击“安装”。

注意

安装程序将在 Windows 防火墙中为 MSBuild.exe 和 TeamBuildService.exe 创建程序异常，以允许与 Team Foundation Server 通信。

在“正在安装组件”页上，可以监视 Team Build 的安装。

在“成功完成安装”页上单击“完成”。

注意

如果要生成的项目需要附加项，如组件、程序或动态链接库 (.dll)，则必须将这些项手动添加到生成计算机中。

天空 2006-12-04 21:57 发表评论

TFS学习教程-第一阶段-TFS 安装过程

天空 — Mon, 04 Dec 2006 13:52:00 GMT

摘要: TFS 安装过程作者： liu 骗子图片不方便贴上来，有需要完整版的，请联系hao534@tom.com，大家一起交流安装数据层组件 1. 安装 Internet 信息服务 (II... 阅读全文

天空 2006-12-04 21:52 发表评论

Team Foundation Server 学习笔记 (4)

天空 — Wed, 22 Nov 2006 05:38:00 GMT

http://www.microsoft.com/china/msdn/vstudio/teamsystem/default.aspx

20060516am--Visual Studio Team System面面观系列课程(11)：VSTS项目管理理论基础——MSF（上）

1：成功的障碍
• 目标和职能分离
• 业务和技术分离
• 缺乏共同的语言和过程
– 目标不明确
– 没有范围变更管理
• 无法以一个团队的方式进行沟通和运作
• 过程管理不够灵活，难以适应项目的变化

2：IT 如何克服障碍
• 理解业务的方向、目标和机会
• 保证IT 目标支持业务目标
• 保持与业务不断地交流与沟通
• 形成主动的工作环境
• 组织团队有效地工作
IT 的首要目标不是更多的技术，
而是将其主要力量—丰富的技术知识—
同人和过程结合起来，
为整个组织服务

3：项目失败的主要原因
• 目标和功能的分离
• 业务和技术的分离
• 缺乏统一的语言和过程
– 不明确的目标
– 失控的变化
• 沟通不畅以及没有形成一个真
正团队
• 过程控制缺乏应变的灵活性

不完整的产品要求 13.10%
缺乏用户的参与      12.40%
缺少资源（人力、财力）10.60%
不现实的期望 9.90%
高层领导支持不足 9.30%
产品要求与指标的改变 8.70%
没有订计划 8.10%
不再需耍该开发中的系统 7.50%

4：微软解决方案框架（MSF）的起源
• 分析项目团队和产品组的成功经验
• 将分析结果与业界的实践和方法对比
• 将成功经验与业界方法论相结合，形成关于“人和过程”的

5：MSF 的模型和准则
模型：团队模型过程模型
准则：   项目管理准则风险管理准则就绪管理准则

6：MSF 在IT 生命周期中的作用阶段
微软解决方案框架
微软运营框架（MOF）

7：MSF团队模型

“信息总不能及时共享给所有需要的人” 建立良好的沟通机制
成功项目的目标
“项目延期交付且超支”                           按项目约束交付
“构建的项目不是我们真正所需要的”    按规格说明书构建
“情况难以预测，总能找到新的错误”    确定并找到所有问题后，才发布
“在我们的环境中，项目不能稳定运行”平稳地部署，为日常运营作好准备
“使用极其困难”                                       提高用户使用效率
“这与我们的期望不符——我们不满意”使客户满意

8：成功项目的标准
• 在规定的范围内（时间/资源）完成
• 按照定义完成功能
• 确认系统符合质量标准
• 部署和管理平滑方便
• 提高用户完成工作的效率
• 客户满意

9：MSF 团队角色及其职责范围

MSF 团队角色及其职责范围
产品管理    目标：使客户满意
业务价值
市场
客户代言人
产品计划

程序管理目标：按项目约束交付解决方案
项目管理
解决方案体系结构
过程管理
管理服务

开发    目标：根据规格说明书构建解决方案
技术咨询
体系结构和方案设计
应用程序开发
基础架构开发

测试     目标：确定并找到所有质量问题后，批准解决方案的发布
测试计划
测试实施
测试报告

发布管理    目标：稳定部署和日常运营
基础架构
支持
运营
后勤
商业发布管理

用户体验   目标：提高用户效率
辅助功能
国际化
用户代言人
培训/支持资料
可用性研究和测试
用户界面设计

10：最佳实践
• 组建小型专业化团队（一般不超过10人）
• 在同一地点共同工作（团队内沟通、与客户的沟通）
• 要求客户加入项目团队（制定特定接口人：促进、宣传）
• 全体参与项目重要活动（项目不神秘）
• 在复杂项目中，程序管理分成项目经理和架构师两种职责

11：项目团队和外部环境的沟通

12：人员构成: 微软产品组实例
Windows 2000 Team
– 开发人员900
– 测试人员1800
– 程序经理450
– 文档人员100
– 本地化人员110
– 内部IT 50
– 市场人员100
– 培训人员115
– 技术支持人员600
– 技术传播人员1120
– 合计5345
开发和测试人员不要直接与用户接触

13：获取更多MSDN资源
• MSDN中文网站
http://www.microsoft.com/china/msdn
• MSDN中文网络广播
http://www.msdnwebcast.com.cn
• MSDN Flash
http://www.microsoft.com/china/newsletter/case/
msdn.aspx
• MSDN开发中心
http://www.microsoft.com/china/msdn/Developer
Center/default.mspx

天空 2006-11-22 13:38 发表评论

Team Foundation Server 学习笔记 (3)

天空 — Tue, 21 Nov 2006 13:09:00 GMT

http://www.microsoft.com/china/msdn/vstudio/teamsystem/default.aspx

20060418--Visual Studio Team System面面观系列课程(2)：VSTS开发人员版

1:
• 使用VSTS提高非托管代码质量
• 使用VSTS提高托管代码质量
• 使用VSTS进行单元测试
• 使用VSTS分析应用程序性能
• 方法论

天空 2006-11-21 21:09 发表评论

Team Foundation Server 学习笔记 (2)

天空 — Tue, 21 Nov 2006 10:09:00 GMT

http://www.microsoft.com/china/msdn/vstudio/teamsystem/default.aspx

20060417--Visual Studio Team System面面观系列课程(1)：VSTS概览

1：Team System 的作用

1：有效的增加了项目成功的概率

2：增进了团队协作交流，增加了生产效率

3：提供了一个丰富、强大的工具平台

2:VSS是局域网，是放在文件夹里的，
而VTFS是广域网的，不是基于文件系统。这个基于数据库的。SQL 2005的数据库.

3:项目经理,测试人员。开发人员,系统架构师。...团队沟通

4:• 单元测试
• Web 测试
• 压力测试
• 手动测试
• 一般测试
• 顺序测试

5:
测试组合:指定虚拟用户在负载测试方案中运行给定测试的概
率。例如：20% 的概率运行TestA，80% 的概率运
行TestB。

负载模式:指定负载测试期间的活动虚拟用户数和启动新用户
的速率。例如：单步负载、恒负载和基于目标的负
载模式。

网络组合:模拟虚拟用户通过各种网络连接检查网站的过程。
网络组合提供的选项包括LAN、电缆调制解调器等。

浏览器组合:模拟虚拟用户通过各种Web 浏览器检查网站的过
程。除Internet Explorer 之外，浏览器组合还提供
Web 浏览器选项。
术语定义

6:Team Foundation 的逻辑结构
• 数据层
– Team Foundation 数据层由Microsoft SQL Server 2005 组成，该产品用
于存储工作项、版本控制源文件、测试结果和其他项目标准。
• 应用层
– Team Foundation 应用层由基于Web 的前端应用程序组成，这些应用程
序与Internet 信息服务(IIS) 集成；包括Team Foundation Core
Services 和Microsoft Windows SharePoint Services。此外，应用层还
承载Team Foundation Windows 服务。
– Team Foundation 应用层还包含Team Foundation Build 和Team
Foundation Server Proxy。Team Foundation Build 提供生成自动化服务。
Team Foundation Server Proxy 缓存以前访问过的源代码管理文件，以
改进低带宽连接上的源代码管理操作性能。
• 客户端层
– Team Foundation 客户端层由团队资源管理器组成，团队资源管理器可
以作为独立应用程序使用，也可以和Visual Studio 2005（Visual Studio
2005 速成版除外）集成。客户端层还与Microsoft Office Project 2003 和
Microsoft Office Excel 2003 集成，项目经理使用这两个产品可以查看项
目信息并将该信息发布到Team Foundation Server。

7:系统要求
• 单服务器部署，中型团队
– 用于支持50 个以下用户的团队级：
硬盘30 GB 可用空间
RAM 2 GB
带有SP1 的Windows Server 2003 企业版
带有SP1 的Windows Server 2003 标准版
操作系统
处理器2.2 GHz Pentium IV 或Athlon

8:AD要求
• 要在双服务器部署中安装和配置Team Foundation
Server，必须使用已加入Active Directory 域的计算机。
对于单服务器部署，可以使用作为工作组成员或已加入
Active Directory 域的计算机。使用加入Active
Directory 域的计算机时，Team Foundation Server 要
求不包含Windows NT 4.0 域控制器的Active Directory
域。

9:对64位支持不这个很好

10:更多信息:
• Visual Studio Team System Site
– http://msdn.microsoft.com/vstudio/teamsystem
• Team System Newsgroups
– http://communities.microsoft.com/newsgroups

ps:

FAQ: Visual Studio Team Edition for Software Tester

Find answers to common questions about Visual Studio Team Edition for Software Testers.

	How many users can I simulate using Visual Studio Team Edition for Software Testers when conducting a Load Test? You may simulate as many virtual users as your hardware allows. Licensing is based per processor and not per virtual user.
	What is a Manual Test? A manual test is a test for which there is no automation. Instead, test steps are outlined in a document for the tester to complete. The tester can then report test results and submit bugs as appropriate.
	Does Visual Studio Team System support automation testing (e.g., Compuware)? No. However, Visual Studio Team System provides extensibility points out-of-the-box enabling third-parties to develop tools that target Visual Studio Team System.
	What is the Test Explorer? Test Explorer is a convenient way to view all of the tests, including manual, unit, and load tests, for a given project.
	What is a Test Project? Test projects are standard Visual Studio projects that are specifically created to contain tests. Test projects enable users to draw a clear line between shipping development code vs. code used for quality assurance. Additionally, test projects enable a general manner of organizing tests from a test development standpoint.
	Does the test framework manage deploying tests to machines? Yes. Visual Studio 2005 Team System will include a general framework for test deployment that works in both of our supported scenarios: local and remote execution.
	Can I use my own tests in the framework and get individual results? Yes. You can do this in two ways: 1) You can wrap an existing test as a Visual Studio Generic Test and get results for it, or 2) You can make your own test type and integrate this into Visual Studio.
	How do I migrate my scripts from existing testing tools from third party or Application Center Test? The easiest way to migrate scripts is to re-record them using the browser recorder.
	What protocols do you support? We support recording HTTP and HTTPS only; however, other protocols can be tested using Coded WebTests.
	How does Visual Studio Team Edition for Software Testers compare/differ from Application Center Test in Visual Studio 2003? The load test features in Team Edition for Software Testers are a completely new product. The features provided far exceed those features provided by ACT.
	Can I use these tools to load test Apache/Java based Web applications? Yes, but the tools provided are productivity features designed to ease testing of ASP.NET applications.
	Can I test Web services? Yes, although there is no automatic recorder, Web services can be tested by building the SOAP payloads in the test editor.
	What is a Web test? A Web test is a test that is used to verify functionality of a Web application. A Web test can be created by recording browser activity and contains a list of Web requests and various properties for each request such as "think time."
	What is a load test? A load test is a test that is designed to put a server application under heavy user load to pinpoint performance and/or scalability problems. In Visual Studio, a load test can be based on a Unit Test or a Web Test.
	Can I use multiple load clients to generate load? Yes. You can use multiple clients running simultaneously to create very heavy loads.
	Can I test ASP and ASP.NET applications? Yes, You can easily test ASP and ASP.NET applications using Visual Studio 2005. There are features for the automatic handling of __VIEWSTATE that make ASP.NET testing easier.
	Can I create data driven tests? Yes. Visual Studio 2005 Team System supports the ability to bind input fields and parameters to database files such as Access, SQL Server, or text files.
	What protocols are supported? HTTP and HTTPS are supported through the recorder, editors, and test execution engine. Other protocols such as database and other RPC protocols are not directly supported; however, these protocols can be enabled through the extensibility APIs.
	Is SSL supported? What about NTLM and Passport? Yes, all of these are supported.
	Can I convert my old ACT scripts? There is no conversion utility for ACT scripts or scripts from third party test tool vendors.
	Knowing what to monitor during test execution is hard, can you help me? Yes, we provide pre-defined sets of performance counters for common applications such as IIS, ASP.NET, SQL Server and .NET. These pre-defined counter sets can be easily added to a load test.
	What information do I receive while executing my tests? During test execution, you receive real-time results that include system resource utilization, request statistics such as response time and content-length, error and overall summary statistics.

天空 2006-11-21 18:09 发表评论

IT博客-点滴-随笔分类-骗子的系统管理工作

网络Ghost克隆教程(ZT)

Bugzilla安装指南(ZT)

mysql 5.0的安装（ZT）

win2000 下安装配置 BUGZILLA 心得（ZT）

bugfree学习（一）

用VNC远程登陆linux (ZT)

FTP站长必读(ZT)

MSN 登录时出现80048820错误的官方解释(ZT)

建站技术之（六）-所有碰过“端口”这类问题的朋友，进来了解一下（ZT）

建站技术之（五）-路由器设置（ZT）

建站技术之（四）-如何在WIN2003 SERVER 防火墙中打开相关服务的端口（ZT）

建站技术之（三）－Serv-U FTP文件服务器组建攻略（ZT）

建站技术之（二）- IIS服务器组建攻略

建站技术之（一）- 通过D-LINK604路由器向互联网提供服务之一(ZT)

有关‘内网建站’的问题和原理 (路由器后建站、Web服务出现用户名密码提示)(ZT)

NAT外网访问内网方法,内网端口映射外网ip(ZT)

NAT外网访问内网方法,内网端口映射外网ip

按部就班——图解配置IIS5的SSL安全访问(ZT)

IIS使用指南之六 ：在IIS中部署HTTPS服务 (ZT)

IIS使用指南之五 ：深入理解Socket Pooling（套接字池） (ZT)

IIS使用指南之四 ：在IIS中安装PHP(ZT)

IIS使用指南之三 ：创建和配置Web站点 (ZT)

IIS使用指南之二 ：安装和配置IIS (ZT)

IIS使用指南之一 ：IIS 6 新特性(ZT)

TFS学习教程-第一阶段-自定义Project Portal

TFS学习教程-第一阶段-TFS用户与组管理

将用户添加到与团队项目关联的组

二、 将 Team Foundation Server 组添加到与团队项目关联的组

向组添加用户

TFS学习教程-第一阶段-TFB安装过程

TFS学习教程-第一阶段-TFS 安装过程

Team Foundation Server 学习笔记 (4)

Team Foundation Server 学习笔记 (3)

Team Foundation Server 学习笔记 (2)

FAQ: Visual Studio Team Edition for Software Tester

IIS使用指南之六：在IIS中部署HTTPS服务 (ZT)

IIS使用指南之五：深入理解Socket Pooling（套接字池） (ZT)

IIS使用指南之四：在IIS中安装PHP(ZT)

IIS使用指南之三：创建和配置Web站点 (ZT)

IIS使用指南之二：安装和配置IIS (ZT)

IIS使用指南之一：IIS 6 新特性(ZT)

二、将 Team Foundation Server 组添加到与团队项目关联的组