Windows 版本或其他版本的节点组成,单个群集中不能运行不同版本。
服务器群集可以有三种不同配置:单一节点。这种服务器群集既可以配置为有外部群集存储设备,也可以配置为没有外部群集存储设备。对于没有外部群集存储设备的单一节点群集,本地磁盘被配置为群集存储设备。使用单一节点配置可开发能够识别群集的应用程序,或在生产中提供本地运行状况监视并重新启动应用程序的功能。单一仲裁设备。这种服务器群集有两个或多个节点配置,每个节点都与一个或多个群集存储设备相连。群集配置数据都存储在单个群集存储设备(即所谓的仲裁磁盘)中。多数节点集。这种服务器群集有两个或多个节点,这些节点既可以与一个或多个群集存储设备相连,也可以不与之相连。群集配置数据存储在群集的多个磁盘中,“Cluster Service”可确保此数据在不同磁盘中保持一致。 ◆ DHCP Server
DHCP Server 服务为 DHCP 客户端自动分配 IP 地址和启用网络设置的高级配置(如 DNS 服务器和 WINS 服务器)。DHCP 使用的是客户端/服务器模型。网络管理员建立一个或多个 DHCP 服务器,这些服务器维护 TCP/IP 配置信息并将该信息提供给客户端计算机。服务器数据库包含以下内容:①网络中所有客户端计算机的有效配置参数。②在池中维护且可分配给客户端计算机的有效 IP 地址,以及手动分配时保留的地址。③服务器提供的租约持续时间。租约定义了已分配的 IP 地址的有效时间。 DHCP 是一种 IP 标准,旨在减少地址配置管理的复杂性。它使用服务器计算机来集中管理网络的 IP 地址和其他相关配置详细信息。Windows Server 2003 系列提供了 DHCP 服务,它可使服务器计算机执行 DHCP 服务器的功能,并按照当前 DHCP 草案标准、Internet 工程任务组 (IETF) 征求意见文档 (RFC) 2131 中的描述,对网络中启用 DHCP 的客户端计算机进行配置。DHCP 包括了多播地址动态客户端分配协议 (MADCAP),其作用是执行多播地址分配。如果系统通过 MADCAP 为注册的客户端计算机动态分配 IP 地址,客户端可有效参与数据流进程(如实时视频或音频网络传输)。通过在网络中安装并配置 DHCP 服务器,启用 DHCP 的客户端计算机可在每次启动并加入网络时动态获取其 IP 地址和相关配置参数。DHCP 服务器使用一种地址租约的形式向客户端计算机提供此配置。如果 DHCP Server 服务停止,服务器将不再自动发出 IP 地址或其他配置参数。此服务只在将 Windows Server 2003 计算机配置为 DHCP 服务器时才会安装和激活。
◆ Distributed Link Tracking Server
Distributed Link Tracking Server 服务可存储信息,进而为域中每个卷跟踪在卷与卷之间移动的文件。如果启用,Distributed Link Tracking Server 服务会在域中的每个域控制器上运行。此服务启用 Distributed Link Tracking Client 服务来跟踪已移至同域其他 NTFS 卷中某个位置的链接文档。 默认情况下,Distributed Link Tracking Server 服务被禁用。如果启用该服务,必须在域的所有域控制器上启用。如果 Distributed Link Tracking Server 服务已在升级至较新版本 Windows Server 的域控制器中启用,必须手动重新启用该服务。 如果 Distributed Link Tracking Server 服务已启用,则还必须启用 DLT_AllowDomainMode 系统策略以使 Windows XP 客户端计算机能够使用此服务。如果
Distributed Link Tracking Server 服务在启用后又被禁用,应在 Active Directory 中清除其条目。有关详细信息,请参阅关于基于 Windows 的域控制器上的分布式链接跟踪的 Microsoft 知识库文章,网址为 http://support.microsoft.com/kb/312403/。 如果 Distributed Link Tracking Server 服务停止或被禁用,由 Distributed Link Tracking Client 服务维护的链接最终将变得不太可靠。 在 Windows Server 2003 中,Distributed Link Tracking Server 服务已安装但在默认情况下被禁用。 ◆ DNS Server
DNS Server 服务启用 DNS 名称解析。它应答 DNS 名称的查询和更新请求。DNS 服务器需用于定位以其 DNS 名称识别的设备和定位 Active Directory 中的域控制器。如果 DNS Server 服务停止或被禁用,则不会更新 DNS。DNS Server 服务不需要在每台计算机上运行。但是,如果 DNS 命名空间的特定部分没有权威的 DNS 服务器,则在命名空间该部分使用 DNS 名称来定位设备将失败。如果命名 Active Directory 域的 DNS 命名空间没有权威的 DNS 服务器,系统将无法定位该域的域控制器。DNS Server 服务只在将 Windows Server 2003 计算机配置作为 DNS 服务器时才会安装并激活。 ◆ Fax Service
Fax Service 是一种兼容电话应用程序编程接口 (TAPI) 的服务,它为用户计算机提供了传真功能。Fax Service 允许用户通过本地传真设备或共享的网络传真设备从他们的桌面应用程序收发传真。 该服务提供下列功能:①发送和接收传真 ②跟踪和监视传真活动 ③传入传真路由 ④服务器和设备的配置管理 ⑤归档已发送的传真
如果禁用打印后台处理程序或电话服务,Fax Service 将无法成功启动。如果此服务停止,用户将无法发送或接收传真。如果没有传真活动,Fax Service 将停止,需要时可再次重新启动。
◆File Replication Service
File Replication 服务允许在多个服务器上自动同时复制和维护文件。“File Replication Service”(FRS) 是 Windows 2000 和 Windows Server 2003 系列中的自动文件复制服务,其功能是复制域中所有域控制器间的系统卷 (SYSVOL) 的内容。它还可被配置为复制与容错 DFS 相关的备用目标间的文件。
如果 File Replication 服务停止,文件复制将不会进行并且服务器数据也不会同步。此外,如果此服务停止,域控制器功能可能会受到严重影响。默认情况下,Windows Server 2003 中已安装 File Replication 服务,但其启动状态被配置为“手动”。 ◆File Server for Macintosh
File Server for Macintosh 服务允许 Macintosh 计算机用户在运行 Windows Server 2003 的计算机中存储并访问文件。如果关闭此服务,Macintosh 客户端计算机将无法存储并访问基于 Windows Server 2003 的计算机中的文件。默认情况下不安装和启动此服务。 ◆FTP Publishing Service
FTP Publishing Service 可通过 Microsoft Internet Information Server (IIS) 管理单
元提供 FTP 连接和管理。功能包括:带宽限制、安全帐户和可扩展日志。此服务包括了新的“FTP 用户隔离”功能,它使用户只能访问 FTP 站点中自己的文件。此外,功能中还增强了国际化支持。 如果 FTP Publishing Service 停止,服务器将无法作为 FTP 服务器工作。默认情况下不安装此服务。 ◆Help and Support
Help and Support 服务允许“帮助和支持中心”应用程序在用户计算机上运行,支持该应用程序,并允许在客户端应用程序和帮助数据之间进行通信。此服务提供对存储和服务(如包含元数据和帮助主题信息的分类数据库)的访问,还提供对自动化框架的支持。自动化框架可为已注册的支持提供程序、用户历史记录、优先信息和搜索引擎管理器收集相关数据。如果与“帮助和支持中心”中的功能(如搜索、索引、目录)交互,该服务可为这些功能提供数据事务支持。 如果 Help and Support 服务被配置为“手动”,该服务将在用户从桌面访问“帮助和支持中心”时启动。如果禁用或停止此服务,“帮助和支持中心”应用程序将不可用,且用户将看到以下消息:
Windows 不能打开帮助和支持,因为一个系统服务没有在运行。 如果未启用 Help and Support 服务,用户可以访问可能缓存在本地计算机上的某些高级主题,但大多数“帮助和支持中心”应用程序功能(包括“远程协助”)都不能工作。但是,用户仍可查看位于 Windows\\Help 文件夹中的 *.HLP 和 *.CHM 文件。默认情况下,Windows XP 和 Windows Server 2003 中均已安装并自动启动 Help and Support 服务。 ◆HTTP SSL
HTTP SSL 服务允许 IIS 执行安全套接字层 (SSL) 功能。SSL 是一种建立安全通信通道的开放标准,它可防止截获像信用卡号这样关键的信息。最重要的是,SSL 使万维网中实现安全电子金融事务成为可能,当然也可实现其他 Internet 服务。 如果 HTTP SSL 服务停止,IIS 将无法执行 SSL 功能。此服务在安装 IIS 时安装,否则不会存在和被激活。 ◆IAS Jet Database Access
IAS Jet Database Access 服务使用远程身份验证拨入用户服务 (RADIUS) 协议来提供身份验证、授权和记帐服务。它只在 64 位版本的 Windows 系统中可用。使用 Internet 身份验证服务 (IAS) 可集中管理用户的身份验证、授权和记帐。您还可使用 IAS 在运行 Windows NT® 4.0、Windows 2000 或 Windows Server 2003 操作系统的域控制器中验证用户的身份。IAS 在同类和异类网络中的工作性能相同。
IAS 可用作 RADIUS 代理来路由 RADIUS 客户端(访问服务器)与 RADIUS 服务器(为连接尝试执行用户身份验证、授权和记帐)之间的 RADIUS 消息。如果用作 RADIUS 代理,IAS 是 RADIUS 访问和记帐消息流的中央交换或路由点。IAS 可在记帐日志中记录有关转发消息的信息。
RADIUS 的身份验证、授权和记帐基础结构包括下列组件:
IAS Jet 数据库有两种。Ias.mdb 用于配置 IAS,Dnary.mdb 对 IAS 跟踪 RADIUS 兼容网络访问服务器的供应商特定属性时使用的字典进行验证。不要修改 Jet 数据库。
如果 IAS Jet Database Access 服务停止,要求验证用户身份的远程网络访问将不可用。例如,远程访问拨号、VPN、无线 LAN (802.1x) 和以太网 802.1x LAN 访问将无法工作。如果禁用此服务,Routing and Remote Access Service (RRAS) 和 IAS 服务不会启动。此外,您也无法在本地或远程管理 RRAS 或 IAS。在 Windows 任何版本上都不会默认安装此服务,它只在基于 Itanium 版本的 Windows Server 2003 系列上可用。 ◆IIS Admin Service
IIS Admin Service 允许管理 IIS 组件(如 FTP、应用程序池、网站、Web 服务扩展)以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 虚拟服务器。如果停止或禁用此服务,系统将无法运行 Web、FTP、NNTP 或 SMTP 站点。
在 Windows 2000 中,IIS Admin Service 和相关服务在默认情况下安装。在 Windows Server 2003 系列中,必须通过“添加/删除 Windows 组件”或“配置服务器”安装 IIS 组件。 ◆Internet Authentication Service
Internet Authentication Service (IAS) 对使用 VPN 设备、远程访问设备 (RAS) 或 802.1X 无线和以太网/交换机接入点连接到网络(LAN 或远程)的用户执行集中身份验证、授权、审核和记帐。
IAS 实施 IETF 标准 RADIUS 协议,以允许异类网络访问设备。如果 IAS 停止或被禁用,身份验证请求会被故障转移到备份 IAS 服务器中(如果可用)。如果没有可用的备份 IAS 服务器,用户将无法连接网络。此服务必须手动安装,并且只在 Windows Server 2003 系列成员上可用。
◆Microsoft POP3 Service
Microsoft POP3 Service 提供了电子邮件传输和检索服务。管理员可使用此服务存储和管理邮件服务器中的电子邮件帐户。如果在邮件服务器上安装了 Microsoft POP3 Service,用户可以连接到该服务器并使用支持 POP3 协议的电子邮件客户端程序(如 Microsoft Outlook®)检索电子邮件。Microsoft POP3 Service 与 SMTP Service 结合在一起工作,后者允许用户发送传出电子邮件。
Microsoft POP3 Service 机制允许用户从邮件服务器中检索自己的电子邮件。发件人和收件人的计算机通过其各自的 Internet 服务提供商 (ISP) 连接到 Internet。当发件人使用电子邮件客户端发送邮件时,SMTP Service 将邮件传送到发件人的 ISP。邮件随后路由到 Internet 并通过各种中间服务器中继。当邮件到达收件人的 ISP 时,它位于收件人的邮箱中。一旦收件人计算机连接到其 ISP,ISP 便根据 POP3 协议标准将邮件传递到收件人本地计算机的电子邮件客户端中。 如果 Microsoft POP3 Service 停止,电子邮件传输和检索服务都无法工作。在 Windows Server 2003 计算机上,此服务必须手动进行安装。 ◆Network News Transfer Protocol (NNTP)
Network News Transfer Protocol (NNTP) 服务允许将运行 Windows Server 2003 的计算机用作新闻服务器。客户端计算机可以使用新闻客户端应用程序(如 Microsoft Outlook Express 消息客户端)来从服务器检索新闻组、阅读每个新闻组中的文章的标题或正文。之
后,客户端计算机可将它们投递回服务器。
NNTP 是一种 Internet 标准。Windows Server 2003 中包含的 NNTP 服务不支持新闻流,新闻流功能允许两个新闻服务器相互复制彼此的内容。但是,Exchange 2000 包含的版本包含此项功能。默认情况下不安装和启用此服务。它只能与 IIS 协同安装。
如果 Network News Transfer Protocol (NNTP) 服务停止,客户端计算机将无法连接并读取或检索邮件。
◆Simple Mail Transport Protocol (SMTP)
Simple Mail Transport Protocol (SMTP) 服务是一种电子邮件提交和中继代理。它可接受远程目标的电子邮件并对它们进行排队,然后按指定时间间隔建立到其他计算机的连接。Windows 域控制器使用 SMTP 服务进行站点间基于电子邮件的复制。此外,Windows Server 2003 COM 组件的协作数据对象 (CDO) 可使用此服务提交传出的电子邮件并对它们进行排队。
在 Windows Server 2003 Web Edition 上默认安装并运行 SMTP 服务。在 Windows XP 和其他 Windows Server 2003 版本上,它是可选组件,默认情况下不安装。
备 注 堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。因此,每台堡垒主机的攻击表面积必须要降至最小。为了提高堡垒主机服务器的安全性,所有不需要的操作系统服务,以及对堡垒主机正常运行没有必要的角色都应该禁用,即关闭一切不必要的服务。
众多被禁用的服务将会产生大量的事件日志警告,您可以忽略这些警告。有些时候,启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。然而,这样做也会增加每台堡垒主机的攻击表面。
如对系统可能造成的影响不太了解,可以通过对一台相同配置的机器做关闭启动的试验来验证。
项目编号 № Ⅴ-003 项目名称 配置账户策略
项目描述 分别在“管理工具”中打开“本地安全设置”调整“密码策略”和“账户锁定策略”
操作步骤 推荐的密码策略为:
“密码必须符合复杂要求”――已启用(必须启用) “密码长度最小值”――8个字符(或更高)