Windows 서버 세팅
[1] 파티션
시스템파티션(NTFS, 4~5G정도 하드크기에 따라 책정) + DATA파티션(NTFS) + 페이징파일파티션(FAT32, ram파일크기의 2~3배정도) 페이징 파일을 옮겨 줘야 한다구 하네요…
라이센스 서버단위, 동시연결개수 <- 기본값
사용자단위
네트워크 환경 등록정보, 네트워크용 파일 및 프린터 공유 등록정보에서 네트워크 응용 프로그램을 위해 데이트 처리량 최대화 체크(웹서버+db서버사용시…)
페이징 파일 수정/삭제/추가 방법
내컴퓨터 등록정보 – 고급 – 성능옵션 – 가상메모리 – 변경 버튼 클릭후 설정
*참고
내컴퓨터 등록정보 – 고급 – 시작및복구에서,
디버깅 정보 쓰기를 없음으로 해주면,
보안과 성능에 향상을 줄수 있음.
**참고
초기 설치후 WORKGROUP으로 되어 있는 작업그룹을 독립적인 그룹으로 만들어준다.
- 도메인을 이용해서 설정해주면 편리할 듯.
[2] 서비스팩 & 핫픽스
SP2, SRP1, Q314147(snmp), Q313829(windows shell), Q319733(IIS누적형패치),
Sql SP2, Sql sp2이후 보안 release패치(버전 800_608)
Internet Explorer의 windows update를 이용해서 패치적용
[3] .Net사용시(한글버전)
닷넷 설치, SP1, Q322301(asp.net 버퍼오버플로우)
[4] 필요한 서비스만 구동(일반적으로 서버 세팅후 적용된 서비스에서)
다음의 서비스 필요없을경우 사용안함으로 설정(SP2설치후 적용할 것)
Alerter, Computer Browser, DHCP Client & Server, Distributed File System, Distributesd Link Tracking Client & Server, DNS Client & Server, Intersite Messaging, Print Spooler, Remote Registry Service, RunAs Service, TCP/IP NetBIOS Helper Service, Telnet, Windows Media Service 4가지 등~
[5] 다음의 서비스를 특정계정으로(시스템계정이 아닌) 시작하도록 할 것.
MSSQLSERVER, SQLSERVERAGENT : 예를들어 sql_starter와 같이 계정(admin그룹에 포함시킴)을 하나 만들어서 이 계정으로 시작하도록 설정을 한다.
- 차후 패스워드나 계정 변경이 있을시 반드시 서비스에서 재설정 해줄 것
[6] 보안관련 몇가지 처리
* NetBIOS 서비스 제거 : Network등록정보중 Wins에서 설정
* 서버 목적에 따른 서버 최적화 : 일반적인 웹서버의 경우 Network 등록정보에서 à Microsoft 네트워크용 파일 및 프린터 à 네트워크 응용프로그램을 위해 데이터 처리량 최대화로 설정
* 성능옵션 및 가상메모리 설정 – 다른 물리적인 디스크나 시스템 파티션에서 분리시킨다. à 시스템 파티션에서 페이지파일 제거시 차후 메모리덤프 파일 생성이 안됨. 따라서, 시스템 등록정보의 고급텝에서 디버깅 정보 쓰기를 없음으로 할 것.
* $공유 즉, hidden 공유 제거
à 레지스트리 수정하면 됨
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
Find the value named AutoShareServer and change the DWORD value to 0 (zero)
[7] Component관련
à 업로드 컴포넌트로 Sitegalexy upload component(1.2버전-win2k에서 잘 호환)사용.
Pds폴더를 www안에 초기세팅시 생성 : 이폴더에만 IUSR_Computename 계정에 쓰기권한을 적용해서 보안고려.
[8] MS-SQL 사용시 Server와 Client간의 버전은 같아야 하는가?
sql7.0 클라이언트 프로그램 사용 고객은 sql2000을 사용하는 서버에 접속시 정상접속이 안될수 있슴. (참고로 반대는 가능)
[9]자동로그온
regedit를 실행,
HK_L_M – Software – Microsoft – Windows NT – Current Version – Winlogon에서,
편집-문자열값을 클릭,
DefaultPassword REG_SZ 패스워드입력
AutoAdminLogon REG_SZ 1
Windows 2000 Server 웹 호스팅 서비스
< INSTALL >
1]windows 2000 server INSTALL
2]service pack 4 INSTALL
3]MS-SQL 2000 Standard INSTALL
4]sql service pack 3 INSTALL
5]security 관련 HotFix INSTALL
6]mail 관련 – freeware 또는 linux로 mail server만 따로 구축 고려
< 기타설정 >
1]quota 설정 체크 – check à home dir + sql data dir(사용시 추가) 로 설정…
à 가설 : 파티션이 홈페이지와 DB가 분리되어 있어서 따로 파티션당 설정해야할것같음.
à 가설적용 그러나, 아직 미흡한점이 많음.
à DB는 따로 용량이 설정되므로 홈페이지가 있는 파티션에만 quota적용.
2]mount 기능 가능 – directory만든후 mount
3]ftp사이트의 계정으로의 접속 – 포트를 다르게 설정(50000번대 이상으로)
4]IIS Unicode Bug점검 – UBAT 1.7이용 à 이상무
5]전자결재시스템 – 초기 한번만 설치후(Dacom의 경우) 차후 등록만 해주면 됨.
6]NetBIOS 서비스 제거 à Network등록정보중 Wins에서 설정
7]Network등록정보에서 à Microsoft네트워크용파일및프린터 에서 à 적절한 서버최적화 선택 à 네트워크 응용프로그램을 위해 데이터처리량 최대화로 설정
8]성능옵션 및 가상메모리 설정 – 다른 물리적인 디스크로 할당.
à 시스템 파티션에서 페이지파일 제거시 차후 메모리덤프 파일 생성이 안됨.
9]Media Service설정 à Unicast
RealServer Service ? à realserver8.0 설치가능(sp1에서 test-install만) à linux(bbs)서버에 세팅되어 있음.
10]사용자 인증 페이지 설정 à Windows 디렉토리 권한과 사용자계정의 권한을 적절히 매치시킨다.
11]db에대한 고객의 권한 – 모든권한 그러나, 백업권한은 없슴…고객이 백업시 DTS이용.
12]ODBC – SQL 서버인증선택 및 MDB파일을 MS-SQL데이터로 변환시
http://tt.co.kr/help/faq/ttboard.cgi?act=view&code=20&bname=NTHOSTFAQ&page=1&search_method=by_content&search_word=MDB
à OLEDB로 유도
13]스토어드프로시저 및 JSP 지원여부
à 스토어드 프로시저는 현재 지원
14]모든 백업은 1일 Full백업 – 로그파일 백업은 지원 안함.
à 보관 기간 3일
15]Component관련
à 업로드 컴포넌트로 Sitegalexy upload component(1.2버전-win2k에서 잘 호환)사용.
à Pds폴더를 www안에 초기세팅시 생성 : 쓰기권한을 이폴더에만 적용해서 보안고려.
16]IIS에서 기본문서 사용순서 : index.asp – index.html – index.htm – default.asp – default.html – default.htm – main.asp – main.html – main.htm
17]mdb파일 사용 금지 à 호스팅 서버에서 동작 시 치명적인 에러를 내는 경우가 많이 있습니다. 따라서 일부 호스팅 업체에서는 MDB 파일의 사용을 금하고 있습니다. 즉 MDB 파일을 사용하신다면 자주 다운되기도 하고 속도도 느리며, 보안상 좋지 않으므로, 보다 안정적이고 속도도 빠른 MS SQL 서버를 사용하기를 권장
à mdb파일의 sql변환
http://tt.co.kr/help/faq/ttboard.cgi?act=view&code=21&bname=NTHOSTFAQ&page=1&search_method=by_content&search_word=MDB
18]server와 client간의 sql버전은 같아야 하는가?
à 클라이언트 프로그램으로 서버에 접속시 서버가 sql2000이므로 sql2000클라이언트 프로그램을 설치해서 사용. Sql70클라이언트 프로그램으로 정상적으로 접속이 이루어지는지는 테스트해보아야 함.--- check
19]사용자계정의 디렉토리에 홈페이지, 로그등을 따로 설정 고려…
à logs라는 디렉토리를 만들어 현재 따로 저장(웹, FTP, ODBC로그).
20]성능 로그 및 경고에서 새로운 로그및경고 생성 고려(서버부하고려)…check
21]web및 ftp로그 설정시 최소로 필요한 것만 선택 à 로그경로는 각자 계정으로 설정…
22]$공유 즉, hidden 공유 제거 à 제거시 질문 : 서버리부팅후나 서버서비스 재시작하면 다시 공유활성화됨.
à Server 서비스를 정지하면 그런 문제는 없어짐. 그러나, 다른 문제가 있는지 테스트중
--- 레지스트리 수정으로 이문제 해결했음.
23]ftp, web의 등록정보에서 디렉토리보안을 적절히 이용…
24]요금연체시 퍼미션은 어떻게 막을 것이가?
à 사용자 계정을 사용안함 체크를 하면 ftp등의 접속거부.
à 웹서비스는 중단으로 설정.
25]사용자계정 과 패스워드 백업은?
--- check
< 웹상에서 계정으로 홈페이지 확인 – IP로만 확인가능시 >
1]웹사이트를 만든다.
2]가상디렉토리를 만든다.
à 여기서 기본 웹사이트(wns.kobis.net)에서 가상디렉토리를 모두 생성한다.
3]그 가상디렉토리에 홈페이지의 경로를 준다.
4]웹상에서 확인.
à http://IPAddress/계정
< 보안관련 >
1]초기 administrator의 이름을 바꾼다.
2]HotFix설치 (이부분은 sp4 설치후 window update사용하면 해결될듯 합니다.)
Win2k
285156 : 윈도즈 2000 이벤트뷰어에서 체크안된 버퍼
291845 : IIS 서버에서 서비스를 거부 - 버그는 WebDAV의 결함을 이용한 것
293826 : IIS 4.0/5.0 버그 패치
295534 :
296576 : msw3prt.dll 파일에서 버퍼 오버플로우가 발견 à IIS에서 msw3prt.dll 부분을 삭제300972(2001/06/12) : IIS 웹 서버의 인덱싱 서비스(Indexing Service) 기능과 연결되는 코드에서 발견 à IIS에서 .idq와 .ida 확장자의 스크립트 매핑 제거
SQL : 80233i_kor 80296i à 2001-05-22
3]IIS에서 보안설정 : .printer삭제 – msw3prt.dll부분
< MS-SQL 2000 서비스 관련 >
1]admin계정인지 sql의 sa계정인지 확인
--> 패스워드 변경시 서비스에서 sql에대한 계정의 패스워드도 함께 바꾸어 주어야 함.
è 아니면 서비스가 제대로 시작되지 않는다.
à 해결법 : 계정을 추가(sql_starter) – adminstrators그룹에 추가 – 그외그룹은 삭제
서비스에서 sql로그온에서 계정지정부분에 새계정(sql_starter)을 추가
서비스 재시작…
* 기타 서비스(Media service, …)등도 위와같이 바꿀수 있다… - 이로인한 문제점은 아직 검토중
2]사용자 계정 및 DB 추가 관련
-계정 기본설정:
[1] 계정추가 – 그룹설정(nthosting1:100M, nthosting2:300M, nthosting3:1G)
[2] 디렉토리 생성 (계정명과 동일하게 설정) - kobis계정 참고
à logs, www 생성(이때, kobis폴더안의 세팅완료내역에 관련된 파일 복사)
à pds(fileUpload폴더)생성- 등록정보의 보안탭에서 적절한 계정부여 및 권한설정
IUSR_machinename(읽기,쓰기 권한만), 신청한 계정(읽기, 쓰기 권한까지)@백업삭제?
- 고급 사용권한 메뉴에서 삭제권한도 부여
administrators추가(모든권한)
[3] 생성한 디렉토리의 등록정보의 보안탭에서 적절한 계정부여 및 권한설정
à everyone계정삭제 : ‘부모로부터 상속 가능한 사용권한을 이 개체로 전파할 수 있음’ 체크를 없앤다.
à IUSR_machinename(읽기권한만) , 계정(읽기, 쓰기권한-고급 사용권한 메뉴에서 삭제권한 부여) , administrators추가(모든권한)
[4] ftp 사이트, web 사이트 설정
à ftp : 로그경로설정(각계정의 logs폴더) , 운영자에 각계정 추가(55xxx~5xxxx번대로 끝자리 1 또는 6 – http://kobis.net참고해서 순서대로 부여)@웹데몬이 실행않됨 “네트워크에 중복된 이름이 있습니다.”
à web : 로그경로설정(각계정의 logs폴더) , 등록정보 – 웹사이트 – 고급에서 도메인 추가, wns.kobis.net 사이트의 가상디렉토리 설정(설정시 계정명과 동일하게 설정하되 설정값은 디폴트 값으로 부여) @log파일이 인터넷 등록정보에 있는곳이 아닌 다른곳에….
[5] DNS설정(정방향 조회영역만 설정, 메일 레코드 MX값은 mail 레코드값을 211.47.67.70 부여해서 mail.도메인명. 으로 설정)
[6] 백업설정
à 최종 : 3일간 자동으로 /home 디렉토리 풀백업이 이루어짐.
à db는 데이터베이스 유지관리 설정(제목의 숫자를 참고로 설정하면됨.)
à 일일 확인(F:\Bk_part\bk_home , F:\Bk_part\bk_db_user\각해당폴더)
l 백업을 복원에 사용할 일이 생기면…
à 먼저 백업받은 파일을 더블클릭하면 창이 뜨고 여기서 복원마법사를 이용한다.
à 원하는 디렉토리만 선택후 복원을 하는데, 이때 원한다면 경로를 임의의 경로에다 복원할수 있다. 그리고, 복원시 권한등의 설정을 그대로 가져올수 있도록…
à 참고로 F:\Bk_part\bk_home\Extract를 만들어 두었음.
=================
data\안에 *.mdf와 *.ldf파일 즉, 데이터와 로그파일만이 남아 있을경우 다음과 같이 복원하면 된다.
QA에서,
sp_attach_db '복원할데이터베이스명', 'c:\data\데이터.mdf', 'c:\data\로그.ldf'
하시면 됩니다.
(EX) sql2000에서,
복원할데이터베이스명 : macs
경로 : c:\program files\microsoft sql server\mssql\data\macs_data.mdf
c:\program files\microsoft sql server\mssql\data\macs_log.ldf
sp_attach_db 'macs', 'c:\program files\microsoft sql server\mssql\data\macs_data.mdf ', 'c:\program files\microsoft sql server\mssql\data\macs_log.ldf'
==================
[데이콤전자결재]@
1. 먼저 적당한 위치에 설치를 한다.
2. TSETUP.zip만 세팅하면 된다.(Dpsvcdll.zip은 컴파일과정 필요)
3. 세팅은 한번만 하면 된다.
4. 서비스를 자동시작 시켜준다.
5. 이제 SetupShop을 실행시켜 서비스 받으려는 고객마다 각각의 상점ID와 상점이름을 등록해주면 된다. (정상적인 메시지인지 확인)
6. 프로그램 삭제시 registry 등록된 것도 지워준다.
- (설치경로의 \bin\DpSvr –remove)
7. 재설치시엔 데이콤에 연락을 취해 초기화를 받는다.
[기타…]
1. 디스크쿼타 확인법
- D:\드라이브의 등록정보에서 할당량을 선택 – 할당량항목 – Refresh해주면 된다. 기본은 100M기준이니 그 이상 서비스는 수작업으로 ‘할당량 항목’에서 해당 계정을 더블클릭해서 설정하면 됨.
2. 이벤트 뷰어를 통해서 모니터링
- 응용 프로그램, 보안, 시스템 로그를 한번씩 살펴본다.
- 로그가 꽉 찼다고 나오면 해당 로그에서 오른쪽 버튼을 클릭해서 모든 이벤트를 지우기를 한다. 이때, 필요시엔 저장(F:\EtcBackup\EventLog)하고 지운다.
3. 작업관리자도 한번씩 보며 모니터링한다.
- 지속적으로 CPU나 RAM을 소비하는 프로세스는 없는지…
- 보통 sqlservr.exe 와 dllhost.exe 프로세스 하나가 CPU 와 RAM사용하는 것이 대부분…(이와 관련한 서비스를 재시작함으로서 램사용율을 다시 초기화할 수 있다.)
4. DB가 원격에서 잘 연결되지 않을 때(EM:엔터프라이즈관리자 또는 QA:쿼리에널라이져로 연결시도시) ,
- 클라이언트측에서 프로토콜은 TCP/IP로 되어있는지? (클라이언트 네트워크 유틸리티에서 확인 및 변경 가능)
- 서버는 IP 또는 지정한 도메인(sql.kobis.net)으로 되어있는지? (연결시)
- 엔터프라이즈 매니져(EM)에서 도구-옵션-고급의 로그인제한시간을 20초 정도로 늘여보라고한다.(일반적으로 연결제한 시간초과와 같은 에러메세지가 나왔을경우)