§11 ORACLE7和ORACLE8
ORACLE7是一种完全的关系数据库系统,它不支持面向对象。
ORACLE8 则是一个引入面向对象的数据库系统,它既非纯的面向对象的数据库也非纯的关系数据库,它是两者的结合,因此叫做“对象关系数据库”。
§12 ORACLE8 特点
ORACLE8 于 1997年6月正式发布,它包括了几乎所有的数据库技术,因此被认为是未来企业级主选数据库之一。主要有以下特点:
1对象/关系模型
ORACLE8对于对象模型采取较为现实和谨慎的态度,使用了对象/关系模型,即在完全支持传统关系模型的基础上,为对象机制提供了有限的支持。ORACLE8不仅能够处理传统的表结构信息,而且能够管理由C++,Smalltalk 以及其它开发工具生成的多媒体数据类型,如文本,视频,图形,空间对向等。这种做法允许现有软件开发产品与工具软件及ORACLE8应用软件共存,保护了客户的投资。
2数据库服务器系统的动态可伸缩性
ORACLE8引入了连接存储池(connection polling)和多路复用(multiplexing)机制,提供了对大型对象的支持。当需要支持一些特殊数据类型时,用户可以创建软件插件(catridge )来实现。ORACLE8采用了高级网络技术,提高共享池和连接管理器来提高系统的可括性,容量可从几 GB 到 几百 TB 字节,可允许10万用户同时并行访问,ORACLE 的数据库中每个表可以容纳 1000列,能满足目前数据库及数据仓库应用的需要。
ORACLE 公司称,ORACLE8可以支持达 512PB的数据量。但目前还未有哪一家用户的数据库的数据量达到这个数量。下面是几种常用数据量的等价关系:
1MB = 1024 KB
1GB = 1Gigabyte Byte = 1024 MB
1TB = 1TeraByte = 1024 GB = 10241024MB
1PB = 1PeraByte = 1024 TB = 1024 1024 1024 MB
1EB = 1ExaByte = 1024 PB = 1024 1024 1024 1024 MB
3系统的可用性和易用性
ORACLE8提供了灵活多样的数据分区功能,一个分区可以是一个大型表,也可以是索引易于管理的小块,可以根据数据的取值分区。有效地提高了系统 *** 作能力及数据可用性 ,减少I/O 瓶颈。ORACLE8还对并行处理进行了改进,在位图索引,查询,排序,连接和一般索引扫描等 *** 作引入并行处理,提高了单个查询的并行度。ORACLE8通过并行服务器(Parallel Server Option )来提高系统的可用性。
4系统的可管理性和数据安全功能
ORACLE8提供了自动备份和恢复功能,改进了对大规模和更加细化的分布式 *** 作系统的支持,如加强了SQL *** 作复制的并行性。为了帮助客户有效地管理整个数据库和应用系统,ORACLE还提供了企业管理系统(ORACLE Enterprise Manager),数据库管理员可以从一个集中控制台拖放式图形用户界面管理ORACLE的系统环境。
ORACLE8通过安全服务器中提供的安全服务,加强了ORACLE Web Server 中原有的用户验证和用户管理。
5面向网络计算
ORACLE8i在 与JAVA VM 及 CORBA ORB 集成后,将成为NCA(网络计算机体结构)的核心部件。NCA是ORACLE 关于分布式对象与网络计算机的战略规划。ORACLE8 对NCA产生了巨大影响,简化了应用软件的化分,推动了瘦型客户机及Web 应用软件的发展。在ORACLE8 FOR NT 中还提共了新产品Web 发布助理(Web Publishing Assistant ORACLE),提供了一种在WORD WIDE WEB 上发布数据库信息的简便,有效的方法。
6对多平台的支持与开放性
网络结构往往含有多个平台,ORACLE8 可以运行于目前所有主流平台上,如
SUN Solarise, Sequent Dynix/PTX,Intel Nt,HP_UX,DEC_UNIX,IBM AIX 和 SP等。ORACLE8 的异构服务为同其它数据源以及使用SQL 和PL/SQL的服务进行通讯提供了必要的基础设施。ORACLE8 继续至力于对开放标准规范SQL3,JDBC,JSQL和CORBA 的支持。
§13 ORACLE8和ORACLE8i
当 ORACLE 8 第一次发行时,它提供了优于 ORACLE 7 的性能和选件,但是它基本是ORACLE7 的引擎。 在ORACLE8 的后来版本中不断作过多次的完善,出现 ORACLE 80X 版本。然而1998年初发行(推出)的 ORACLE 8I 可以被看作是 ORACLE 8 的功能扩展集。
由于ORACLE 8I 比 ORACLE 8 提供了更多的功能,它除了共同的RDBMS功能外,还提供了许多与INTERNET 有关的能力,最重要的是它将 JAVA 集成为一种内部的数据语言,这种语言可充当或替代品,而且它还集成了一个WEB服务器和开发平台(Web DB )。对ORACLE 80x 来说只到 ORACLE 805 版本就终止了,接着就推出了 ORACLE8i 815版本,ORACLE8i 815版本也经常被称为Release 1;而ORACLE8i 816版本被称为Release 2;ORACLE8i 817版本被称为Release 3。
§14 ORACLE8i和ORACLE9i
在正式进入21世纪前的2000年年底,ORACLE公司正式发布了ORACLE 9i 新数据库系统。原先预料可能会有ORACLE 8i V818等版本,但ORACLE8i版本只推出817就被Oracle9i所代替。ORACLE公司和其它的软件公司一样,为了抢占市场,不再愿意在原来版本上再作更多的改进和优化工作,而是直接的推出新产品这样一种策略。ORACLE9i 与ORACLE8i 比较,ORACLE 9i 主要包括下面三大部分:
l 数据库核心(Database )
l 应用服务器(Application Server )
l 开发工具集(Developer Suite )
Oracle9i 主要焦点(Oracle9i Focus ):
l 电子商务智能化( E-Business Intelligence )
l 应用开发( Applications Development )
l 应用主机( Applications Hosting )
l 门户与内容( Portals and Content )
l 电子商务连续性( E-Business Continuity )
Oracle9i 为了结合 Internet 市场设计。Oracle9i适合并胜任市场上所有的苛刻要求。
l Oracle9I实时应用( Oracle9i Real Application)
l Oracle9I高可用性(Oracle9i High Availability)
l Oracle9I 系统管理( Oracle9i Systems Management )
l Oracle9I 安全( Oracle9i Security)
Oracle9i 数据库服务(Oracle9i Database Services):
l 商业智能与数据仓库( Business Intelligence and Data Warehousing)
l Oracle9I动态服务( Oracle9i Dynamic Services)
l Oracle9I JAVA 和XML(Oracle9i Java and XML)
l 电子商务集成( E-Business Integration )
§15 ORACLE OAS和ORACLE iAS
目前的ORACLE公司的iAS 的早期版本是 ORACLE Web Server ,后来第4版改名为ORACLE APPLICATION SERVER ,2000年底前又改名为 ORACLE9i Internet Application Server(ORACLE iAS)。目前的iAS可以与ORACLE8i 或ORACLE9i 结合在一起的综合开发工具。为创建和部署任何基于网络的应用程序提供了一个完整的Internet 平台,iAS包括了门户、事务应用、商业智能工具、无线上网应用和企业集成等。
Oracle Internet Application Server 提供了行业中最全面的中间层产品,包括通信、表示、商业逻辑、数据缓存和系统服务等。
1通信服务:
基于Apache 的ORACLE >1、先简单点说:这句英文的意思是 远程用户拨号服务器没有响应。
通常是校园网客户端inode一般会出现这个问题,服务器没有响应。大概有两个原因:一就是服务器出现问题 二就是你的客户端设置出错(不会设置的话就卸载再重装一次)。
2、什么是 RADIUS 服务器
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议
RADIUS 的关键功能部件为:
客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行 *** 作
RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理
网络安全性:
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务从不通过网络发送机密信息此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码灵活认证机制:
RADIUS 服务器可支持多种认证订户的方法当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制
可扩展协议:
所有事务都由变长的三元组“属性-长度-值”组成可在不影响现有协议实现的情况下添加新属性值
如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中,单击“常规”:对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”在详细信息窗格中,单击“定义 RADIUS 服务器”在“RADIUS 服务器”选项卡上,单击“添加”在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)默认值 1812 基于 RFC 2138对于更早的 RADIUS 服务器,请将端口值设置为 1645在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”
注意:
要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的请务必更改 RADISU 服务器上的默认预共享密钥配置强共享密钥,并经常更改,以防止词典攻击强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序对于 客户端,可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”若要安装和启用 服务器,请按照下列步骤 *** 作:
单击开始,指向管理工具,然后单击“路由和远程访问”。
在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈,则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头,则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务,您可能要重新配置服务器。若要重新配置服务器,请按照下列步骤 *** 作:
右击服务器对象,然后单击“禁用路由和远程访问”。单击是以继续。
右击服务器图标,然后单击“配置并启用路由和远程访问”以启动“路由和远程访问服务器安装向导”。单击下一步继续。
单击“远程访问(拨号或 )”以启用远程计算机拨入或通过 Internet 连接到本网络。单击下一步继续。
根据您打算分配给该服务器的角色,单击以选择 或拨号。
在“ 连接”窗口中,单击连接到 Internet 的网络接口,然后单击下一步。
如果要使用 DHCP 服务器给远程客户端分配地址,请在 IP 地址分配窗口中单击自动,或者,如果仅应从预定义池给远程客户端分配地址,请单击“来自一个指定的地址范围”。多数情况下,DHCP 选项的管理更简单。不过,如果没有 DHCP,就必须指定一个静态地址范围。单击下一步继续。
如果您单击“来自一个指定的地址范围”,就打开了地址范围分配对话框。单击新建。在“起始 IP 地址”框中键入希望使用的地址范围内的第一个 IP 地址。在“结束 IP 地址”框中键入该范围内的最后一个 IP 地址。Windows 将自动计算地址的数目。单击确定以返回到地址范围分配窗口。单击下一步继续。
接受“否,使用路由和远程访问对连接请求进行身份验证”的默认设置,然后单击下一步继续。单击完成以启用路由和远程访问服务并将该服务器配置为远程访问服务器。
如何配置 服务器
若要继续根据需要配置 服务器,请按照下列步骤 *** 作。
如何将远程访问服务器配置为路由器
为让远程访问服务器能在您的网络中正确地转发通信量,必须用静态路由或路由协议将其配置为一个路由器,这样远程访问服务器才能访问到内部网中的所有位置。
若要将服务器配置为路由器,请按照下列步骤 *** 作:
单击开始,指向管理工具,然后单击“路由和远程访问”。
右击服务器名称,然后单击属性。
单击常规选项卡,然后单击选择“启用此计算机作为”下的路由器。
单击“局域网和请求拨号路由选择”,然后单击确定以关闭属性对话框。
如何修改同时连接的数目
调制解调器拨号连接的数目取决于安装在服务器上的调制解调器的数目。例如,如果在服务器上只安装了一个调制解调器,则一次只能有一个调制解调器连接。
拨号 连接的数目取决于您允许同时访问的用户的数目。默认情况下,如果您运行的是本文描述的步骤,则允许 128 个连接。若要更改同时连接的数目,请按照下列步骤 *** 作:
单击开始,指向管理工具,然后单击“路由和远程访问”。
双击服务器对象,右击端口,然后单击属性。
在端口属性对话框中,单击 WAN 微型端口 (PPTP),然后单击配置。
在最多端口数框中,键入要允许的 连接的数目。
单击确定,再次单击确定,然后关闭“路由和远程访问”。
如何管理地址和名称服务器
服务器必须有可用的 IP 地址,以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 服务器的虚拟接口和 客户端。分配给 客户端的 IP 地址实际分配给了 客户端的虚拟接口。
对于基于 Windows Server 2003 的 服务器,默认情况下,分配给 客户端的 IP 地址是通过 DHCP 获得的。您也可以配置静态 IP 地址池。 服务器还必须配置名称解析服务器(通常是 DNS 和 WINS 服务器)地址,以在 IPCP 协商期间分配给 客户端。
如何管理访问
在用户帐户上配置拨入属性并配置远程访问策略,以管理对拨号网络和 连接的访问。
注意:默认情况下拒绝用户访问拨号网络。
通过用户帐户访问
如果您按用户管理远程访问,若要向某个用户帐户授予拨号访问权限,请按照下列步骤 *** 作:
单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
右击用户帐户,然后单击属性。
单击“版本”选项卡。
单击“允许访问”以授予用户拨入的权限。单击确定。
通过组成员身份访问
如果您按组管理远程访问,请按照下列步骤 *** 作:
创建一个由允许创建 连接的成员组成的组。
单击开始,指向管理工具,然后单击“路由和远程访问”。
在控制台树中,展开“路由和远程访问”,展开服务器名,然后单击远程访问策略。
在右侧窗格中右击任意位置,指向新建,然后单击远程访问策略。
单击下一步,键入策略名称,然后单击下一步。
对于“虚拟专用访问”访问方法,请单击 ,或对于拨号访问方法,请单击拨号,然后单击下一步。
单击添加,键入您在步骤 1 中创建的组的名称,然后单击下一步。
按照屏幕上的说明完成该向导的 *** 作。
如果 服务器已经允许使用拨号网络远程访问服务,则不要删除默认策略。而是移动其位置,使它成为最后一个起作用的策略。
如何从客户端计算机配置 连接
若要建立与 的连接,请按照下列步骤 *** 作。若要设置客户端进行虚拟专用网络访问,请在客户端工作站上执行下列步骤:
注意:您必须以管理员组的成员身份登录才能执行这些步骤。
注意:因为 Microsoft Windows 存在多个版本,所以在您的计算机上执行的步骤可能与下面介绍的步骤有所不同。如果是这样,请参阅产品文档来完成这些步骤。
在客户计算机上,确认与 Internet 的连接配置正确。
单击开始,单击控制面板,然后单击网络连接。单击网络任务下的“创建一个新的连接”,然后单击下一步。
单击“连接到我的工作场所的网络”以创建拨号连接。单击下一步继续。
单击“虚拟专用网络连接”,然后单击下一步。
在公司名称对话框中为连接键入一个描述性的名称,然后单击下一步。
如果计算机永久连接到 Internet,请单击不拨初始连接。如果计算机通过 Internet 服务提供商 (ISP) 连接到 Internet,则单击“自动拨此初始连接”,然后单击与 ISP 连接的名称。单击下一步。
键入 服务器计算机的 IP 地址或主机名(例如 ServerSampleDomaincom)。
如果要允许登录到该工作站的任何用户都能访问此拨号连接,则单击“任何人使用”。如果要使此连接仅供当前登录用户使用,则单击“只是我使用”。单击下一步。
单击完成以保存连接。
单击开始,单击控制面板,然后单击网络连接。
双击新建的连接。
单击属性以继续为连接配置选项。若要继续配置连接的选项,请按照下列步骤 *** 作:
如果您要连接到一个域,请单击选项选项卡,然后单击选中“包含 Windows 登录域”复选框以指定在尝试连接前是否要求 Windows Server 2003 登录域信息。
如果想让该连接在断线后重新拨号,则请单击选项选项卡,然后单击选中“断线重拨”复选框。
若要使用连接,请按照下列步骤 *** 作:
单击开始,指向“连接到”,然后单击该新建连接。
如果目前没有到 Internet 的连接,Windows 可让您连接到 Internet。
建立到 Internet 的连接后, 服务器会提示您输入用户名和密码。键入用户名和密码,然后单击连接。
您必须能够使用您的网络资源,就像直接连接到该网络一样。注意:若要从 上断开,请右击连接图标,然后单击断开连接。
疑难解答
远程访问 的疑难解答
无法建立远程访问 连接
原因:客户计算机的名称与网络上另一台计算机的名称相同。
解决方案:验证网络上的所有计算机和连接到网络的计算机是否都使用唯一的计算机名称。
原因: 服务器上未启动“路由和远程访问”服务。
解决方案:验证 服务器上“路由和远程访问”服务的状态。
有关如何监视、启动和停止“路由和远程访问”服务的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器上未启用远程访问。
解决方案:在 服务器上启用远程访问。
有关如何启用远程访问服务器的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:未为入站远程访问请求打开 PPTP 或 L2TP 端口。
解决方案:为入站远程访问请求打开 PPTP 或 L2TP 端口,或同时打开两个端口。
有关如何为远程访问配置端口的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:在 服务器上未启用 客户端使用的 LAN 协议来支持远程访问。
解决方案:在 服务器上启用 客户端使用的 LAN 协议以支持远程访问。
有关如何查看远程访问服务器属性的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户端或请求拨号路由器使用。
解决方案:验证 服务器上的所有 PPTP 或 L2TP 端口是否都已被使用。为此,请在“路由和远程访问”中单击端口。如果允许的 PPTP 或 L2TP 端口的数目不够高,则可以更改 PPTP 或 L2TP 端口的数目以允许更多的同时连接。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器不支持 客户端的隧道协议。
默认情况下,Windows Server 2003 的远程访问 客户端使用自动服务器类型选项,这意味着他们试图首先建立一个基于 IPSsec 的 L2TP 连接,然后试图建立一个基于 PPTP 的 连接。如果 客户端使用点对点隧道协议 (PPTP) 或第 2 层隧道协议 (L2TP)两者中的一种服务器类型选项,请验证选中的隧道协议是否受 服务器支持。
默认情况下,一台运行 Windows Server 2003 和“路由和远程访问”服务的计算机就是一个有五个 L2TP 端口和五个 PPTP 端口的 PPTP 和 L2TP 服务器。若要使创建的服务器只为 PPTP 服务器,请将 L2TP 端口的数量设置为零。若要使创建的服务只为 L2TP 服务器,请将 PPTP 端口的数量设置为零。
解决方案:验证是否配置了相应数目的 PPTP 或 L2TP 端口。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 客户端和 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
解决方案:将 客户端和 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 客户端和 服务器以及远程访问策略未配置为至少使用一种通用加密方法。
解决方案:将 客户端和 服务器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:验证 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。若要建立连接,连接尝试的设置必须:有关远程访问策略的简介以及如何接受连接尝试的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
至少满足一种远程访问策略的所有条件。
通过用户帐户(设置为允许访问)或通过用户帐户(设置为“通过远程访问策略控制访问”)授予远程访问权限,并授予匹配的远程访问策略的远程访问权限(设置为“授予远程访问权限”)。
与该配置文件的所有设置匹配。
与该用户帐户的拨入属性的所有设置相匹配。
原因:远程访问策略配置文件的设置与 服务器的属性冲突。
远程访问策略配置文件的属性和 服务器的属性都包含下列设置:如果相应的远程访问策略的配置文件的设置与 服务器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用可扩展身份验证协议 — 传输层安全性 (EAP-TLS) 身份验证协议,而 服务器上未启用 EAP,则连接尝试将被拒绝。
解决方案:验证远程访问策略配置文件的设置以确保不与 服务器的属性冲突。
有关多链路、BAP 和身份验证协议的其他信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
多重链接。
带宽分配协议 (BAP)。
身份验证协议。
原因:应答路由器无法验证呼叫路由器的凭据(用户名、密码和域名)。
解决方案:验证 客户端的凭据(用户名、密码和域名)是否正确以及是否可被 服务器验证。
原因:在静态 IP 地址池中没有足够的地址。
解决方案:如果 服务器配置了静态 IP 地址池,请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给已连接的 客户端,则 服务器将无法分配 IP 地址,连接尝试将被拒绝。如果已分配了静态池中的所有地址,则修改池。有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 客户端配置为可请求其自己的 IPX 节点编号,而 服务器配置为不允许 IPX 客户端请求它们自己的 IPX 节点编号。
解决方案:配置 服务器使之允许 IPX 客户端请求它们自己的 IPX 节点编号。
有关 IPX 和远程访问的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:给 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。
解决方案:给 服务器配置一个在 IPX 网络上唯一的 IPX 网络编号范围。
有关 IPX 和远程访问的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器的身份验证提供程序配置不正确。
解决方案:验证身份验证提供程序的配置是否正确。您可以配置 服务器使用 Windows Server 2003 或远程身份验证拨入用户服务 (RADIUS) 来验证 客户端的凭据。
有关身份验证和计帐提供程序以及如何使用 RADIUS 身份验证的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器无法访问 Active Directory。
解决方案:如果 服务器是混合模式或本机模式 Windows Server 2003 域的一个成员服务器而且配置为使用 Windows Server 2003 身份验证,则请验证:有关如何添加组、如何验证 RAS 和 IAS 安全组的权限,以及远程访问的 netsh 命令的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
“RAS 和 IAS 服务器”安全组是否存在。如果不存在,请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。
“RAS 和 IAS 服务器”安全组对“RAS 和 IAS 服务器访问检查”对象有读取权限。
服务器计算机的计算机帐户是“RAS 和 IAS 服务器”安全组中的一个成员。可以使用“netsh ras show registeredserver”命令查看当前注册。可以使用“netsh ras add registeredserver”命令在指定的域中注册服务器。
如果您向 RAS 和 IAS 服务器安全组添加(或从中去除) 服务器计算机,则此更改不会立即生效(这是由 Windows Server 2003 缓存 Active Directory 信息的方式决定的)。若要使更改立即生效,请重新启动 服务器计算机。
服务器是该域的一个成员。
原因:基于 Windows NT 40 的 服务器无法验证连接请求。
解决方案:如果 客户端正在拨入到运行着 Windows NT 40 的 服务器,而此服务器是 Windows Server 2003 混合模式域的成员,则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中:
"net localgroup "Pre-Windows 2000 Compatible Access""
如果没有,则请在域控制器计算机上的命令提示符处键入下列命令,然后重新启动域控制器计算机:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
有关 Windows Server 2003 域中 Windows NT 40 远程访问服务器的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因: 服务器无法与配置的 RADIUS 服务器通讯。
解决方案:如果只能通过 Internet 接口访问 RADIUS 服务器,则执行以下 *** 作之一:有关如何添加数据包筛选器的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
为 UDP 端口 1812 的 Internet 接口添加一个输入过滤器和一个输出过滤器(依据 RFC 2138“远程身份验证拨入用户服务 (RADIUS)”)。– 或 -
为 UDP 端口 1645(针对较早的 RADIUS 服务器)以及 RADIUS 身份验证和 UDP 端口 1813(基于 RFC 2139“RADIUS 计帐”)的 Internet 接口添加一个输入筛选器和一个输出筛选器。- 或 -
为用于 RADIUS 计帐的 UDP 端口 1646(针对较早的 RADIUS 服务器)的 Internet 接口添加一个输入筛选器和一个输出筛选器。
原因:无法使用 Pingexe 实用程序通过 Internet 连接到 服务器。
解决方案:由于在 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选,ping 命令使用的 Internet 控制消息协议 (ICMP) 数据包被筛选掉了。若要让 服务器能够响应 ICMP (ping) 数据包,请添加允许 IP 协议 1 通信量(ICMP 通信量)的输入筛选器和输出筛选器。
有关如何添加数据包筛选器的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
“无法发送和接收数据”
原因:未给被路由的协议添加适当的请求拨号接口。
解决方案:给被路由的协议添加适当的请求拨号接口。
有关如何添加路由接口的更多信息,请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:路由器对路由器 连接的两端都没有支持双向通信量交换的路由。
解决方案:与远程访问 连接不同,路由器对路由器 连接不会自动创建默认路由。在路由器对路由器 连接的两端都创建路由,以便路由器对路由器 连接两端的通信量都可以路由到对方。
您可以手动向路由表中添加静态路由,也可以通过路由协议添加静态路由。对于持续性 连接,您可以在 连接上启用“开放式最短路径优先 (OSPF)”或“路由信息协议 (RIP)”。对于请求 连接,可以通过自动静态 RIP 更新来自动更新路由。有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的更多信息,请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:双向初始化的应答路由器作为远程访问连接,正在解释路由器对路由器的 连接。
解决方案:如果呼叫路由器的凭据中的用户名出现在“路由和远程访问”中的拨入客户端下,则应答路由器将把呼叫路由器解释为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫方是一个路由器,则接收呼叫的端口将显示为活动状态,而且相应的请求拨号接口处于连接状态。
有关如何检查应答路由器的端口状态以及如何检查请求拨号接口状态的更多信息,请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。
解决方案:验证以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器,以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信量的性质。
有关如何管理数据包筛选器的更多信息,请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。
原因:远程访问策略配置文件中的数据包筛选器阻止了 IP 通信量的传输。
解决方案:验证以确保 服务器(如果使用了 Internet 身份验证服务则是 RADIUS 服务器)上的远程访问策略的配置文件属性上未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器,以精确控制 连接上允许的 TCP/IP 通信量的性质。验证以确保配置文件 TCP/IP 数据包筛选器未阻止通信量的传输。要实现MAC 地址认证,需要提供以下功能组件:
具有MAC 地址认证功能的交换机
为了能够对接入终端进行MAC 地址认证,需要接入交换机拥有MAC 认证
功能,能够直接对接入终端进行地址认证。
Radius 服务器
一般情况下,接入交换机无法判断终端的MAC 地址是否合法,需要将终
端的MAC 提交给Radius 服务器进行验证,在Windows server 2003中,Windows IAS 服务能够提供标准的Radius 服务,但IAS 无法建立MAC 帐户,利用Windows 的Active Directory (AD ;活动目录)服务与IAS 服务结合,就可以实现认证和管理MAC 帐户的功能。
Oracle是由甲骨文公司开发出来的,并于1989年正式进入中国市场,成为第一家进入中国的世界软件巨头。当然,当时的Oracle尚名不见经传,由Oracle开发的商用关系型数据库技术即年开始服务于中国用户。1991年7月,Oracle在北京建立独资公司。Oracle数据库,是积聚了众多领先性的数据库系统,在集群技术、高可用性、商业智能、安全性、系统管理等方面都领跑业界。
与Oracle数据库基本同时期的还有informix数据库系统。两者使用的用户有所侧重。Oracle数据库系统银行业使用较多,informix数据库系统,通讯业使用较多。
由于ORACLE数据库产品是当前数据库技术的典型代表,她的产品除了数据库系统外,还有应用系统、开发工具等。刚接触Oracle的人员都有这样的感觉:Oracle的产品太多,每个产品内容精深,不知道从哪儿开始学才好。为了用少量时间更好地理解和使用oracle数据库系统,有必要对oracle的一些基本术语及概念进行了解,下面给出一些在管理中经常用到的概念和术语,供初学者快速了解Oracle数据库系统提供方便。
ORACLE7和ORACLE8
ORACLE7是一种完全的关系数据库系统,它不支持面向对象。 ORACLE8 则是一个引入面向对象的数据库系统,它既非纯的面向对象的数据库也非纯的关系数据库,它是两者的结合,因此叫做“对象关系数据库”。
ORACLE8和ORACLE8i
在ORACLE8 的后来版本中不断作过多次的完善,出现 ORACLE 80X 版本。然而1998年初发行(推出)的 ORACLE 8I 可以被看作是 ORACLE 8 的功能扩展集。 由于ORACLE 8I 比 ORACLE 8 提供了更多的功能,它除了共同的RDBMS功能外,还提供了许多与INTERNET 有关的能力,最重要的是它将 JAVA 集成为一种内部的数据语言,这种语言可充当或替代品,而且它还集成了一个WEB服务器和开发平台(Web DB )。对ORACLE 80x 来说只到 ORACLE 805 版本就终止了,接着就推出了 ORACLE8i 815版本,ORACLE8i 815版本也经常被称为Release 1;而ORACLE8i 816版本被称为Release 2;ORACLE8i 817版本被称为Release 3。
ORACLE8i和ORACLE9i
在正式进入21世纪前的2000年年底,ORACLE公司正式发布了ORACLE 9i新数据库系统。原先预料可能会有ORACLE 8i V818等版本,但ORACLE8i版本只推出817就被Oracle9i所代替。ORACLE公司和其它的软件公司一样,为了抢占市场,不再愿意在原来版本上再作更多的改进和优化工作,而是直接的推出新产品这样一种策略。ORACLE9i 与ORACLE8i 比较,ORACLE 9i 主要包括下面三大部分:
l数据库核心(Database ) l应用服务器(Application Server )
l 开发工具集(Developer Suite ) Oracle9i 主要焦点(Oracle9i Focus ):
l电子商务智能化( E-Business Intelligence )。
l应用开发( Applications Development )
l应用主机( Applications Hosting )
l 门户与内容( Portals and Content )
l 电子商务连续性( E-Business Continuity ) Oracle9i 为了结合 Internet 市场设计。
Oracle9i适合并胜任市场上所有的苛刻要求。
l Oracle9I实时应用( Oracle9i Real Application)
l Oracle9I高可用性(Oracle9i High Availability) l Oracle9I系统管理( Oracle9i Systems Management ) l Oracle9I 安全( Oracle9i Security)
Oracle9i数据库服务(Oracle9i Database Services):
l商业智能与数据仓库( Business Intelligence and Data Warehousing)
l Oracle9I动态服务( Oracle9i Dynamic Services)
lOracle9I JAVA 和XML(Oracle9i Java and XML)l 电子商务集成(E-Business Integration)
ORACLE OAS和ORACLE iAS
ORACLE公司的iAS 的早期版本是 ORACLE Web Server ,后来第4版改名为ORACLE APPLICATION SERVER ,2000年底前又改名为 ORACLE9i Internet Application Server(ORACLE iAS)。iAS可以与ORACLE8i 或ORACLE9i 结合在一起的综合开发工具。为创建和部署任何基于网络的应用程序提供了一个完整的Internet 平台,iAS包括了门户、事务应用、商业智能工具、无线上网应用和企业集成等。 Oracle Internet Application Server 提供了行业中最全面的中间层产品,包括通信、表示、商业逻辑、数据缓存和系统服务等。
1通信服务: 基于Apache的ORACLE >
EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型,其使用与基于 PPP 的 CHAP 相同的质询/握手协议,但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互 *** 作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-RADIUS
EAP-RADIUS 并不是一种 EAP 类型,但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器,以便进行身份验证。例如,将 ISA 服务器配置为用于 RADIUS 身份验证时,将封装在远程 客户端和 ISA 服务器之间发送的 EAP 消息,并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。
EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中,只需要在 ISA 服务器上安装 EAP 类型。
EAP协议帧结构
8021x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
EAP帧结构如下表所示: 字段 字节 Code 1 Identifier 2 Length 3-4 Data 5-N EAP帧格式中各字段含义如下: 字段 占用字节数 描述 Code 1个字节 表示EAP帧四种类型:1.Request;2.Response
3.Success;4.Failure Identifier 1个字节 用于匹配Request和Response。Identifier的值和系统端口一起单独标识一个认证过程 Length 2个字节 表示EAP帧的总长度 Data 0或更多字节 表示EAP数据 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
参考:EAPoL协议
8021x协议定义了一种报文封装格式,这种报文称为EAPoL(EAP over LANs局域网上的扩展认证协议)报文,主要用于在客户端和认证系统之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。
标准EAPoL帧结构如下表所示: 字段 字节PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL帧格式中各字段含义如下: 字段 占用字节 描述 PAE Ethernet Type 2个字节 表示协议类型,8021x分配的协议类型为888E Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001 Packet Type 1个字节 表示传送的帧类型,如下几种帧类型:
a) EAP-Packet值为 0000 0000
b)EAPOL-Start值为0000 0001
b) EAPOL-Logoff值为0000 0010 Packet Body Length 2个字节 表示Packet Body的长度 Packet Body 0/多字节 如果Packet Type为EAP-Packet,取相应值。对于其他帧类型,该值为空。 EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由8021x协议分配的组播地址01-80-c2-00-00-03。
如果是windows sever:
PPTP 1723
L2TP 1701
Internet Authentication Service(Internet 验证服务)
Internet Authentication Service (IAS) 对使用 设备、远程访问设备 (RAS) 或 8021X 无线和以太网/交换机接入点连接到网络(LAN 或远程)的用户执行集中身份验证、授权、审核和记帐。IAS 实现了 Internet 工程任务组 (IETF) 标准 RADIUS 协议(此协议启用异类网络访问设备)。
系统服务名称 IAS
应用程序协议 协议 端口
Legacy RADIUS
UDP
1645
Legacy RADIUS
UDP
1646
属于远程访问技术,简单地说就是利用公用网络架设专用网络。网关通过对数据包的加密和数据包目标地址的转换实现远程访问。可通过服务器、硬件、软件等多种方式实现。
有两种协议:
1、点对点隧道协议(PPTP) ,PPTP协议使用 1723 TCP端口号。
2、第2层隧道协议(L2TP) ,L2TP协议使用 500 TCP端口号。
过去,微软一直以在 *** 作系统上捆绑许多额外特性而著称,这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式,使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。
在Windows 2003中,两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装,并且这两个服务是在两个新的账户下运行,新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时,这种革新将直接改善服务器的安全性。
与IIS和Telnet上的服务账户改进一起,Windows 2003还包含了大量的新的安全特性,也许,这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。
新的安全特性
1.Internet连接防火墙(ICF)ICF是一个软件防火墙,它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作,给用户的关键的基础设施增加了一层保护。
2.软件限制策略软件限制策略使用策略和强制执行机制,来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段,以防止用户执行那些不是该公司标准用户软件套件中的程序。
3.网页服务器的安全性当装载了IIS 60的默认安装时,网页服务器的安全性将达到最大化。新的IIS 60安全特性包括可选择的加密服务,高级的摘要认证以及可配置的过程访问控制。
4.新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录(AD)提供了更高级的保护。
5.改善了以太局域网和无线局域网的安全性不论连接的介质是什么,基于IEEE 8021X规范改进了以太局域网和无线局域网的安全性,促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册,使得能够对传统的位于或者横跨公共场所的网络进行访问控制,例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)。
6.凭证管理器对于所有的用户凭证,包括口令密码和X509证书,凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。
7.Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问。对于不同的连接类型,例如拨号上网,虚拟专用网(***s)以及防火墙连接,该服务都是很实用的。
8.FIPS——广为认可的内核模式加密算法联邦信息处理标准(FIPS)算法支持SHA-1、DES、3DES和一个随机数发生器。这种政府级的加密模式用于加密通过***使用第二层隧道协议(L2TP)和IP安全(IPSec)建立的连接,这种连接或是从客户端到服务器,或是从服务器到服务器,或是从网关到网关。
9.改进的SSL客户端认证安全套接字层(SSL)客户端认证的改进使得会话速度可以提高35%,而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证,从而减少应用程序服务器上的网络通信量和CPU工作周期。
10.增强的EFS加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。
除了这些新的安全特性之外,微软已经发行了一个安全配置管理器,用于将整个 *** 作系统的安全选项集合成一个管理控制台。
安全配置规则
一、物理安全
服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。
二、停止Guest帐号
在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。
三、限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。
四、多个管理员帐号
管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。
同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。
五、管理员帐号改名
在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。
不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。
六、陷阱帐号
和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
七、更改文件共享的默认权限
将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
八、安全密码
安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。
九、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
十、使用NTFS分区
比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。
十一、防病毒软件
Windows *** 作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
十二、备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上,那样的话还不如不做备份。(二) Windows Server 2003的安全结构体系 Windows Server 2003是目前最为成熟的网络服务器平台,安全性相对于Windows 2000有很大的提高,本节就从Windows 2003的安全结构体系入手,带领大家学习Windows 2003的安全结构特性。
LSA组件概述身份验证
1.LSA组件概述身份验证是通过基于密码的事务处理来实现的,其中涉及Kerberos或者经典NT LanMan(NTLM)Challenge-Response(质询-响应)。Windows 2003使用名为“安全描述符”的特殊数据结构来保护资源。安全描述符指出谁能访问一个资源,以及他们能对这个资源采取什么 *** 作。所有进程都由定义了用户安全上下文的“访问令牌”来进行标识。审核由安全系统中的特殊功能完成,它们能记录对安全记录的访问。
在本地安全机构(Local Security Authority,LSA)组件中,包含作为Windows Executive一部分来执行的“核心模式”服务,以及对客户端-服务进程(比如交互式登录和网络访问权限的授予)进行控制的“用户模式”服务。LSA中的用户模式安全服务包含在两个可执行程序中,即“本地安全机构子系统(Local Security Subsystem,LSASSEXE)”以及Winlogonexe。LSASS容纳着以下进程:
(1)Kerberos KDC。该服务提供Kerberos身份验证和票证授予服务。它使用AD来存储安全身份凭据。
(2)NTLM安全性支持提供者。它支持所有下级客户端以及非域成员的现代Windows客户端。
(3)Netlogon。处理来自下级客户的“直通(Pass-Through)”式身份验证,从而提供对经典NT身份验证的支持。但不支持Kerberos事务处理。在基于AD的域控制器上,它负责注册DNS记录。
(4)IPSec。这个服务管理IP Security连接策略和IPSec Internet Key Exchange(IKE)。
(5)保护性存储(Protected Storge)。这个服务负责加密并安全存储与PKI子系统关联的证书。
LSA组件的“封装”
2.LSA组件访问一个服务器上的安全资源时,对这个所将发生的安全事务处理进行管理的服务称为“封装”或者“包”。有两种类型的封装:身份验证封装和安全性封装。
(1)身份验证封装。Microsoft提供了Kerberos和MSV1_0(质询-响应)两种身份验证封装。Windows支持源于DOS的客户端(Windows Me以下)所用的LanMan(LM)质询-响应,以及NT客户端和非域成员的现代Windows客户端所用的NT LanMan(NTLM)质询-响应。
(2)经典安全性数据库。NTLM身份验证将安全信息存储在注册表的3个数据库中。①builtin:这个数据库包含Administraotr和Guest两个默认的用户账户,另外还有各个默认组,如用于域的Domain Users及用于工作站和独立服务器的Power User组。Builtin账户包含在SAM注册表分支中。②安全账户管理器(SAM):这个数据库包含了本地用户和组账户。③LSA:这个数据库包含了计算机的密码规则、系统策略以及可信账户。LSA数据库包含在Security Registry分支中,这个分支也包含了SAM数据库的一个副本。
Windows得登录身份凭据
3.WINLOGONLSA需要某种机制从用户处获得登录身份凭据。负责获取这些身份凭据的可执行程序就是Windows exe,当按下Ctrl+Alt+Del组合键时,就调用 Winlogon exe。Winlogon所提供的窗口来源于一个名为“图形标识和身份验证”的DLL。用户登录时,LSA会构建一个访问令牌,用身份安全系统描述这个用户。由用户所有的一个进程在尝试访问一个安全对象时,安全性参考监视器(SRM)会将安全描述中的SID与用户访问令牌中的SID进行比较,并依此得出用户的访问权限集合。用户连接到一个服务器时,服务器上的LSASS必须建立代表该用户的一个本地访问令牌,并将令牌附加到用户的进程上。LSASS通过两种方式以获取构建这个本地访问令牌所需的信息:
· 如果是Kerberos身份验证,它从客户端出示的Kerberos会话票证的Authorization Data字段中获取信息。
· 如果是NTLM身份验证,它从一个域控制器获取信息,这是作为“直通”式身份验证过程的一部分来完成的。
LSA工作过程
4.LSA工作过程概述(1)Windows从用记收集登录身份信息。
(2)LSASS获取这些身份凭据,并在Kerberos或者NTLM的帮助(通过MSV1_))下使用这些凭据来验证用户的身份。这是“身份验证”阶段。
(3)LSASS构建一个访问令牌,它定义用户的访问权限和系统权限。
(4)安全性参考监视器(Security Reference Monitor,SRM)将这个令牌与对象的安全描述符中的访问控制列表(Access Control List,ACL)进行比较,判断是否允许用户访问。这是“授权”阶段。
(5)最后,LSASS和SRM配合,监视对安全对象的访问,并生成报告来记录部分或者全部事件。这是“审核”阶段。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)