Web服務器的日常維護是網管的一項重要工作，主要工作有：入侵檢測、數據備份、服務器優化、常見故障處理以及日志安排等一系統日常維護，服務器管理工作必須規范嚴謹。

    一、入侵檢測和數據備份
    （一）入侵檢測工作
    作為服務器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應用到安全方面也就是說系統的安全性取決于系統中最脆弱的地方，這些地方是日常的安全檢測的重點所在。
    日常的安全檢測
    日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行：
    1、查看服務器狀態：
    打開進程管理器，查看服務器性能，觀察CPU和內存使用狀況。查看是否有CPU和內存占用過高等異常情況。
    2、檢查當前進程情況
    切換“任務管理器”到進程，查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程，可以在網絡上搜索一下該進程名加以確定。通常的后門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1]
    3、檢查系統帳號
    打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。
    4、查看當前端口開放情況
    使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經允許的端口與外界在通信。如有，立即關閉該端口并記錄下該端口對應的程序并記錄，將該程序轉移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務管理器結束該進程，對于采用了守護進程的后門等程序可嘗試結束進程樹，如仍然無法結束，在注冊表中搜索該程序名，刪除掉相關鍵值，切換到安全模式下刪除掉相關的程序文件。
    5、檢查系統服務
    運行services.msc，檢查處于已啟動狀態的服務，查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什么，如果確定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件并且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然后測試下各種應用是否正常。對于一些后門由于采用了hook系統API技術，添加的服務項目在服務管理器中是無法看到的，這時需要打開注冊表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services項進行查找，通過查看各服務的名稱、對應的執行文件來確定是否是后門、木馬程序等。
    6、查看相關日志
    運行eventvwr.msc，粗略檢查系統中的相關日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”，在“篩選器”中設置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。
    7、檢查系統文件
    主要檢查系統盤的exe和dll文件，建議系統安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關系統文件是否被替換或系統中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。
    8、檢查安全策略是否更改
    打開本地連接的屬性，查看“常規”中是否只勾選了“TCP/IP協議”，打開“TCP/IP”協議設置，點“高級”==》“選項”，查看“IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發生更改。
    9、檢查目錄權限
    重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:; c:winnt; C:winntsystem32; c:winntsystem32/inetsrv;
c:winntsystem32/inetsrvdata; c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權限是否做過變動。檢查system32
下的一些重要文件是否更改過權限，包括：cmd，net，ftp，tftp，cacls等文件。
    10、檢查啟動項
    主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。
    發現入侵時的應對措施
    對于即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞，先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統遭受到破壞后應立即采取以下措施：
    視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理，在發現入侵的第一時間通知機房關閉服務器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如采用遠程處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器，重新啟動之后再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。
    以下處理措施針對用戶站點被入侵但未危及系統的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全：
    站點根目錄----只給administrator讀取權限，權限繼承下去。
    wwwroot ------給web用戶讀取、寫入權限。高級里面有刪除子文件夾和文件權限
    logfiles------給system寫入權限。
    database------給web用戶讀取、寫入權限。高級里面沒有刪除子文件夾和文件權限
    如需要進一步修改，可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權限，對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日志，找出漏洞原因，協助用戶修補程序漏洞。
    （二）數據備份和數據恢復
    數據備份工作大致如下：
    1、每月備份一次系統數據。
    2、備份系統后的兩周單獨備份一次應用程序數據，主要包括IIS、serv-u、數據庫等數據。
    3、確保備份數據的安全，并分類放置這些數據備份。因基本上采用的都是全備份方法，對于數據的保留周期可以只保留該次備份和上次備份數據兩份即可。
    數據恢復工作：
    1、系統崩潰或遇到其他不可恢復系統正常狀態情況時，先對上次系統備份后發生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統后再恢復這些更改。
    2、應用程序等出錯采用最近一次的備份數據恢復相關內容。

    二、服務器性能優化
    1、整理系統空間：
    刪除系統備份文件，刪除驅動備份，刪除不用的輸入法，刪除系統的幫助文件，卸載不常用的組件。最小化C盤文件。
    2、性能優化：
    刪除多余的開機自動運行程序；
    減少預讀取，減少進度條等待時間；
    讓系統自動關閉停止響應的程序；
    禁用錯誤報告,但在發生嚴重錯誤時通知；
    關閉自動更新,改為手動更新計算機；
    啟用硬件和DirectX加速；
    禁用關機事件跟蹤；
    禁用配置服務器向導；
    減少開機磁盤掃描等待時間；
    將處理器計劃和內存使用都調到應用程序上；
    調整虛擬內存；
    內存優化；
    修改cpu的二級緩存；
    修改磁盤緩存。
    IIS性能優化
    1、調整IIS高速緩存
    HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范圍是從0道4GB，缺省值為3072000（3MB）。一般來說此值最小應設為服務器內存的10%。IIS通過高速緩存系統句柄、目錄列表以及其他常用數據的值來提高系統的性能。這個參數指明了分配給高速緩存的內存大小。如果該值為0，那就意味著“不進行任何高速緩存”。在這種情況下系統的性能可能會降低。如果你的服務器網絡通訊繁忙，并且有足夠的內存空間，可以考慮增大該值。必須注意的是修改注冊表后，需要重新啟動才能使新值生效。
    2、不要關閉系統服務: “Protected Storage”
    3、對訪問流量進行限制
    （1）對站點訪問人數進行限制
    （2）站點帶寬限制。保持HTTP連接。
    （3）進程限制, 輸入CPU的耗用百分比
    4、提高IIS的處理效率
    應用程序設置”處的“應用程序保護”下拉按鈕，從彈出的下拉列表中，選中“低（IIS進程）”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題，不值得推薦。
    5、將IIS服務器設置為獨立的服務器
    （1）提高硬件配置來優化IIS性能
        硬盤：硬盤空間被NT和IIS服務以如下兩種方式使用：一種是簡單地存儲數據；另一種是作為虛擬內存使用。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能
    （2）可以把NT服務器的頁交換文件分布到多個物理磁盤上，注意是多個“物理磁盤”，分布在多個分區上是無效的。另外，不要將頁交換文件放在與WIndows NT引導區相同的分區中
    （3）使用磁盤鏡像或磁盤帶區集可以提高磁盤的讀取性能
    （4）最好把所有的數據都儲存在一個單獨的分區里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務器數據的分區中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區。
    6、起用HTTP壓縮
    HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、Javas cript或CSS文件。可使用pipeboost進行設置。
    7、起用資源回收
    使用IIS5 Recycle定時回收進程資源。
    三、服務器常見故障排除
    1、ASP“請求的資源正在使用中”的解決辦法：
    該問題一般與殺毒軟件有關，在服務器上安裝個人版殺毒軟件所致。出現這種錯誤可以通過卸載殺毒軟件解決，也可嘗試重新注冊vbs cript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
    2、ASP500錯誤解決辦法：
    首先確定該問題是否是單一站點存在還是所有站點存在，如果是單一站點存在該問題，則是網站程序的問題，可打開該站點的錯誤提示，把IE的“顯示友好HTTP錯誤”信息取消，查看具體錯誤信息，然后對應修改相關程序。如是所有站點存在該問題，并且HTML頁面沒有出現該問題，相關日志出現“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。錯誤是 ‘不支持此接口‘”。那十有八九是服務器系統中的ASP相關組件出現了問題，重新啟動IIS服務，嘗試是否可以解決該問題，無法解決重新啟動系統嘗試是否可解決該問題，如無法解決可重新修復一下ASP組件：首先刪除com組件中的關于IIS的三個東西，需要先將屬性里的高級中“禁止刪除”的勾選取消。
    命令行中，輸入“cd winntsystem32inetsrv”字符串命令，單擊回車鍵后，再執行“rundll32 wamreg.dll,CreateIISPackage”命令，接著再依次執行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新啟動一下計算機操作系統，這樣IIS服務器就能重新正確響應ASP腳本頁面了。
    3、IIS出現105錯誤：
    在系統日志中“服務器無法注冊管理工具發現信息。管理工具可能無法看到此服務器” 來源：w3svc ID：105
    解決辦法：在網絡連接中重新安裝netbios協議即可，安裝完成之后取消掉勾選。
    4、MySQL服務無法啟動【錯誤代碼1067】的解決方法
    啟動MySQL服務時都會在中途報錯！內容為：在 本地計算機 無法啟動MySQL服務 錯誤1067：進程意外中止。
    解決方法：查找Windows目錄下的my.ini文件，編輯內容（如果沒有該文件，則新建一個），至少包含basedir，datadir這兩個基本的配置。
    [mysqld]
    # set basedir to installation path, e.g., c:/mysql
    # 設置為MYSQL的安裝目錄
    basedir=D:/www/WebServer/MySQL
    # set datadir to location of data directory,
    # e.g., c:/mysql/data or d:/mydata/data
    # 設置為MYSQL的數據目錄
    datadir=D:/www/WebServer/MySQL/data
    注意，我在更改系統的temp目錄之后沒有對更改后的目錄給予system用戶的權限也出現過該問題。
    5、DllHotst進程消耗cpu 100%的問題
    服務器正常CPU消耗應該在75%以下，而且CPU消耗應該是上下起伏的，出現這種問題的服務器，CPU會突然一直處100%的水平，而且不會下降。查看任務管理器，可以發現是DLLHOST.EXE消耗了所有的CPU空閑時間，管理員在這種情況下，只好重新啟動IIS服務，奇怪的是，重新啟動IIS服務后一切正常，但可能過了一段時間后，問題又再次出現了。
    直接原因：
    有一個或多個ACCESS數據庫在多次讀寫過程中損壞， MDAC系統在寫入這個損壞的ACCESS文件時，ASP線程處于BLOCK狀態，結果其他線程只能等待，IIS被死鎖了，全部的CPU時間都消耗在DLLHOST中。
    解決辦法：
    把數據庫下載到本地，然后用ACCESS打開，進行修復操作。再上傳到網站。如果還不行，只有新建一個ACCESS數據庫，再從原來的數據庫中導入所有表和記錄。然后把新數據庫上傳到服務器上。
    6、Windows installer出錯：
    在安裝軟件的時候出現“不能訪問windows installer 服務。可能你在安全模式下運行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯系以獲得幫助” 如果試圖重新安裝InstMsiW.exe，提示：“指定的服務已存在”。
    解決辦法：
    關于installer的錯誤，可能還有其他錯誤提示，可嘗試以下解決辦法：
    首先確認是否是權限方面的問題，提示信息會提供相關信息，如果是權限問題，給予winnt目錄everyone權限即可[安裝完把權限改回來即可]。如果提示的是上述信息，可以嘗試以下解決方法：運行“msiexec /unregserver”卸載Windows Installer服務，如果無法卸載可使用
SRVINSTW進行卸載，然后下載windows installer的安裝程序[地址：http://www.newhua.com/cfan/200410/instmsiw.exe]，用winrar解壓該文件，在解壓縮出來的文件夾里面找到msi.inf文件，右鍵單擊選擇“安裝”，重新啟動系統后運行“msiexec /regserver”重新注冊Windows Installer服務。
    四、服務器管理
    （一）服務器日常管理安排
    服務器管理工作必須規范嚴謹，尤其在不是只有一位管理員的時候，日常管理工作包括：
    1、服務器的定時重啟。每臺服務器保證每周重新啟動一次。重新啟動之后要進行復查，確認服務器已經啟動了，確認服務器上的各項服務均恢復正常。對于沒有啟動起來或服務未能及時恢復的情況要采取相應措施。前者可請求托管商的相關工作人員幫忙手工重新啟動，必要時可要求讓連接上顯示器確認是否已啟動起來；后者需要遠程登陸上服務器進行原因查找并根據原因嘗試恢復服務。
    2、服務器的安全、性能檢查，每服務器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結果要求進行登記在冊。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關工具。對于臨時需要從網絡上找的工具，首先將IE的安全級別調整到高，然后在網絡上進行查找，不要去任何不明站點下載，盡量選擇如華軍、天空等大型網站進行下載，下載后確保當前殺毒軟件已升級到最新版本，升級完畢后對下載的軟件進行一次殺毒，確認正常后方能使用。對于下載的新工具對以后維護需要使用的話，將該工具保存到e:tools下，并在該目錄中的readme.txt文件中做好相應記錄，記錄該工具的名稱，功能，使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設置解壓密碼。
    3、服務器的數據備份工作，每服務器至少保證每月備份一次系統數據，系統備份采用ghost方式，對于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每服務器至少保證每兩周備份一次應用程序數據，每服務器至少保證每月備份一次用戶數據，備份的數據固定存放在e:databak文件夾，針對各種數據再建立對應的子文件夾，如serv-u用戶數據放在該文件夾下的servu文件夾下，iis站點數據存放在該文件夾下的iis文件夾下。
    4、服務器的監控工作，每天正常工作期間必須保證監視所有服務器狀態，一旦發現服務停止要及時采取相應措施。對于發現服務停止，首先檢查該服務器上同類型的服務是否中斷，如所有同類型的服務都已中斷及時登陸服務器查看相關原因并針對該原因嘗試重新開啟對應服務。
    5、服務器的相關日志操作，每服務器保證每月對相關日志進行一次清理，清理前對應的各項日志如應用程序日志、安全日志、系統日志等都應選擇“保存日志”。所有的日志文件統一保存在e:logs下，應用程序日志保存在e:logsapp中，系統程序日志保存在e:logssys中，安全日志保存在e:logssec中。對于另外其他一些應用程序的日志，也按照這個方式進行處理，如ftp的日志保存在e:logsftp中。所有的備份日志文件都以備份的日期命名，如20050824.evt。對于不是單文件形式的日志，在對應的記錄位置下建立一個以日期命名的文件夾，將這些文件存放在該文件夾中。
    6、服務器的補丁修補、應用程序更新工作，對于新出的漏洞補丁，應用程序方面的安全更新一定要在發現的第一時間給每服務器打上應用程序的補丁。
    7、服務器的隱患檢查工作，主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結果必須做好記錄。
    8、不定時的相關工作，每服務器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。
    9、定期的管理密碼更改工作，每服務器保證至少每兩個月更改一次密碼，對于SQL服務器由于如果SQL采用混合驗證更改系統管理員密碼會影響數據庫的使用則不予修改。
    相關建議：對每服務器設立一個服務器管理記載，管理員每次登陸系統都應該在此中進行詳細的記錄，共需要記錄以下幾項：登入時間，退出時間，登入時服務器狀態[包含不明進程記錄，端口連接狀態，系統帳號狀態，內存/CPU狀態]，詳細操作情況記錄[詳細記錄下管理員登陸系統后的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄，然后將這些記錄按照各服務器歸檔，按時間順序整理好文檔。
    對于數據備份、服務器定時重啟等操作建議將服務器分組，例如分成四組，每月的周六晚備份一組服務器的數據，每周的某一天定時去重啟一組的服務器，這樣對于工作的開展比較方便，這些屬于固定性的工作。另外有些工作可以同步進行，如每月一次的數據備份、安全檢查和管理員密碼修改工作，先進行數據備份，然后進行安全檢查，再修改密碼。對于需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作，這些屬于即時性的工作，但是原則上即時性的工作不能影響固定工作的安排。
    （二）管理員日常注意事項
    在服務器管理過程中，管理員需要注意以下事項：
    1、對自己的每一次操作應做好詳細記錄，具體見上述建議，以便于后來檢查。
    2、努力提高自身水平，加強學習

硬件維護
    1、儲存設備的擴充
    當資源不斷擴展的時候，服務器就需要更多的內存和硬盤容量來儲存這些資源。所以，內存和硬盤的擴充是很常見的。增加內存前需要認定與服務器原有的內存的兼容性，最好是同一品牌的規格的內存。如果是服務器專用的ECC內存，則必須選用相同的內存，普通的SDRAM內存與ECC內存在同一臺服務器上使用很可能會引起統嚴重出錯。在增加硬盤以前，需要認定服務器是否有空余的硬盤支架、硬盤接口和電源接口，還有主板是否支持這種容量的硬盤。尤其需要注意，防止買來了設備卻無法使用。
    2、設備的卸載和更換
    卸載和更換設備時的問題不大，需要注意的是有許多品牌服務器機箱的設計比較特殊，需要特殊的工具或機關才能打開，在卸機箱蓋的時候，需要仔細看說明書，不要強行拆卸。另外，必須在完全斷電、服務器接地良好的情況下進行，即使是支持熱插拔的設備也是如此，以防止靜電對設備造成損壞。
    3、除塵
    塵土是服務器最大的殺手，因此需要定期給服務器除塵。對于服務器來說，灰塵甚至是致命的。除塵方法與普通PC除塵方法相同，尤其要注意的是電源的除塵。
軟件維護
    1、操作系統的維護
    操作系統是服務器運行的軟件基礎，其重要性不言自明。多數服務器操作系統使用Windows NT或Windows 2000 Server作為操作系統，維護起來還是比較容易的。
    在Windows NT或Windows 2000 Server打開事件查看器，在系統日志、安全日志和應用程序日志中查看有沒有特別異常的記錄。現在網上的黑客越來越多了，因此需要到微軟的網站上下載最新的Service Pack(升級服務包)安裝上，將安全漏洞及時補上。
    2、網絡服務的維護
    網絡服務有很多，如WWW服務、DNS服務、DHCP服務、SMTP服務、FTP服務等，隨著服務器提供的服務越來越多，系統也容易混亂，此時可能需要重新設定各個服務的參數，使之正常運行。
    3、數據庫服務
    數據庫經過長期的運行，需要調整數據庫性能，使之進入最優化狀態。數據庫中的數據是最重要的，這些數據庫如果丟失，損失是巨大的，因此需要定期來備份數據庫，以防萬一。
    4、用戶數據
    經過頻繁使用，服務器可能存放了大量的數據。這些數據是非常寶貴的資源，所以需要加以整理，并刻成光盤永久保存起來，即使服務器有故障，也能恢復數據。

來源：巨靈鳥 歡迎分享本文