對(duì)服務(wù)器“防護(hù)過(guò)度”導(dǎo)致恢復(fù)服務(wù)過(guò)程中引發(fā)一系列問(wèn)題

生產(chǎn)環(huán)境：

操作系統(tǒng)：Window Server 2008 R2

數(shù)據(jù)庫(kù)系統(tǒng):SQL Serve 2005 

Web服務(wù)器軟件:IIS 7.0

背景：收到上級(jí)紅頭文件，要求國(guó)慶節(jié)之間確保網(wǎng)絡(luò)信息運(yùn)行安全。

策略：對(duì)服務(wù)器做安全防護(hù)措施，例如：禁止遠(yuǎn)程連接，禁止遠(yuǎn)程連接數(shù)據(jù)庫(kù)，加強(qiáng)防火墻等措施。

問(wèn)題：對(duì)服務(wù)器"防護(hù)過(guò)度"導(dǎo)致無(wú)法恢復(fù)遠(yuǎn)程連接服務(wù)器，無(wú)法遠(yuǎn)程連接數(shù)據(jù)庫(kù)系統(tǒng)。

解決方式一：

首先，將對(duì)應(yīng)的所有服務(wù)和端口號(hào)開(kāi)啟，但是終端連接遠(yuǎn)程服務(wù)器時(shí)顯示拒絕登錄,如下圖所示：

遠(yuǎn)程無(wú)法連數(shù)據(jù)庫(kù)，如下圖所示：

解決上述兩個(gè)問(wèn)題：大概總共花了三個(gè)下午的時(shí)間，最終還是沒(méi)有解決。

為了平時(shí)維護(hù)的方便性，不得不想辦法解決。

解決方式二：

考慮到IIS下面掛了十幾個(gè)網(wǎng)站，先備份IIS，備份方式如下：

IIS如何配置導(dǎo)出和導(dǎo)入　　

1.導(dǎo)出配置：

1)首先打開(kāi)IIS管理器,然后選擇服務(wù)器節(jié)點(diǎn),右側(cè)選擇“共享的配置”，如下圖所示：

2)選擇“導(dǎo)出配置”，定義下導(dǎo)出的路徑，并輸入加密密碼，點(diǎn)擊“確定”按鈕，導(dǎo)出下配置，如下圖所示：

3)到設(shè)置的路徑下找到備份文件進(jìn)行保存，名稱分別為：administration.config，applicationHost.config，configEncKey.key，如下圖所示：

導(dǎo)出了配置文件，安裝系統(tǒng)和IIS后可以導(dǎo)入，在導(dǎo)入之前，建議用戶先要備份新服務(wù)器中新安裝的IIS配置，那么出現(xiàn)問(wèn)題的時(shí)候可以恢復(fù)。

2.導(dǎo)入配置：

1)打開(kāi)IIS管理器,選擇服務(wù)器節(jié)點(diǎn)，選擇“共享的配置”，勾選“啟用共享的配置”在“物理路徑”一欄，選擇要導(dǎo)入的配置文件目錄，點(diǎn)擊“應(yīng)用”，輸入導(dǎo)出時(shí)候設(shè)置好的密碼，點(diǎn)擊“確定”，如下圖所示：

2)然后重新啟動(dòng)IIS服務(wù)，如下圖所示：

3)之后再次進(jìn)入“共享的配置”去掉“啟用共享的配置”前的勾，全部選擇“是”，最后在次重啟IIS后，配置導(dǎo)入即可完成。

上述IIS的備份與恢復(fù)，是方便我們恢復(fù)操作系統(tǒng)后，可以快速恢復(fù)Web服務(wù)器IIS生產(chǎn)環(huán)境。

3.恢復(fù)操作系統(tǒng)：接下來(lái)恢復(fù)了幾年前備份好的操作系統(tǒng)，大概花費(fèi)了兩個(gè)多小時(shí)才恢復(fù)完成；登錄操作系統(tǒng)時(shí)忘記了密碼，通過(guò)破解密碼之后，又發(fā)現(xiàn)了其他的問(wèn)題，例如瀏覽器打不開(kāi)，IIS安裝不上，數(shù)據(jù)庫(kù)也安裝不上，說(shuō)明備份系統(tǒng)損壞了或是中病毒了。

解決方式三：

在上述兩種方式都無(wú)法解決的情況下，最后只有選擇重裝系統(tǒng)，其實(shí)重裝系統(tǒng)是有很大風(fēng)險(xiǎn)的，例如：服務(wù)器上有重要的數(shù)據(jù)，不能丟失；是否能快速安裝好系統(tǒng)；其實(shí)在安裝整個(gè)系統(tǒng)過(guò)程中，找驅(qū)動(dòng)程序找得最辛苦，找到之后嘗試多次才通過(guò)安裝上操作系統(tǒng)，關(guān)鍵最后一步，一定要記得通過(guò)本地硬盤啟動(dòng)。

安裝過(guò)程如下圖所示：

要成功加載驅(qū)動(dòng)程序，才可以繼續(xù)安裝下去。

到該步驟，操作系統(tǒng)已經(jīng)安裝好了。大概晚上18點(diǎn)多了，才下班回家，所以說(shuō)做技術(shù)工作，特別是運(yùn)維工作，還是挺辛苦的。

學(xué)校立三樓

路途風(fēng)景

回到家后，繼續(xù)遠(yuǎn)程配置生產(chǎn)環(huán)境：

1.安裝數(shù)據(jù)庫(kù)系統(tǒng)，一定要選擇混合式安裝：

2.安裝IIS，先備份原始IIS,其次恢復(fù)安裝操作系統(tǒng)之前的IIS備份，該過(guò)程恢復(fù)非常成功；但是恢復(fù)IIS之后，報(bào)了幾個(gè)錯(cuò)誤：

IIS安裝成功界面

上述IIS的幾個(gè)問(wèn)題，你去網(wǎng)上一查，發(fā)現(xiàn)問(wèn)題場(chǎng)景一致，但是最終解決問(wèn)題的方式完全不一樣，我是通過(guò)去掉web.conf配置文件中的"index.aspx"代碼段，才解決問(wèn)題。

今天是比較累的一天，深夜寫(xiě)博客，上面寫(xiě)的比較雜，下面做個(gè)實(shí)戰(zhàn)經(jīng)驗(yàn)總結(jié)：

1.建議采購(gòu)統(tǒng)一品牌服務(wù)器，這樣對(duì)服務(wù)器熟悉程度高，不必分散太多的精力一一來(lái)研究；

2.服務(wù)器對(duì)應(yīng)的驅(qū)動(dòng)程序從哪里可以獲取，備份到哪里，需要用時(shí)快速方便找到即可；

3.服務(wù)器對(duì)應(yīng)驅(qū)動(dòng)程序，建議云盤存一份、辦公電腦存一份、內(nèi)部FTP服務(wù)器存一份、光盤做備份、學(xué)會(huì)從官網(wǎng)下載；

4.對(duì)服務(wù)器上的數(shù)據(jù)、程序、配置文件，多做備份，最好是物理隔離備份，當(dāng)數(shù)據(jù)損壞或丟失時(shí)，方便快速恢復(fù)；

5.對(duì)服務(wù)器安裝操作系統(tǒng)之后，先安裝必須的驅(qū)動(dòng)，然后修改主機(jī)名及域，連接網(wǎng)絡(luò)，然后安裝殺毒軟件及安全衛(wèi)士，進(jìn)行快速或全盤殺毒；

6.完成上述步驟后，即可安裝數(shù)據(jù)庫(kù)系統(tǒng)，安裝數(shù)據(jù)庫(kù)選擇混合式安裝，不需要的服務(wù)盡量不要安裝，盡量不要開(kāi)啟，考慮耗資源和安全問(wèn)題；

7.安裝IIS，IIS服務(wù)很多，不需要的不必安裝,生產(chǎn)環(huán)境采用最小化安裝；

8.完成上述步驟后，即可附加數(shù)據(jù)庫(kù)，發(fā)布網(wǎng)站，要做權(quán)限最小化設(shè)置；

9.實(shí)施防護(hù)策略，必須事先要有研究和測(cè)試，實(shí)施后要有記錄，方便事后恢復(fù)；

10.建議采用虛擬機(jī)，多做測(cè)試研究，避免在生產(chǎn)機(jī)上帶來(lái)不必要的風(fēng)險(xiǎn)；

11.生產(chǎn)環(huán)境，建議最好不恢復(fù)系統(tǒng)，少安裝系統(tǒng)，要具有穩(wěn)定性、持久性；

12.專人專崗非常重要，如果行政崗兼技術(shù)崗位，長(zhǎng)期持續(xù)下去，壓力會(huì)非常大，今天站在機(jī)房度過(guò)一天，這種工作場(chǎng)景成常態(tài)了；

13.講管理、講規(guī)范、講制度、講流程、講培訓(xùn)（外出進(jìn)修）、講投入(軟硬件)等方面的工作一定要深入開(kāi)展，否則信息化建設(shè)及應(yīng)用很難為教學(xué)、科研、管理和生活服務(wù)等方面落到實(shí)處；

14.上面第13條的作用會(huì)遠(yuǎn)遠(yuǎn)大于專業(yè)技術(shù)人員本身。