怎樣才能做好一個服務器管理員?作爲一個服務器管理員,日常應該做些什麼?包括服務器系統管理、磁盤和數據管理、安全管理、硬件資源的維護與管理、軟件管理等十二項。
1.服務器系統管理
總體來說,服務器系統的管理是整個網絡管理工作中的重中之重,特別是在小型單位網絡中,單位的網絡規模比較小,網絡設備比較簡單,基本上是屬於傻瓜式的。
這裏的服務器系統包括網絡服務器和應用服務器系統兩個方面。服務器系統的管理是整個網絡管理工作中最重要的部分,因爲它是整個網絡的核心所在,無論是網絡操作系統本身,還是各種網絡服務器和應用服務器。
具體來說,服務器系統管理主要是安裝、配置和管理網絡操作系統、文件服務器、DNS、WINS、DHCP等網絡服務器,以及像Web、FTP、E-mail、RAS、NAT等應用服務器。服務器系統管理的最終目標,就是要確保服務器各種協議和服務工作正常,確保服務器的各項性能指標正常發揮。另外,還需要及時地更新服務器系統的版本或補丁程序,這不僅關係到服務器的性能發揮,而且還關係到整個網絡系統的安全性,因爲現在的操作系統不斷有新的安全漏洞被發現,及時安裝補丁可以有效地阻止、填補這些安全漏洞。
目前在服務器系統管理方面的重點與難點當然是各種網絡操作系統的管理了。在這其中又包括各種不同版本的主流Windows、Linux和UNIX網絡操作系統的管理了。而每個系統中所包括的具體管理工作又非常多,非常複雜,但這些又是網絡管理員所必須掌握的。至少,在大多數中小型企業中,網絡管理員應該掌握主流的Windows和Linux網絡操作系統的管理了。在一些較大企業,或者一些特殊行業(如金融、證券和保險等)中,UNIX、Linux系統又是最普遍採用的,所以UNIX和Linux系統管理對於專業網絡管理員來說,又是必須要掌握的。當然,像其他應用服務器的管理也是非常重要,而且必須掌握。
2.關鍵設備的維護與管理
這也是整個網絡管理中的重點之一,同時也是非常重要的工作,特別是在網絡規模比較大,網絡設備比較高檔的單位網絡中。因爲單位網絡系統更依賴這些關鍵設備的正常工作。
計算機網絡的關鍵設備一般包括網絡的核心交換機、核心路由器和服務器,它們是網絡中的“節點”。對這些節點的維護和管理,除了需要經驗積累外,還可以通過一些專門的網絡管理系統來監視其工作狀態,以便及時發現問題,及時進行維護和故障排除。
另外,爲了提高網絡的可用性,對一些關鍵設備進行冗餘配置也是必不可少的。冗餘包括兩層含義,一是從端口角度進行,如對關鍵設備(如服務器、核心交換機)採取冗餘鏈路連接,這樣當其中一個端口出現故障時,另一個冗餘鏈路就可以接替故障鏈路繼續保持正常工作狀態;另一層含義是對配置雙份的設備或部件,如服務器中的電源、風扇、網卡,甚至內存等,核心交換機和路由器也可以配置兩個。在正常工作時,這些冗餘設備或部件起到負載均衡的作用,而在某部分出現故障時,則又起備份的作用。
在關鍵設備維護與管理中,服務器和網絡總體性能的監控與管理是個技術重點和難點。要用到各種監控和管理工具,如流量監控工具MRTG、網絡性能和通信監控的Sniffer類工具,帶寬性能監控的Qcheck和IxChariot工具等。服務器性能方面的監控與管理還可利用操作系統自帶的性能和監控管理工具進行。
當然,網絡設備的配置與管理是整個關鍵設備維護與管理的重點與難點,這一點幾乎是所有從事網絡管理,甚至網絡工程技術人員的共識。目前在關鍵設備方面,主要是以Cisco、華爲3COM等品牌爲主,掌握這兩個主要品牌設備的配置與管理方法是網絡管理員所必需的。
3.用戶管理
用戶管理是網絡管理中的一個重點和難點,所涉及到的方面非常多,如用戶賬戶、密碼、文件和網絡訪問權限、用戶權利、用戶配置文件及用戶安全策略等。既要保證各用戶的正常工作不受影響,同時又要避免分配過高權限而給網絡安全和管理帶來不必要的安全隱患。
在網絡管理中,網絡管理員要求在保證網絡安全可靠運行的前提條件下,根據單位人員的工作職權和人員變動情況,爲每個用戶設置賬戶、密碼和分配不同的網絡訪問權限;設置Web服務器、***等遠程訪問服務器中用戶的訪問權限等;限制Web服務器可登錄的賬號數量,及時註銷過期用戶和已掛斷的撥號用戶,關閉不用的網絡服務等。
但要注意的是,在Linux和UNIX系統中,用戶管理不是集中的,因爲它們所組建的網絡是基於P2P(對等)模式的,除非用其他工具來實現模擬的域管理;而Windows系統的域模式中,可以組建基於C/S(客戶機/服務器)模式的域網絡,可以進行集中用戶管理,這就是Windows域網絡的一個重要優勢。而且在UNIX和Linux系統中,用戶管理(其他管理也基本上一樣)基本上是基於命令符的終端模式進行的,初學者難以掌握,而Windows系統中的管理基本上是以圖形界面模式進行的,比較容易掌握。
4.文件系統管理
網絡中的文件系統管理是整個網絡管理中最重要的部分之一,它不僅涉及到各用戶的正常工作和網絡應用,同時還關係到整個網絡系統的安全性能。對於網絡管理員來說,在文件系統管理中所做的工作主要有以下幾個方面
首先,要根據企業網絡應用的需要選擇適當的網絡操作系統,部署相應的文件服務器系統、DFS(Distributed File System,分佈式文件系統)或者NFS(Network File System,網絡文件系統)。通過這些文件服務器系統的配置,就可以實現許多高級的文件系統管理和應用,如通過文件服務器系統的安裝與配置就可時刻監視文件服務器或網絡中其他主機上的文件共享與會話連接;通過DFS的部署就可以在全網絡中部署統一的共享資源訪問點,方便共享資源的使用與管理;通過NFS的部署,就可以實現與其他系統類型網絡(如Linux和UNIX系統)的文件相互訪問機制。這些都是與文件系統管理有關的服務器系統,必須熟練掌握。
其次,要爲各用戶設置必要的文件夾共享權限,以及文件和文件夾的安全訪問權限。當然不同類型文件格式的文件和文件夾所能配置的權限不一樣。在文件格式上,Windows NT平臺有FAT(File Allocation Table,文件分配表)和NTFS(New Technology File System,新技術文件系統)文件系統。NTFS是Windows NT平臺所提供的高性能、高可靠性和高安全性的網絡文件系統,在新操作系統中儘量採用。而在Linux系統中目前主要有ext2和ext3文件類型,建議採用最新版本的ext3格式。
最後,需要定期檢查服務器文件系統的安全性,最好在組策略中設置文件權限更改方面的審覈策略,以便及時發現文件系統權限的非法更改,並予以糾正。
5.磁盤和數據管理
磁盤與數據管理同樣是整個網絡管理工作中非常重要的方面,特別是在大型、外資企業中。在磁盤管理方面主要包括磁盤系統的基本操作與管理,如磁盤格式化,磁盤的分區、盤符的分配與調整,文件系統轉換,基本/動態磁盤類型的轉換,RAID(Redundant Array of Inexpensive Disks,獨立磁盤冗餘陣列)的配置,以及用戶磁盤配額的配置與管理等。
數據管理目前在整個網絡管理的重要性更加突出了,因爲現代企業網絡中保存了大量的企業數據,包括日常的辦公文檔、電子表格、產品資料、產品數據庫、財務數據庫和營銷數據庫等。這些數據在一定程度上可能關係到企業的生存與發展。
爲了確保企業數據的安全,除了必須配備強大而又安全的殺病毒軟件系統外,RAID是非常必要的,一方面其可以起到加速磁盤讀寫速率,提高磁盤讀寫效率的作用,更重要的是其可以起到保護數據安全的作用,因爲有些RAID類型具有鏡像,或者奇偶校驗功能,通過它們就可以對故障磁盤上的數據進行恢復。另外,在企業網絡中,還要防止因電源故障而出現的文件丟失,這時就要用到UPS(Uninterruptible Power Supply,不間斷電源供應),還可能需要爲關鍵的服務器配備冗餘電源、電源風扇部件。
確保數據安全的最後一道防線就是制定一套行之有效的容災方案。在預防災難的計劃中,網絡管理員不應將自己的思維侷限在普通的問題上,應該考慮得更廣泛一些。設想發生了自然災害,如地震、火災等將整個網絡全部摧毀,網絡管理員該如何恢復,花費多少時間,採取何種步驟進行恢復。在容災方案中一定要詳細,並通過模擬實驗對方案的可行性和有效性進行驗證。在容災方案中,其中一個重要方面就是數據備份計劃,它是關鍵中的關鍵。備份計劃應該包括如下信息:備份什麼、在哪備份、何時備份、多長時間備份一次、誰負責備份、備份載體應放在哪、多長時間檢查一次備份,以及一旦數據丟失應採取哪些措施。進行可靠的數據備份是網絡管理員最重要的工作之一,做好備份計劃後就應該認真執行。作爲網絡管理員事先要進行災難恢復計劃,過程中要每天堅持數據備份,事後要及時恢復系統,儘可能地避免數據丟失。如果是大型企業,或者有分支機構的企業,對於一些關鍵數據(如企業數據庫、E-mail和財務等),爲了確保網絡系統中文件和文件夾的有效性和安全性,還採用了異地遠程數據備份和遠程數據鏡像存儲措施,實施異地容災,這樣企業所能承受災難的能力就遠比只在當地進行數據備份強了。
6.IP地址的管理
IP地址管理是計算機網絡能夠保持高效運行的關鍵。如果IP地址管理不當,網絡很容易出現IP地址的衝突,導致合法的IP地址用戶不能正常享用網絡資源,影響網絡正常業務的開展。
目前IP地址有兩個主要版本,是IPv4和IPv6。現在普遍使用的仍是IPv4,但IPv6協議也正在開始普及,新的操作系統,如Window Vista、Windows Server 2008、RedHat Enterprise Linux AS 4.0和RedHat Enterprise Linux 5.0等都已開始支持IPv6協議了。
在小型計算機網絡中目前都是直接採用IPv4 C類地址中的192.168.0.0/16專用網絡地址段,每個IP子網可以擁有256臺計算機或網絡設備。而在大中型企業中,通常是採用A(10.0.0.0/8專用網絡地址段)或B類(172.18.0.0/12專用網絡地址段)IP地址。這些地址均無須申請,可直接使用。當然在單位網絡中,IP地址的分配通常不是嚴格按照IPv4協議中規定的類別來進行的,而通常是採用地址前綴方式重新劃分。
在IPv4協議中,IP地址的分配一般有兩種方式。
靜態IP地址分配法:對於服務器(包括域控制器及其他所有成員服務器)、經常上網的計算機和網絡設備一般給予一個固定的IP地址。
DHCP動態IP地址分配法:對於那些不經常上網或是移動性較強的計算機,可以採用動態主機配置協議(DHCP)來動態配置IP地址,以節約IP地址資源。這裏關鍵是要設置好地址池範圍。
經驗之談
對於小型企業網絡(50個用戶以內),建議採用DHCP動態IP分配方式(需要採取靜態IP地址的終端在DHCP服務器中排除即可),因爲這類網絡終端用戶比較少,完全可以通過其他方式對網絡中的各終端進行管理。而對於較大的企業網絡,則建議採取靜態IP地址分配方式,因爲如果這類網絡採取動態分配方式,則當網絡出現故障時,就很難查找故障的發生點。而對於大的企業網絡,如果用一個C類IP地址不夠用,而且有些部門長期只有少數用戶需要上網(主要是營銷部門),此時建議採取劃分子網的方法,對一些基本有固定上網用戶的部門採取靜態IP地址分配,而對那些長期只有少數用戶上網的部門採取動態IP分配方式,可以節省大量的IP地址。
7.安全管理
在網絡安全管理上,現在的企業比幾年前要求高了許多。不僅要求網絡管理員能部署防火牆、殺毒軟件系統,而且還要能對整個網絡部署一套有效的安全策略,全面保證網絡的安全。安全管理員根據實際經驗得出,最重要的部分在於用戶權利的配置、文件和文件夾共享權限和安全訪問權限的配置。可使用的管理方法有系統管理報警選項設置、事件日誌分析和安全策略審覈等。
良好的安全策略對於企業的數據、軟件和硬件是絕對重要的。在網絡安全行業內流行着這樣一條80/20法則,也就是80%的安全威脅來自網絡內部(內部危害分爲三類:操作失誤、存心搗亂及用戶無知)。要想保證網絡的安全,在做好邊界防護的同時,也要做好內部網絡的管理。網絡管理的職責之一就是定義、實施、管理和加強網絡的安全性。如果許多無關的人也可以登錄服務器,非授權的人也可以竊取或破壞信息,那麼即使最好的硬件、軟件和培訓也都變得毫無價值。
軟件安全策略的目標是
保證只有授權的用戶纔可以使用一定受限的網絡資源,預防給予過高的權限,定時檢查用戶權限和用戶組賬戶有無變更。
減小數據、服務器和網絡設備等由於受到疏忽的操作或惡意的破壞而造成的損失。對於服務器而言,錯誤操作是最大隱患。這要求網絡管理員自身要加強這方面的學習,對於用戶,網絡管理員要加強這方面的意識和操作培訓。
防止網絡中非授權的外部訪問。例如,通過Internet訪問。這是個易被忽視的內容,但對於網絡管理員這是無法原諒的粗心。要限制用戶的非法外網訪問,一方面可以通過用戶授權,另一方面還可以通過一些專用網絡管理軟件或硬件來實現,如一些代理服務器和寬帶路由器就有訪問控制的功能,要好好利用。
此外還需要注意的是對用戶的管理。當單位來了新的員工時,網絡管理員需要爲他(她)創建新的用戶賬號;當有職工調動工作崗位時,網絡管理員該爲其重新分配用戶權限;當有職工離去時,網絡管理員應該立刻刪除這個賬號與密碼。
另外,在安全管理方面,還要注意安全管理中的“木桶理論”,整個網絡的安全管理都是相互關聯和影響的,整個網絡的安全性最終取決於安全性能最差的部分,而不是那些安全管理做得最好的方面。
8.軟件管理
軟件管理包括添加新的軟件、升級現有的軟件和刪除過時的軟件。如果在服務器上安裝,最好在安裝之前做好服務器備份。如果在工作站上安裝,應該先做一個安裝測試,然後保證每一臺工作站的一致性。如果要在工作站上安裝新軟件,應該先做一個安裝測試,並記錄下每一個步驟。測試安裝在典型的工作站上是否會出現問題。如果認爲滿意,就在每一個用戶的計算機上都重複安裝過程,保證一致性。如果在每一臺工作站上都使用相同的硬件和操作系統,一致性的安裝應用程序非常簡單。如果網絡上用戶過多,可以考慮使用某些特殊的工具來生成軟件自動安裝過程。如Windows系統的“無人值守安裝”和“遠程安裝”功能就可大大減輕網絡管理員軟件安裝的負擔。
軟件永遠不可能完美,總會有這樣或那樣的問題,所以無論是操作系統還是設備的驅動程序,都應該至少每個季度檢查一次有無升級的提示,在服務器和工作站上都要進行這一項工作。有時,補丁程序本身比要解決的問題更加可怕,操作系統的補丁導致的嚴重事故比比皆是。如2003年1月25日爆發的Slammer病毒就是利用了SQL Server 2000的一個漏洞進行***的蠕蟲病毒。其實早在2002年7月,微軟就針對SQL Server 2000中1434端口的漏洞,公佈了安全補丁程序,對於微軟服務器軟件的用戶來說,只要下載了補丁程序,就可以避免這次災難。但遺憾的是,太多用戶忽視了微軟的建議。從上面的例子不難看出,安全意識的樹立,在某種意義上比安全技術本身更重要。
另外,在軟件管理方面還應對服務器中專門存放源程序文件夾的訪問權限進行嚴格限制,通常只允許系統管理員有權限訪問和使用,否則一些不自覺的用戶會在他們的計算機上安裝一些本來他們不需要的軟件。
9.硬件資源的維護與管理
在企業網絡中,網絡管理員通常需要負擔起管理服務器和全部共享網絡資源的責任,包括打印機、處理器、內存和硬盤等。在這種條件下,網絡管理員的責任是相當直接的。
在對這些網絡硬件資源的管理中,其中一項重要任務就是實施常規檢查。雖然現在複雜的網絡操作系統可以承受一定程度的問題而不至於停工,但是網絡管理員在這些非關鍵性的錯誤堆積起來並變得嚴重之前,需要週期性地檢測服務器並糾正這些錯誤。計算機系統也帶有診斷工具,但是可能需要使用比它們更復雜的專業工具,比方說Intel公司的LANDesk Management Suite或者Novell的ManageWise,可以進行更細緻的測試,並有更好的聯機幫助。網絡就是網絡管理員的陣地,網絡管理員還應對網絡內的各臺微機或各個工作站進行定期巡檢,瞭解每臺計算機的狀態,並定期保養。
在出現了硬件故障後,網絡管理員還必須承擔起故障排除和基本硬件維修的責任。這是最體現網絡管理員的技術水平、冷靜心態和邏輯思考能力的時候。隨着經驗的增長,解決問題的能力也會逐步提高。網絡管理員要了解各處可能發生的問題:時刻不忘在筆記本電腦中記下調查結果和建議;利用書籍、期刊和自學培訓等方式儘可能地積累常見問題的解決方法;當然還應該採取措施預防網絡故障的發生。網絡管理員應儘可能多地蒐集信息,並記錄在網絡文檔中。你會驚奇地發現以前的積累常常可以幫助查明某個事件的原因。
10.網絡打印機的配置和管理
在企業中,打印機是必不可少的,特別是現在網絡打印機得到廣泛應用的今天。之所以要單獨把它列出來,是因爲其在企業網絡中的位置已越來越重要,特別是在一些商務型企業中。如何有效地管理企業網絡中的打印機和打印任務,也是網絡管理員所必須面對的。這就要求網絡管理員不僅要懂得如何安裝、設置共享打印和網絡打印服務器,而且還要熟悉一些網絡打印機管理軟件的使用,設置網絡打印機的策略、共享屬性和安全規則。
11.網絡佈線的日常維護
網絡故障在相當大程度上是來自佈線系統,有經驗的網絡管理員都會知道,佈線系統看似簡單,其實其中蘊涵着豐富的經驗與技巧。做好了,在出現故障時,就能及時快速地定位故障的發生點;做不好,可能花費幾天的工夫也不一定能找到其實很明顯的故障原因。
在日常的網絡管理工作中,需要根據員工的調動與工作需要在網絡上添加新的服務器、工作站和聯網設備,替換被損壞的線纜或排除網絡線纜接頭故障等,都需要對網絡佈線系統進行維護。
1)建立網絡佈線基準文件
在線纜系統安裝後,網絡管理員使用電纜測試儀對線纜進行週期性檢測,確保佈線系統的質量。在評估認證後,將電纜測試儀存儲的測試結果複製到計算機上並打印出來,作爲網絡佈線基準文件。對於不合格或者即將不合格的線纜、模塊或水晶頭等附件進行即時更換。
2)網絡佈線故障的測試與定位
將網絡佈線系統分割爲若干個邏輯元素,每個邏輯元素包含一段固定鏈路、分線盒和跳接電纜。使用電纜測試儀逐個測試邏輯元素,若電纜測試儀顯示開路的距離,可以確定開路或短路的位置;若發現接線映射故障,多數是固定連路兩端的誤接;若是衰減存在,多數是劣質電纜。使用替代法驗證可疑元件即可。
12.網絡升級與改造
隨着網絡技術的不斷髮展和網絡應用領域的不斷拓展,無論哪個企業的網絡隨着時間的推移,都將面臨升級或改造。如在無線WLAN技術還沒有得到廣泛應用的2003年之前,企業網絡基本上都是清一色的有線以太網,而從2003年3月Intel推出了集成無線網卡的迅馳處理器以後,WLAN無線網絡技術得到了迅速發展,新技術、新標準不斷涌現,WLAN技術已從小範圍實驗走向了企業應用的前沿。現在就有許多企業在原有有線網絡中部署了WLAN無線網絡,如會議室、大堂、學校的操場和圖書館等公共場所。目前最新標準的IEEE.11n方案(還沒正式批准)已開始上市,傳輸性能達到了前所未有的300Mbps或更高,比現在主流的54Mbps IEEE 802.11g足足高出了5倍多。
還有,雖然現在絕大多數中小企業網絡都只是百兆位,但實際上千兆位以太網早在幾年前就開始普及了,原來的百兆位主幹、十兆位桌面變成了千兆位主幹、百兆位桌面,甚至是萬兆位主幹、千兆位桌面。還有如網絡電話、***網絡應用等,這些都是以前所沒有得到實質應用的,而現在卻在許多企業中廣泛應用。這些都屬於網絡升級或改造的範圍,作爲網絡管理員,必須掌握最新的網絡升級、改造技術,能根據企業自身需要提出各種可行的升級、改造方案。