H3CSecPath運維審計系統配置指南_new前言H3CSecPath運維審計系統典型配置案例集共包括10個文檔，介紹了運維審計系統常用的典型配置舉例，包含組網需求、配置步驟等內容。前言部分包含如下內容：讀者對象本書約定資料獲取方式技術支持資料意見反饋讀者對象本手冊主要適用于如下工程師：網絡規劃人員現場技術支持與維護人員負責網絡配置和維護的網絡管理員本書約定命令行格式約定格 式意 義粗體命令行關鍵字（命令中保持不變、必須照輸的部分）采用加粗字體表示。斜體命令行參數（命令中必須由實際值進行替代的部分）采用斜體表示。[]表示用“[]”括起來的部分在命令配置時是可選的。{x|y|...}表示從多個選項中僅選取一個。[x|y|...]表示從多個選項中選取一個或者不選。{x|y|...}*表示從多個選項中至少選取一個。[x|y|...]*表示從多個選項中選取一個、多個或者不選。&<1-n>表示符號&前面的參數可以重復輸入1～n次。#由“#”號開始的行表示為注釋行。圖形界面格式約定格 式意 義<>帶尖括號“<>”表示按鈕名，如“單擊<確定>按鈕”。[]帶方括號“[]”表示窗口名、菜單名和數據表，如“彈出[新建用戶]窗口”。多級菜單用“/”隔開。如多級菜單用“/”隔開。如[文件/新建/文件夾]多級菜單表示[文件]菜單下的[新建]子菜單下的[文件夾]菜單項。/各類標志本書還采用各種醒目標志來表示在操作過程中應該特別注意的地方，這些標志的意義如下：該標志后的注釋需給予格外關注，不當的操作可能會對人身造成傷害。提醒操作中應注意的事項，不當的操作可能會導致數據丟失或者設備損壞。為確保設備配置成功或者正常工作而需要特別關注的操作或信息。對操作內容的描述進行必要的補充和說明。配置、操作、或使用設備的技巧、小竅門。圖標約定本書使用的圖標及其含義如下：該圖標及其相關描述文字代表一般網絡設備，如路由器、交換機、防火墻等。該圖標及其相關描述文字代表一般意義下的路由器，以及其他運行了路由協議的設備。該圖標及其相關描述文字代表二、三層以太網交換機，以及運行了二層協議的設備。該圖標及其相關描述文字代表無線控制器、無線控制器業務板和有線無線一體化交換機的無線控制引擎設備。該圖標及其相關描述文字代表無線接入點設備。T該圖標及其相關描述文字代表無線終結單元。T該圖標及其相關描述文字代表無線終結者。該圖標及其相關描述文字代表無線Mesh設備。該圖標代表發散的無線射頻信號。該圖標代表點到點的無線射頻信號。該圖標及其相關描述文字代表防火墻、UTM、多業務安全網關、負載均衡等安全設備。該圖標及其相關描述文字代表防火墻插卡、負載均衡插卡、NetStream該圖標及其相關描述文字代表防火墻插卡、負載均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡。端口編號示例約定本手冊中出現的端口編號僅作示例，并不代表設備上實際具有此編號的端口，實際使用中請以設備上存在的端口編號為準。目錄AD域認證典型配置舉例 1簡介 1配置前提 1注意事項 1OU模式的認證典型配置舉例 6適用產品和版本 6配置思路 6配置步驟 6驗證配置 8CN模式的認證典型配置舉例 12適用產品和版本 12配置思路 13配置步驟 13驗證配置 15PAGEPAGE4AD域認證典型配置舉例簡介本章介紹運維審計系統的AD域認證配置。ADAtieDirector（活動目錄）的簡稱，也叫域服務（S。ADDSADDS將網絡元素，如用戶、計算機和其他設備整理到層次內嵌結構，內嵌層次D林、林中的域以及每個域中的組織單位（）和容器（。運行ADDS的服務器稱為域控制器，在服務器中可以創建用戶和資源管理的可伸縮、安全及可管理的基礎機構，并可以提供對啟用目錄的應用程序。配置前提準備配置環境：AD域服務器。AD域信息：域名、域賬戶和密碼、端口、IP、OU/CN等。AD域服務器協議可達。OUCN。在AD域服務器中，單擊域名即可顯示“類型”。圖1AD域管理界面示意圖注意事項2種原因造成的：1OUOU設置不對，2AD域服務器只允許1000個用戶以下。1000AD域用戶？步驟1進入AD域服務中。步驟2在[開始/運行中輸入“lD界面。圖2CMD示意圖步驟3輸入“ldappolicies”后，回車。圖圖3CMD示意圖步驟4輸入“connections”后，回車。步驟5再次輸入“connecttodomain”之后，回車。圖4CMD示意圖步驟6提示連接成功之后，輸入“quit”后，回車。步驟7再輸入“showvalues”回車之后，可以查看AD域的策略信息。可以看到maxpagesize顯示的數量默認是1000個。圖5CMD示意圖步驟8輸入“setmaxpagesizeto2000”回車后，即可將同步用戶的數量進行修改。然后使用showvalues查看即將修改的數量。PAGEPAGE5圖6CMD示意圖步驟9輸入“commitchanges”回車后即可生效。再使用showvalues查看已修改的數量。圖7CMD示意圖PAGEPAGE6步驟10輸入“quit”退出配置界面。圖8CMD示意圖OU模式的認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。配置思路DNS；AD認證；AD域用戶；AD域用戶、AD域密碼、驗證碼登錄。配置步驟準備OU信息#準備需要同步OU及OU里的用戶。basedn信息中心,ou=北京分公司,ou=XX集團,dc=baoleijiyu,dc=comPAGEPAGE7OUDC可以是大寫，也可以是小寫。逗號必須為英文逗號。AD域中的名稱編寫，大寫就是大寫，小寫就是小寫。圖9示例圖配置DNS進入[系統/系統配置/網絡配置/DNS信息]DNSIP為ADIP。圖10DNS配置頁面示意圖PAGEPAGE13DNSIPADIP。用于解析域名。配置AD認證#進入[系統/系統配置/認證配置/遠程認證]頁面。#設置AD域服務器的IP、端口、BaseDN、域名、賬戶和密碼。#單擊<保存>后即可。圖11AD域認證配置頁面示意圖驗證配置測試是否配置成功#配置完成AD域認證之后，可以單擊<測試連接>可以驗證堡壘機能連通AD域服務器。圖圖12AD域認證配置頁面示意圖同步AD域用戶#進入[用戶/用戶管理/更多操作/同步用戶]頁面中。圖圖13同步用戶頁面示意圖#單擊<同步用戶>之后，頁面上方會提示“已同步X個用戶”。圖圖14同步用戶頁面示意圖#返回[用戶/用戶管理]頁面中，可以查看到已同步成功的用戶。圖圖15用戶管理頁面示意圖使用AD域用戶、AD域密碼、驗證碼登錄#使用AD域用戶名和密碼登錄運維審計系統。圖16系統登錄頁面示意圖CN模式的認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。配置思路DNS；AD認證；AD域用戶；AD域用戶、AD域密碼、驗證碼登錄。配置步驟準備CN信息#準備CN的目的是為例確定客戶想要同步哪個CN里的用戶。UsersbasednCNDC可以是大寫，也可以是小寫。逗號必須為英文逗號。AD域中的名稱編寫，大寫就是大寫，小寫就是小寫。圖17示例圖PAGEPAGE16配置DNS進入[系統/系統配置/網絡配置/DNS配置]DNSIP為ADIP。圖18DNS配置頁面示意圖DNSIPADIP。用于解析域名。配置AD認證#進入[系統/系統配置/認證配置/遠程認證]頁面。#設置AD域服務器的IP、端口、BaseDN、域名、賬戶和密碼。#單擊<保存>后即可。圖圖19AD域認證配置頁面示意圖驗證配置測試是否配置成功#配置完成AD域認證之后，可以單擊<測試連接>可以驗證設備能連通AD域服務器。圖圖20AD域認證配置頁面示意圖同步AD域用戶#進入[用戶/用戶管理/更多操作/同步用戶]頁面中。圖圖21同步用戶頁面示意圖#單擊<同步用戶>之后，頁面上方會提示“已同步X個用戶”。圖圖22同步用戶頁面示意圖#返回[用戶/用戶管理]頁面中，可以查看到已同步成功的用戶。圖圖23用戶管理頁面示意圖使用AD域用戶、AD域密碼、驗證碼登錄#使用AD域用戶名和密碼登錄運維審計系統。圖24系統登錄頁面示意圖目錄簡介 1配置前提 1注意事項 2配置舉例 6適用產品和版本 6配置思路 6配置步驟 6準備LDAP信息 6配置DNS 7配置LDAP認證 8驗證配置 9測試是否配置成功 9同步LDAP用戶 10使用LDAP用戶、LDAP用戶的密碼、驗證碼登錄 12PAGEPAGE13簡介本章介紹運維審計系統的LDAP認證配置。LDAP是輕量\h目錄訪問協議，英文全稱是LightweightDirectoryAccessProtocol，一般都簡稱為LDAP。配置前提本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。準備配置環境：LDAP服務器。LDAP信息：域名、用戶名、密碼、端口、IP、OU/O/DC、過濾器等。LDAP服務器的端口可達。LDAP用戶屬性是“OU”還是“O”？可以利用一些LDAP管理工具，管理LDAP信息。在管理工具的界面中顯示LDAP及用戶信息。圖圖1LDAP管理工具界面示意圖注意事項如果同步失敗，則有2種原因造成的：1、OU或O設置不對；2、一般專業的LDAP服務器都帶有objectClass對象類，objectClassLDAP用戶信息。LDAPobjectClass對象類呢？（s）步驟1LDAPLDAP服務器。步驟2進入工具界面中。圖圖2LDAP管理工具示意圖步驟3找到objectClass對象類。圖圖3LDAP管理工具示意圖步驟4找到LDAP用戶所屬的objectClass對象類中的子類。圖圖4LDAP管理工具示意圖步驟5在運維審計系統中配置LDAP認證信息時，需要配置過濾器：(&(objectClass=account))。圖圖5LDAP認證配置示意圖配置舉例適用產品和版本適用于運維審計系統所有型號。配置思路DNS；LDAP認證服務器信息；LDAP用戶；LDAP用戶、LDAP用戶的密碼、驗證碼登錄運維審計系統。配置步驟準備LDAP信息#準備需要同步LDAP服務器信息。#例如：客戶有個LDAP服務器，如下圖。#那么應該準備的basedn是：ou=People,dc=example,dc=comOUDC不區分大小寫。逗號必須為英文逗號。LDAP中的名稱信息，大寫就是大寫，小寫就是小寫。圖6示例圖配置DNS#進入[系統/系統配置/網絡配置/DNS信息]頁面，編輯DNS的IP為LDAP服務器的IP。圖圖7DNS配置頁面示意圖DNSIPLDAPIP。用于解析域名。配置LDAP認證#進入[系統/系統配置/認證配置/遠程認證]頁面。#設置LDAP服務器的IP、端口、BaseDN、域名、賬戶、密碼、過濾器。#單擊<保存>后即可。圖圖8遠程認證配置頁面示意圖驗證配置測試是否配置成功#配置完成LDAP認證之后，可以單擊<測試連接>可以驗證堡壘機能連通LDAP服務器。圖圖9AD域認證配置頁面示意圖同步LDAP用戶#進入[用戶/用戶管理/更多操作/同步用戶]頁面中。#單擊<同步用戶>之后，頁面上方會提示“已同步X個用戶”。圖圖10同步用戶頁面示意圖#返回[用戶/用戶管理]頁面中，可以查看到已同步成功的用戶。圖圖11用戶管理頁面示意圖使用LDAP用戶、LDAP用戶的密碼、驗證碼登錄#使用LDAP服務器的用戶名和密碼登錄運維審計系統。圖圖12系統登錄頁面示意圖目錄簡介 1配置前提 1已將主機添加至運維審計系統中 1支持字符客戶端環境 1僅支持以下協議的主機 1注意事項 1配置舉例 1場景說明 1適用產品和版本 1配置思路 1配置步驟 2驗證配置 7PAGEPAGE1簡介本章介紹運維審計系統的SSH網關透明登錄運維配置。SSHopenSSH環境可以通過常用的字符工具實現直接登錄目標字符主機，并且運維審計系統可以進行管理和審計。配置前提已將主機添加至運維審計系統中IP及賬戶添加至運維審計系統中確保主機已授權給運維用戶支持字符客戶端環境OpenSSH環境支持蘋果、安卓、linux、unix作為字符終端僅支持以下協議的主機SSH，如：linux/unix、交換機、路由器。注意事項SSH協議的主機；SSH60022端口可達。配置舉例場景說明運維環境：蘋果系統（Linux/unix系統）目標主機：linux運維審計系統。適用產品和版本適用于運維審計系統所有型號。配置思路SSH公私鑰。key。PAGEPAGE2在運維審計系統中給當前用戶添加公鑰內容。在運維審計系統中下載“openssh將運維代理配置文件下載至蘋果系統中，并執行代理配置文件。ssh命令登錄目標主機。檢查是否被審計。配置步驟在蘋果電腦中生成SSH公私鑰對（如果本地已有SSH公私鑰，則跳過此步驟）#在蘋果電腦字符終端界面中，進入~/.ssh/目錄下。#執行“ssh-keygen-tdsa”命令生成公私鑰對，默認回車即可。圖1ssh公私鑰對示例圖PAGEPAGE8將Linux主機中添加公鑰key（如果主機中已有公鑰或者不想在主機放公鑰，則跳過此步驟）將公鑰文件(id_dsa.pub)~/.ssh/目錄下的authorized_keys（如沒有該目錄名和文件名，必須手工線創建好。#ontes&tbaes#d0auts在運維審計系統中當前用戶添加公鑰內容#把公鑰key的內容復制-粘貼至運維審計系統的用戶中。圖2運維審計系統的用戶添加公鑰內容頁面示例圖下載“代理配置文件”#進入[運維/主機運維/運維下載]中，下載“openssh代理配置下載”文件。圖3主機運維頁面示例圖#下載完成之后，將腳本放至蘋果系統中。圖圖4蘋果系統的終端界面示例圖執行“代理配置文件”#在蘋果系統字符終端界面中，執行命令“shusmssh_insll.s#然后按照提示輸入對應的運維審計系統的用戶名、IP:端口號。SSH圖圖5蘋果系統的終端界面示意圖登錄目標主機#在終端界面中，執行命令：~/.ssh/usm/usmssh進去bash環境。圖6蘋果系統的終端界面示意圖#在終端界面中，執行命令格式：ssh主機賬戶@主機IP-p端口圖圖7蘋果系統的終端界面示意圖使用SCP命令傳輸文件#進入運維審計系統的bash環境，在終端界面中，執行命令格式：scp文件路徑主機賬戶@主機IP-p端口:目標目錄路徑圖圖8蘋果系統的終端界面示意圖驗證配置#進入[運維/實時監控]頁面中，可以看到正在運維中的主機。圖9實時監控頁面示意圖#進入[審計/會話審計]頁面中，可以看到已傳輸的會話日志，單擊“播放”即可查看。圖圖10SCP會話審計頁面示意圖PAGE\*romanPAGE\*romani目錄應用中心介紹 1-1支持Windowsserver2008的版本 1-1RemoteApp應用發布介紹 1-1RemoteApp對終端的要求 1-1應用中心授權許可介紹 1-1安裝前的準備 2-1注意事項 2-1RDS授權碼 2-1應用中心安裝步驟 3-1安裝遠程桌面服務（必須步驟） 3-1應用中心激活授權（如果是測試客戶，可忽略此操作） 3-17激活應用中心 3-17安裝應用中心授權許可證 3-28調整應用中心的策略（必須步驟） 3-39調整本地組策略 3-39設置RD授權模式 3-45允許用戶在初始連接時啟動列出和未列出的程序 3-49關閉windows防火墻 3-51關閉IE增強的安全配置 3-52開啟遠程桌面 3-54關閉屏幕保護 3-56啟用屏幕保護程序超時 3-59運維審計系統與應用中心結合使用 4-60在應用中心中安裝相關的工具 4-60安裝客戶端工具 4-60安裝應用加載器 4-60RemoteApp管理器中發布“應用加載器” 4-61添加“應用中心” 4-1在主機管理中添加“應用中心” 4-1在應用管理中添加“應用中心” 4-3在運維審計系統中使用應用發布 4-5PAGE\*romanPAGE\*romanii發布plsql 4-5發布IE代填 4-7將應用授權給運維員 4-9運維員對應用運維 4-9PAGE1應用中心介紹應用中心由windowsserver2008服務器平臺搭建的。應用中心用于安裝應用程序，并能通過RemoteApp服務發布應用程序。支持Windowsserver2008的版本WindowsServer2008StandardWindowsServer2008EnterpriseWindowsServer2008DatacenterRemoteApp應用發布介紹RemoteAppWindowsServer2008之后，在其系統中集成的一項服務功能，使用戶可以RemoteApp對終端的要求由于是采用RDP協議訪問應用中心提供的應用程序，所以對終端平臺有以下要求：windows操作系統。windowsRDP6.1版本。windowsXPwindowsserver2003RDP版本，如果版本過RDP版本。應用中心授權許可介紹windowsserver2008的遠程桌面服務（RDS）進行授權許可，只有RDS授權許可成功之后，運維審計系統訪問應用中心的遠程桌面服務就沒有時間限制；未進RDS120天的使用有效期。PAGE1安裝前的準備安裝應用中心需要準備的工作。注意事項為了確保應用中心配置成功，請遵從以下的注意事項：Windowsserver2008RemoteApp服務。Windowsserver2008可以安裝在物理設備里，也可以安裝在虛擬機里。windowsserver2008操作系統，使用正確的產品IDwindowsserver2008；否則會影響應用中心的正常使用。RDS授權碼想要長期使用應用中心，須配備一套RDS授權碼。如下圖：圖1RDS授權碼示意圖示意圖中的“父級計劃”號碼和“開放式許可證詳細信息”號碼是一組無效的示例號碼；請勿使用！否則應用中心授權失敗。RDS授權碼可以向運維審計系統供應商采購，也可以直接向微軟銷售渠道采購。2-22-2默認windows的RDS安裝好之后，有120天的有效試用期，足以滿足測試試用。在章節的RDS授權碼會在第“3.2應用中心授權”中使用到。3-3-PAGE67應用中心安裝步驟本章節以WindowsServer2008R2Enterprise的配置為例。安裝遠程桌面服務（必須步驟）步驟1在windowsserver2008系統中，進入[服務器管理器/角色]窗口。圖2服務器管理器示意圖步驟2單擊<添加角色>，進入添加角色向導窗口。圖圖3添加角色向導示意圖步驟3單擊<下一步>進入選擇服務器角色窗口，勾選“遠程桌面服務”。圖圖4選擇服務器角色示意圖步驟4單擊<下一步>進入遠程桌面服務窗口。圖圖5遠程桌面服務簡介示意圖步驟5單擊<下一步>進入選擇角色服務窗口，勾選“遠程桌面會話主機”和“遠程桌面授權”服務。圖圖6選擇角色服務示意圖步驟6單擊<下一步>進入應用程序兼容性窗口。圖圖7應用程序兼容性提示示意圖步驟7單擊<下一步>進入身份驗證方法窗口，選擇“不需要使用網絡級別身份驗證”。圖圖8選擇身份驗證方法示意圖步驟8單擊<下一步>進入授權模式窗口，選擇“以后配置”。圖圖9選擇授權模式示意圖步驟9單擊<下一步>進入用戶組窗口，可在“用戶或用戶組”框添加允許遠程訪問的用戶或用戶組。圖圖10添加用戶組示意圖步驟10單擊<下一步>進入客戶端體驗窗口，不選擇任何功能項。圖圖11選擇客戶端體驗示意圖步驟11單擊<下一步>進入RD授權配置窗口，不選擇任何功能項。圖圖12RD授權配置界面示意圖步驟12單擊<下一步>進入確認窗口圖圖13確認安裝選擇示意圖步驟13單擊<安裝>進入安裝進度窗口。圖圖14安裝進度示意圖步驟14等待安裝進度完成后，自動進入安裝結果窗口，并提示需要重啟服務器才能完成安裝過程。圖圖15安裝結果示意圖步驟15單擊<關閉>后自動提示“是否希望立即重新啟動”。圖圖16是否需要重啟提示示意圖步驟16單擊<是>后，系統自動重新啟動。步驟17登錄系統后，系統自動繼續執行配置進度。圖圖17安裝進度示意圖步驟18自動完成安裝結果，單擊<關閉>即可。圖圖18安裝成功提示示意圖應用中心激活授權（如果是測試客戶，可忽略此操作）激活應用中心步驟1進入[控制面板/系統和安全/管理工具/遠程桌面服務]界面中。圖圖19遠程桌面服務管理界面示意圖步驟2雙擊<遠程桌面授權管理器>進入RD授權管理器界面，右擊計算機名稱。圖圖20RD授權管理器示意圖步驟3單擊<激活服務器>進入服務器激活向導界面。圖圖21服務器激活向導示意圖步驟4單擊<下一步>進入連接方法界面，本手冊以“Web瀏覽器”的連接方法為例。圖圖22選擇連接方法示意圖表1連接方法說明連接方法描述自動連接（推薦）使用此方法的前提是要確保應用中心能連通互聯網，否則無法進行授權許可。Web瀏覽器此方法適用于應用中心無法連通互聯網，但需要進行授權許可。找一臺能連通互聯網的windows電腦，在瀏覽器中輸入\h，進入遠程桌面服務器授權頁面進行授權許可。電話此方法適用于通過微軟的服務熱線進行電話授權許可，此方法比較繁瑣，需要提供各種詳細信息。步驟5單擊<下一步>進入許可證服務器激活界面。圖圖23許可證服務器激活示意圖表2服務器激活條件說明激活條件描述遠程桌面授權網站\h產品ID操作系統的產品ID，服務器激活向導界面會自動識別本操作系統的產品ID。許可證服務器ID許可證服務器ID是由產品ID生成的，有了許可證服務器ID才能許可證服務器激活成功。步驟6使用一臺可以連通互聯網的電腦，在瀏覽器中輸入\h進入RDS授權頁面，選擇“啟用許可證服務器”。圖圖24RDS授權頁面示意圖步驟7單擊<下一步>進入RDS信息填寫頁面，輸入應用中心的產品ID、公司名稱、國家(地區)。圖圖25RDS授權頁面示意圖表3RDS授權信息說明填寫項描述產品ID將服務器激活向導界面的產品ID填寫進去。如需查看產品<屬性>進入系統屬性界面查看。公司填寫使用用戶單位的名稱。國家(地區)選擇應用中心所在國家或地區。步驟8單擊<下一步>進入RDS授權信息確認頁面。圖圖26RDS授權頁面示意圖步驟9單擊<下一步>RDS授權一個許可證服務器ID，將其復制并保存好。圖圖27RDS授權頁面示意圖步驟10返回到應用中心里的[服務器激活向導]界面，輸入RDS授權頁面生成的許可證服務器ID。圖圖28許可證服務器激活示意圖步驟11單擊<下一步>進入正在完成服務器激活向導界面。圖圖29完成服務器激活向導示意圖步驟12如果單擊<下一步>3.2.231。如果單擊<取消>則直接退出服務器激活向導界面。安裝應用中心授權許可證步驟1在[RD授權管理器]中右擊計算機名稱。圖圖30RD授權管理器示意圖步驟2單擊<安裝許可證>進入許可證安裝向導界面。圖圖31許可證安裝向導示意圖步驟3單擊<下一步>進入獲取客戶端許可證密鑰包界面。圖圖32獲取客戶端許可證密鑰包界面示意圖表4獲取客戶端許可證密鑰包條件說明獲取條件描述遠程桌面授權網站\h許可證服務器ID許可證安裝向導界面會自動識別本操作系統的許可證服務器ID。許可證密鑰包ID許可證密鑰包ID是由許可證服務器ID、父級計劃和開放式許可證詳細信息的號碼共同生成的。在步驟6中會用到應用中心授權許可證中的父級計劃和開放式許可證詳細信息的號碼。步驟4使用一臺可以連通互聯網的電腦，在瀏覽器中輸入\h進入RDS授權頁面，選擇“安裝客戶端訪問許可證”。圖圖33RDS授權頁面示意圖步驟5單擊<下一步>進入RDS授權信息填寫頁面，輸入正確的許可證服務器ID，在許可證程序里選擇地區。圖圖34RDS授權頁面示意圖表5RDS授權信息說明填寫項描述許可證服務器ID將獲取客戶端許可證密鑰包界面的許可證服務器ID填寫進去。許可證程序選擇“開放式許可證”。公司填寫使用用戶單位的名稱。國家(地區)選擇應用中心所在國家或地區。步驟6單擊<下一步>進入RDS授權許可證信息填寫頁面，選擇“windowsserver2008R2每設備CALissr008TSALRDS授權數量、授權號碼、許可證號碼。圖圖35RDS授權頁面示意圖表6RDS授權信息說明填寫項描述許可證服務器ID將獲取客戶端許可證密鑰包界面的許可證服務器ID，此處不需要填寫。產品類型請選擇“windowsserver2008R2每設備CAL或windwosserver2008TS每設備CAL”的RD授權模式。數量填寫RDS對應的數量，數量自定義，可以根據堡壘機的資產數量填寫數量。許可證程序開放式許可證授權號碼根據應用中心授權許可證中提供的“父級計劃”號碼填寫。許可證號碼根據應用中心授權許可證中提供的“開放式許可證詳細信息”號碼填寫。步驟7單擊<下一步>進入RDS授權信息確認頁面。圖圖36RDS授權頁面示意圖步驟8單擊<下一步>RDS授權一個許可證密鑰包ID號，將其復制并保存好。圖圖37RDS授權頁面示意圖步驟9返回至獲取客戶端許可證密鑰包界面，輸入RDS授權頁面生成的許可證密鑰包ID。圖圖38服務器激活向導示意圖步驟10單擊<下一步>進入正常完成許可證安裝向導界面。圖圖39完成許可證安裝向導示意圖步驟11單擊<完成>后即可在RD授權管理器界面中看到已成功授權，并且已經變成綠色的勾勾。圖圖40RD授權管理器示意圖調整應用中心的策略（必須步驟）調整本地組策略步驟1在運行窗口中輸入“ec圖41運行窗口示意圖步驟2單擊<確定>進入[計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/連接]界面。圖圖42本地組策略示意圖步驟3雙擊<將遠程桌面服務用戶限制到單獨的遠程桌面服務會話>，在配置界面中選擇“已禁用”。圖圖43策略配置示意圖步驟4單擊<確定>即可。步驟5雙擊限制連接的數量D圖圖44策略配置示意圖步驟6單擊<確定>即可。步驟7雙擊<允許用戶使用遠程桌面服務進行遠程連接>，在配置界面中選擇“已啟用”。圖圖45策略配置示意圖步驟8單擊<確定>即可。步驟9進入[計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/會話時間限制]界面。圖圖46本地組策略示意圖步驟0雙擊圖圖47策略配置示意圖步驟11單擊<確定>即可。設置RD授權模式步驟1進入[控制面板/系統和安全/管理工具/遠程桌面服務]界面。圖圖48遠程桌面服務項示意圖步驟2雙擊<遠程桌面會話主機配置>進入配置界面。圖49授權診斷示意圖步驟3雙擊<遠程桌面授權服務器>進入配置屬性界面，選擇“每設備”模式。圖圖50授權屬性示意圖步驟4單擊<添加>進入添加許可證服務器界面，將本地服務器添加到指定的許可證服務器中。圖51添加許可證服務器示意圖步驟5單擊<確定>即可返回配置屬性界面。圖52授權屬性示意圖步驟6單擊<確定>后提示已更改系統注冊表的配置。圖53遠程桌面會話主機配置提示示意圖步驟7單擊<確定>接口生效，并可以查到配置界面已指定。圖圖54授權診斷示意圖步驟8單擊<授權診斷>可以看到“授權診斷信息-警告”中為空，表示授權設置正常。圖55授權診斷示意圖允許用戶在初始連接時啟動列出和未列出的程序步驟1進入[控制面板/系統和安全/管理工具/遠程桌面服務]界面。圖圖56遠程桌面服務項示意圖步驟2雙擊<RemoteApp管理器>進入配置界面。圖57RemoteApp管理器示意圖步驟3單擊<RD會話主機服務器配置更改>圖圖58RemoteApp部署設置示意圖步驟4單擊<確定>即可。關閉windows防火墻步驟1進入[控制面板/系統和安全/windows防火墻/自定義設置]界面，關閉windows防火墻。圖圖59Windows防火墻設置示意圖步驟2單擊<確定>即可。關閉IE增強的安全配置步驟1進入[服務器管理器]界面。圖圖60服務器管理器示意圖步驟2單擊<配置IESEC>進入IE增強的安全配置界面，將管理員和用戶禁用。圖圖61IE增強的安全配置示意圖開啟遠程桌面步驟1右擊計算機，單擊<屬性>進入系統屬性界面。圖圖62系統屬性示意圖步驟2單擊<遠程設置>(較不安全圖圖63遠程桌面設置示意圖步驟3單擊<確定>即可。關閉屏幕保護步驟1進入“控制面板”中，找到“個性化”。圖圖64控制面板示意圖步驟2雙擊<個性化>后，進入管理界面，找到“屏幕保護程序”。圖圖65個性化設置示意圖步驟3雙擊屏幕保護程序后，彈出設置窗口，在“屏幕保護程序”下拉框中選擇“無圖圖66屏幕保護程序設置示意圖步驟4單擊<確定>即可。步驟5最后，重啟應用中心！啟用屏幕保護程序超時步驟1在運行窗口中輸入“ec步驟2在本地組策略中，進入[用戶配置/管理模板/控制面板/個性化]菜單管理頁面。如果沒有[個性化]菜單項，那就找[顯示]菜單項。步驟3圖圖67屏幕保護程序超時設置示意圖運維審計系統與應用中心結合使用用于統一對應用程序進行管理和審計。在應用中心中安裝相關的工具安裝客戶端工具在應用中心中安裝需要使用的客戶端工具。如：plsql、sqlplus、SQLservermanagementstudio、MySQLQueryBrowser、VMwarevSphereClient等。安裝好之后，確保能找到可執行程序的絕對路徑，在發布應用的時候，需要填寫這些客戶端工具的路徑。安裝應用加載器步驟1進入運維審計系統的管理界面，在界面右上角單擊>按鈕，進入“工具下載”頁面。圖圖68工具下載頁面示意圖步驟2在“應用加載器”后面，雙擊<本地下載>將應用加載器下載下來，并上傳至應用中心中。步驟3然后在應用中心中默認安裝即可。圖69應用加載器安裝過程示意圖RemoteApp管理器中發布“應用加載器”步驟1在應用中心中打開RemoteApp管理器，在窗口中添加RemoteApp程序。圖圖70RemoteApp管理器界面示意圖步驟2單擊<添加RemoteApp程序>進入RemoteApp向導界面。圖圖71RemoteApp向導示意圖步驟3單擊<下一步>進入應用選擇界面，通過“瀏覽”進行查找到“應用加載器”。圖圖72RemoteApp向導示意圖步驟4單擊<下一步>提示正在添加此應用程序。圖圖73RemoteApp管理器示意圖步驟5單擊<完成>后即可發布成功。圖圖74RemoteApp管理器示意圖步驟6右擊已發布的“應用加載器”的屬性。步驟7單擊<屬性>進入屬性配置界面，選擇“允許任何命令行參數”。圖圖75RemoteApp屬性示意圖步驟8單擊<確定>后彈出提示窗口。圖76RemoteApp向導示意圖步驟9單擊<是>返回管理器界面。4-4-PAGE10添加“應用中心”在主機管理中添加“應用中心”步驟1進入運維審計系統中的[資產/主機管理]頁面。圖77主機管理頁面示意圖步驟2單擊<添加主機>進入配置頁面，填寫應用中心的IP和名稱、選擇所屬部門。圖78添加主機頁面示意圖步驟3單擊<創建主機>后提示主機已創建。圖圖79成功添加主機示意圖步驟4單擊提示信息頁面里的IP地址，進入主機帳戶管理頁面。圖80主機賬戶管理頁面示意圖步驟5單擊<添加主機帳戶>彈出新建主機帳戶窗口，添加RDP協議、自動登錄、帳戶和密碼。圖圖81新建主機帳戶頁面示意圖步驟6單擊<創建主機賬戶>即可。在應用管理中添加“應用中心”步驟1進入[資產/應用管理]頁面中。圖1應用管理頁面示意圖如果首次使用該功能，則須先添加應用中心。在頁面中會提示“還沒有應用中心，請先在應用中心管理頁面添加一臺應用中心”，否則無法進行應用發布。步驟步驟2單擊<應用服務器>進入配置頁面。圖2應用中心管理頁面示意圖步驟3單擊<添加應用服務器>進入選擇主機列表，勾選已經安裝好remoteapp的應用中心。圖3主機列表頁面示意圖步驟4單擊<確定>后即可添加成功，并自動返回應用中心管理頁面。圖圖4應用中心管理頁面示意圖在運維審計系統中使用應用發布以下以發布plsql和IE代填為例。發布plsql步驟1進入[資產/應用管理]頁面中圖5應用管理頁面示意圖已經添加了應用中心之后，在頁面中就不會提示：“還沒有應用中心，請先在應用管理頁面添加一臺應用中心”。步驟2單擊頁面右上角的<新建應用>，進入新建應用頁面，選擇應用中心賬戶、添加應用名稱、選擇應用類型、添加應用路徑、數據庫名、數據庫賬戶、數據庫密碼等。圖圖6應用中心管理頁面示意圖表7功能選項說明選項說明應用加載器用于運維人員能正常調用應用發布程序。應用中心賬戶選擇已經添加好的應用中心及賬戶。應用名稱填寫應用發布的名稱，用于運維人員能辨別目標對象。應用類型選擇需要發布的應用類型，如果無法找到對應的應用程序，則請自定義。路徑填寫應用中心中對應的應用程序的絕對路徑。目標地址目標資產的管理IP。數據庫名如果是數據庫服務器有庫名，則需要填寫對應的庫名。例如oracle的實例名登錄賬戶目標資產的管理賬戶。登錄密碼目標資產賬戶的密碼。圖標可以選擇對應的程序圖標。步驟3單擊<創建應用>即可添加成功。發布IE代填步驟1進入[資產/應用管理]頁面中。圖7應用中心管理頁面示意圖已經添加了應用中心之后，在頁面中就不會提示：“還沒有應用中心，請先在應用中心管理頁面添加一臺應用中心”。步驟2單擊頁面右上角的<新建應用>，進入新建應用頁面，選擇應用中心賬戶、添加應用名稱、選擇應用類型、目標地址、登錄賬戶、登錄密碼。圖圖8應用中心管理頁面示意圖表8功能選項說明選項說明應用加載器用于確保運維人員能正常調用應用發布程序。應用中心賬戶選擇已經添加好的應用中心及賬戶。應用名稱填寫應用發布的名稱，用于運維人員能辨別目標對象。應用類型選擇需要發布的應用類型，如果無法找到對應的應用程序，則請自定義。目標地址目標資產的管理IP。登錄賬戶目標資產的管理賬戶。登錄密碼目標資產賬戶的密碼。步驟3單擊<創建應用>即可添加成功，返回應用管理頁面中可以看到已經創建好的應用。圖圖9應用中心管理頁面示意圖將應用授權給運維員管理員在[授權/運維授權]頁面中將應用授權給相關的運維員。圖10運維授權頁面示意圖運維員對應用運維步驟1進入[運維/主機管理/應用運維]頁面中，在運維之前，請確保本地PC安裝好了單點登錄器。圖11圖11應用運維頁面示意圖步驟2在plsql工具后面，單擊<登錄>即可登錄成功。圖12應用運維頁面示意圖步驟3在web系統后面，單擊<登錄>即可登錄成功。圖13應用運維頁面示意圖ii目錄應用服務器介紹 1-1支持Windowsserver2012的版本 1-1RemoteApp應用發布介紹 1-1RemoteApp對終端的要求 1-1安裝前的準備 2-1注意事項 2-1關于RDS授權許可證 2-1Windowsserver2012的RemoteApp安裝步驟 3-1Windowsserver2012加入AD域 3-1安裝遠程桌面服務 3-4遠程桌面授權 3-17調整應用服務器的策略 3-38調整本地組策略 3-38關閉windows防火墻 3-43關閉IE增強的安全配置 3-44設置RD授權模式 3-45開啟遠程桌面 3-49安裝RemoteApp服務 3-51發布RemoteApp程序 3-60PAGE1應用服務器介紹應用服務器由windowsserver2012服務器平臺搭建的。應用服務器用于安裝應用程序，并能通過RemoteApp服務發布應用程序。支持Windowsserver2012的版本WindowsServer2012StandardWindowsServer2012R2StandardRemoteApp應用發布介紹RemoteAppWindowsServer2008之后，在其系統中集成的一項服務功能，使用戶可以Windows2012RemoteApp已經成為微軟桌面虛擬化架構的重要組成部分之一。RemoteApp對終端的要求由于是采用RDP協議訪問應用服務器提供的應用程序，所以對終端平臺有以下要求：windows操作系統。windowsRDP6.1版本。windowsXPwindowsserver2003RDP版本，如果版本過RDP版本。PAGE1安裝前的準備Windowsserver2012和Windowsserver2008的安裝步驟不同。注意事項為了確保配置RDS和RemoteApp服務安裝成功，請遵從以下的注意事項：Windowsserver2012ADRemoteApp服務，否則無法安裝RemoteApp服務。（表示客戶環境里必須有AD域服務器?。￤indowsserver2012RemoteAppAD域服務器。Windowsserver2000/2003RemoteApp服務。Windowsserver服務器可以是物理設備，也可以是虛擬機。windowsserver2012ID激活成正版。關于RDS授權許可證RDS授權許可證。RDS授權許可證類型分多種，得到許可證號碼后，請確認許可證的類型。在本手冊的“遠程桌面授權”章節中會用到許可證類型和號碼。PAGE1Windowsserver2012的RemoteApp安裝步驟本章節以WindowsServer2012R2Standard的配置為例?？蛻舡h境里必須有自己的AD域服務器，否則無法安裝remoteapp服務，以下圖中的AD域是測試環境的，僅供參考！Windowsserver2012加入AD域步驟1屬性進入[系統]管理界面。圖1系統管理界面步驟2單擊<更改配置>進入[系統屬性]界面。圖圖2系統屬性界面3-3-PAGE67步驟3單擊<更改>進入[計算機名/域更改]界面，修改計算機名稱、域名。圖圖3計算機名/域更改界面步驟4單擊<確定>后，提示輸入域帳戶和密碼。圖圖4Windows安全界面步驟5單擊<確定>后，提示加入域成功。圖5域更改成功界面步驟6單擊<確定>后重啟計算機即可。安裝遠程桌面服務步驟1重啟系統后，請使用AD域帳戶和密碼登錄系統。圖圖6AD域帳戶和密碼登錄系統步驟2進入[服務器管理器/儀表板]界面。圖7服務器管理器/儀表板界面步驟3單擊<添加角色和功能>進入“添加角色和功能向導”界面。圖圖8添加角色和功能向導界面步驟4單擊<下一步>進入安裝類型界面，選擇“基于角色或基于功能的安裝”。圖圖9基于角色或基于功能的安裝界面步驟5單擊<下一步>進入服務器選擇界面，選擇“從服務器池中選擇服務器”。圖圖10從服務器池中選擇服務器界面步驟6單擊<下一步>進入服務器角色界面，勾選“遠程桌面服務”。圖圖11選擇遠程桌面服務步驟7單擊<下一步>進入功能界面，不選擇任何功能項。圖圖12功能界面步驟8單擊<下一步>進入遠程桌面服務界面。圖圖13遠程桌面服務界面步驟9單擊<下一步>進入角色服務界面，選擇“遠程桌面會話主機”和“遠程桌面授權”。圖圖14角色服務界面步驟10單擊<下一步>進入確認界面。圖圖15確認界面步驟1圖圖16提示窗口界面步驟12單擊<是>即可。圖圖17確認界面步驟13單擊<安裝>進入安裝進度界面。圖圖18安裝界面步驟14等待安裝完成后，系統自動重新啟動，并重新使用AD域帳戶和密碼登錄系統。步驟15進入系統后，自動自動彈出安裝進度，安裝完成后，單擊<關閉>即可。圖圖19安裝完成遠程桌面授權步驟1進入[控制面板/系統和安全/管理工具/遠程桌面服務]界面。圖圖20遠程桌面服務界面步驟2雙擊<遠程桌面授權管理器>進入RD授權管理器界面。圖圖21RD授權管理器界面步驟3右擊計算機名稱，顯示可選項。圖22可選項界面步驟4單擊<激活服務器>進入服務器激活向導界面。圖圖23服務器激活向導界面步驟5單擊<下一步>進入連接方法選擇界面。圖圖24連接方法選擇界面步驟6單擊<下一步>進入許可證服務器激活界面。圖圖25許可證服務器激活界面步驟7使用一臺可以上網的電腦，在瀏覽器中輸入\h進入RDS授權頁面，選擇“啟用許可證服務器”。圖圖26RDS授權頁面步驟8單擊<下一步>進入RDS授權信息填寫頁面，輸入windwosserver2012的正確產品ID號、公司名稱、國家(地區)。圖27RDS授權信息填寫頁面步驟9單擊<下一步>進入信息確認頁面。圖圖28信息確認頁面步驟10單擊<下一步>RDS授權一個許可證服務器ID號，將此ID號復制并保存好。圖29ID號界面步驟11返回許可證服務器激活界面，將許可證服務器ID號填寫進去。圖圖30許可證服務器激活界面步驟12單擊<下一步>進入正在完成服務器激活向導。圖圖31完成服務器激活向導步驟13單擊<下一步>進入許可證安裝向導界面。圖圖32許可證安裝向導界面步驟14單擊<下一步>進入獲取客戶端許可證密鑰包界面。圖圖33獲取客戶端許可證密鑰包界面步驟15使用一臺可以上網的電腦，在瀏覽器中輸入\h進入RDS授權頁面，選擇“安裝客戶端許可證”。圖圖34安裝客戶端許可證界面步驟16單擊<下一步>RDSID號、選擇許可證程序、公司名稱、國家(地區)。圖35RDS授權信息填寫頁面步驟17單擊<下一步>進入RDS授權許可證填寫頁面：選擇“windowsserver2012遠程桌面服務每設備客戶端訪問許可證”，填寫正確的許可證號碼的數量，填寫微軟授權正確的授權號碼。圖36RDS授權許可證填寫頁面步驟18單擊<下一步>進入RDS授權信息確認頁面。圖圖37RDS授權信息確認頁面步驟19單擊<下一步>RDS授權一個許可證密鑰包ID號，將其復制并保存好。圖圖38ID號界面步驟20返回獲取客戶端許可證密鑰包界面，填寫正確的許可證密鑰包ID號。圖圖39填寫正確的許可證密鑰包ID號步驟21單擊<下一步>進入正在完成許可證安裝向導界面。圖圖40許可證安裝向導界面步驟22單擊<完成>后，可以在RD授權管理器窗口中看到已進行了授權。圖圖41RD授權管理器窗口步驟23右擊計算機名稱，選擇“復查配置”。圖42復查配置界面步驟24單擊<復查配置>進入配置界面。圖圖43Windows2012配置界面步驟25單擊<添加到組>后彈出RD授權管理器窗口。圖圖44RD授權管理器窗口步驟26單擊<確定>后即可成功。圖45確定成功步驟27單擊<確定>后，在RD授權管理器中可以看到打上了綠色的勾勾。圖圖46RD授權管理器界面調整應用服務器的策略調整本地組策略步驟1圖47運行窗口步驟2單擊<確定>進入[計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/連接]界面。圖圖48本地組策略編輯器界面步驟3雙擊<將遠程桌面服務用戶限制到單獨的遠程桌面服務會話>，在配置界面中設置為“已禁用”。圖49將遠程桌面服務用戶限制到單獨的遠程桌面服務會話界面步驟4單擊<確定>即可。步驟5雙擊<允許遠程啟動未列出的程序>，在配置界面中選擇“已啟用”。圖50允許遠程啟動未列出的程序步驟6單擊<確定>即可。步驟7雙擊<限制連接的數量>RD最大連接數“999999圖圖51限制連接的數量界面步驟8單擊<確定>后即可。步驟9雙擊<允許用戶通過遠程桌面服務進行遠程連接>，在配置界面中選擇“已啟用”。圖圖52允許用戶通過遠程桌面服務進行遠程連接界面步驟10單擊<確定>即可。步驟11再進入[計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/會話時間限制]界面圖53本地組策略編輯器步驟2雙擊1圖圖54設置已中斷會話的時間限制步驟13單擊<確定>即可。關閉windows防火墻步驟1進入[控制面板/系統和安全/windows防火墻/自定義設置]界面中，將防火墻關閉。圖圖55自定義設置步驟2單擊<確定>即可。關閉IE增強的安全配置步驟1進入[服務器管理器/本地服務器]界面中，找到右側的“IE增強的安全配置”。圖56服務器管理器步驟2單擊<啟用>進入IE增強的安全配置界面，選擇“關閉”。圖圖57IE增強的安全配置界面步驟3單擊<確定>即可。設置RD授權模式步驟1進入[控制面板/系統和安全/管理工具/遠程桌面服務]界面。圖圖58遠程桌面服務界面步驟2雙擊<RD授權診斷程序>進入界面，看到“RD授權診斷程序信息-警告”中有警告信息，表示RD授權未配置完成。圖59RD授權診斷程序步驟3進入[服務器管理器/遠程桌面服務/概述]界面。圖圖60服務器管理器步驟4單擊<任務>中的<編輯部署屬性>RD圖圖61編輯部署屬性步驟5單擊<確定>后即可。步驟6返回RD授權診斷程序界面，可以看到警告信息已為空，表示RD授權正常。圖圖62RD授權診斷程序界面開啟遠程桌面步驟1右擊計算機，單擊<屬性>進入系統屬性界面。圖圖63系統屬性界面步驟2單擊遠程設置建議)圖圖64遠程桌面配置窗口步驟3單擊<確定>即可。安裝RemoteApp服務步驟1進入[服務器管理器/遠程桌面服務/概述]界面中，可以看到說明需要安裝“遠程桌面服務”。圖圖65服務器管理器界面步驟2進入[服務器管理器/儀表板]界面。圖66服務器管理器/儀表板界面步驟3單擊<添加角色和功能>進入添加角色和功能向導界面。圖圖67添加角色和功能向導界面步驟4單擊<下一步>進入安裝類型界面，選擇“遠程桌面服務安裝”。圖圖68遠程桌面服務安裝界面步驟5單擊<下一步>進入部署類型界面，選擇“快速啟動”。圖圖69快速啟動界面步驟6單擊<下一步>進入部署方案，選擇“基于會話的桌面部署”。圖圖70基于會話的桌面部署界面步驟7單擊<下一步>進入服務器選擇界面，將本地服務器移至右側。圖圖71服務器選擇界面步驟8單擊<下一步>進入確認界面。圖圖72確認界面步驟9單擊<部署>進入安裝進度界面。圖圖73安裝進度界面步驟10等待自動安裝完成后，單擊<關閉>即可。圖圖74關閉界面發布RemoteApp程序步驟1進入[服務器管理器/遠程桌面服務/集合/QuickSessionCollection]界面。圖圖75QuickSessionCollection界面步驟2單擊<任務>。圖76任務界面步驟3單擊<發布RemoteApp程序>進入選擇RemoteApp程序界面，選擇需要發布的應用程序。圖圖77RemoteApp程序界面步驟4單擊<下一步>進入確認界面。圖圖78確認界面步驟5單擊<發布>進入發布完成界面。圖圖79發布完成界面步驟6單擊<關閉>即可。步驟7右擊已發布的應用程序。圖80已發布的應用程序界面步驟8單擊<編輯屬性>進入應用程序的屬性界面，在“參數”中選擇“允許任何命令行參數”。圖圖81參數界面步驟9單擊<確定>即可。步驟10在可以訪問windowsserver2012的電腦中，請使用瀏覽器登錄\hhttps://應用服務器的IP/RDWeb，并輸入正確的域帳戶和密碼。圖圖82瀏覽器登錄步驟11登錄成功后可以看到已發布的RemoteApp程序。圖圖83RemoteApp程序界面ii目錄雙機熱備典型配置舉例 1簡介 1配置前提 1使用限制 1HA口直連網線模式配置舉例 1組網需求 1配置思路 2配置注意事項 2配置步驟 2驗證配置 6HA口不連網線模式配置舉例 7組網需求 7配置思路 8配置注意事項 8配置步驟 8驗證配置 10PAGEPAGE1雙機熱備典型配置舉例簡介本文檔介紹兩臺運維審計系統的雙機熱備模式，實現運維審計系統的系統配置實時同步，并且提高運維的高可用。配置前提本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。本文檔假設您已了解雙機熱備模式的特性。使用限制必須是兩臺運維審計系統的硬件設備。兩臺運維審計系統的軟件版本必須相同。如果兩臺運維審計系統的軟件版本不同，那必須先把低版本升級到相同版本。必須使用業務數據口作為管理口。HA口直連網線模式配置舉例組網需求1IP虛擬一個IPHA口直連用于系統配置信息實時同步。具體應用需求如下：IPIPIP；IPIP；當主機恢復故障之后，主機和備機則重新啟用雙機熱備模式；HAIP之后，直連。PAGEPAGE2圖1雙機熱備（HA）配置組網圖配置思路AdminIP，必須是同一網關；HAIP，并且直連；然后將一臺設備啟用為主機模式，另外一臺設備啟用為備機模式；配置之后，設備即可變成雙機熱備（HA）的工作模式。配置注意事項為了確保雙機熱備配置成功，需要注意以下幾方面：兩臺運維審計系統的軟件版本必須相同。IPIP必須是同一網關。HAIP必須直連和互通。先配置主機，再配置備機。100%之后，再進行主備切換重啟檢測。配置步驟先配置主機HAIPPAGEPAGE10#進入[系統/系統配置/網絡配置/物理端口信息]頁面。#給HA口設置一個IP及掩碼，本案例中以“/24”為例。圖1HA口配置示意圖配置主機模式#進入[系統/系統配置/HA配置]頁面。#選擇：熱備模式-主機、HA接口設備。#設置：備機HA接口的IP、服務/虛擬IP。#注意/IP/備份IA模式的接口不沖突的IP！#編輯完成之后，單擊<保存>后即可生效。圖圖2主機配置示意圖再配置備機HAIP#進入[系統/系統配置/網絡配置/物理端口信息]頁面。#給HA口設置一個IP及掩碼，本案例中以“/24”為例。圖圖3HA口配置示意圖配置備機模式#進入[系統/系統配置/HA配置]頁面。#選擇熱備模式-備機。#將主機上的HA群組驗證密鑰復制-粘貼至備機上。#選擇：HA口接口設備#配置：主機HA接口的IP、服務/虛擬IP。因為在配置備機時，“服務/虛擬IP”項會變成灰色，無法配置，可以先切換為“熱備模式-HA主機”模式，就可以修改灰色部分；修改完成之后，無需點保存，直接切換“熱備模式-HA備機”模式即可。#編輯完成之后，單擊<保存>即可生效。圖圖4備機配置示意圖驗證配置IP登錄運維審計系統#如果使用虛擬IP地址能成功登錄運維審計系統，那說明HA啟用了。HA配置頁面顯示是否正常#檢查HA配置頁面中顯示的信息是否正常。#檢查連接狀態（t（%。圖圖5HA配置示意圖HA口不連網線模式配置舉例組網需求6IP虛擬一個IPHA口直連用于系統配置信息實時同步。具體應用需求如下：IPIPIP；IPIP；當主機恢復故障之后，主機和備機則重新啟用雙機熱備模式；HAIPHA口之間不接網線。圖圖6雙機熱備（HA）配置組網圖配置思路AdminIP，必須是同一網關；然后將一臺設備啟用為主機模式，另外一臺設備啟用為備機模式；配置之后，設備即可變成雙機熱備（HA）的工作模式。配置注意事項為了確保雙機熱備配置成功，需要注意以下幾方面：兩臺運維審計系統的軟件版本必須相同。IPIP必須是同一網關。先配置主機，再配置備機。100%之后，再進行主備切換重啟檢測。配置步驟先配置主機#進入[系統/系統配置/HA配置]頁面。#選擇：熱備模式-主機、HA接口設備為bond0。#設置：備機HA接口的IP、服務/虛擬IP。災備災備/IP和災備/IPHAIP！#編輯完成之后，單擊<保存>后即可生效。圖7主機配置示意圖再配置備機#進入[系統/系統配置/HA配置]頁面。#選擇熱備模式-備機。#將主機上的HA群組驗證密鑰復制-粘貼至備機上。#選擇：HA口接口設備為bond0。#配置：主機HA接口的IP、服務/虛擬IP。因為在配置備機時，“服務/虛擬IP”項會變成灰色，無法配置，可以先切換為“熱備模式-HA主機”模式，就可以修改灰色部分；修改完成之后，無需點保存，直接切換“熱備模式-HA備機”模式即可。#編輯完成之后，單擊<保存>即可生效。圖8備機配置示意圖驗證配置IP登錄運維審計系統#如果使用虛擬IP地址能成功登錄運維審計系統，那說明HA啟用了。HA配置頁面顯示是否正常#檢查HA配置頁面中顯示的信息是否正常。#檢查連接狀態（t（%。PAGEPAGE11圖9HA配置示意圖ii目錄雙因素認證典型配置舉例 1簡介 1配置前提 1動態令牌認證典型配置舉例 1適用產品和版本 1注意事項 1配置思路 1配置步驟 2驗證配置 4USBKEY認證典型配置舉例 5適用產品和版本 5注意事項 5配置思路 6配置步驟 6驗證配置 8短信網關認證典型配置舉例 9適用產品和版本 9注意事項 9配置思路 10配置步驟 10驗證配置 13谷歌認證典型配置舉例 15適用產品和版本 15注意事項 15配置思路 16配置步驟 16驗證配置 23PAGEPAGE1雙因素認證典型配置舉例簡介本章介紹運維審計系統的動態令牌、USBKEY、短信網關、谷歌認證的身份認證配置。配置前提動態令牌認證：準備至少一個動態令牌及對應的種子文件。USBKEYUSBKEY。API參數。GoogleAuthenticatorAPP、阿里身份寶等）。動態令牌認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。注意事項配置前，請準備以下資料：動態令牌卡圖1動態令牌硬件示意圖動態令牌須向運維審計系統供應商采購，每個動態令牌卡都有一個序列號。動態令牌的種子文件圖2動態令牌的種子文件示意圖配置思路導入動態令牌的種子文件到運維審計系統中；admin；PAGEPAGE2啟用動態令牌認證模式；admin、密碼、動態密碼登陸。配置步驟導入動態令牌的種子文件#進入[用戶/動態令牌]頁面。圖3動態令牌管理頁面示意圖#單擊<導入令牌>選擇種子文件，將其導入到運維審計系統中。圖4動態令牌管理頁面示意圖#導入成功之后，就會列出相應的動態令牌序列號。PAGEPAGE3圖5動態令牌管理頁面示意圖動態令牌綁定用戶#進入[操作/綁定]，進入頁面。圖6動態令牌管理頁面示意圖#選擇需要綁定的用戶，例如：綁定admin用戶，單擊<綁定>即可。圖7動態令牌管理頁面示意圖PAGEPAGE4#查看已啟用的狀態。圖8動態令牌管理頁面示意圖驗證配置#使用已綁定的用戶登錄運維審計系統：輸入用戶名、密碼、動態口令、驗證碼，即可登錄成功。PAGEPAGE5圖9系統登錄頁面示意圖USBKEY認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。注意事項配置前，請準備以下資料：USBKEY卡圖10USBKEY硬件示意圖USBKEY2USBKEY硬件，一個是用于給管理員簽發、另一個給其他用戶簽發。PAGEPAGE25IE瀏覽器準備IE8/9/10/11瀏覽器。USBKEY控件在登錄頁面的下方位置，下載至本地并安裝好。圖11USBKEY控件下載頁面示意圖配置思路adminIEUSBKEY控件；adminUSBKEY；USBKEY；USBKEY認證模式；IE瀏覽器登錄運維審計系統。配置步驟admin使用IE瀏覽器登錄系統并安裝USBKEY驅動程序#進入到登錄頁面；下載并默認安裝好USBKEY控件。圖12USBKEY控件示意圖給admin簽發USBKEY#進入[用戶/USBKEY]頁面。#在本地電腦上插入USBKEY。#然后單擊<制作管理員USBKEY>進入頁面，選擇USBKEY，指定admin用戶。圖圖13USBKEY管理頁面示意圖#單擊<確定>之后，就會列出相應的USBKEY序列號，將其啟用即可。圖14USBKEY管理頁面示意圖給其他用戶簽發USBKEY#進入[用戶/USBKEY]頁面。#再本地電腦再插入一個新的USBKEY。#單擊<簽發USBKEY>進入頁面，選擇管理員USBKEY、用戶USBKEY、用戶。圖圖15USBKEY管理頁面示意圖#單擊<確定>之后，就會列出相應的USBKEY序列號，將其啟用即可。圖16動態令牌管理頁面示意圖驗證配置#在本地電腦上插入已被簽發的USBKEY。#使用IE瀏覽器登錄運維審計系統。#進入登錄界面后，系統會自動讀取USBKEY信息。#讀取成功之后，系統會自動識別用戶名，然后輸入密碼和驗證碼，即可登錄成功。圖圖17系統登錄頁面示意圖短信網關認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。注意事項配置前，請準備以下資料：短信網關平臺準備接收短信的手機及手機號。準備短信網關平臺的URL。例如：以\h/api.shtml為例測試。準備短信網關平臺的賬戶和密碼，用于發送短信。Webservice參數（API參數）準備短信網關平臺的API參數信息，用于運維審計系統的短信認證配置。圖圖18API參數示意圖配置思路API參數；啟用短信網關認證；給運維審計系統的用戶配置手機號；發送測試信息驗證是否成功；使用運維審計系統的用戶名、密碼、短信密碼登錄。配置步驟準備API參數#參考\h/api.shtml短信網關平臺里的API參數，編輯正確的API參數信息。圖圖19API參數示意圖目前只支持UTF-8、GBK編碼方式發送短信。給運維審計系統用戶配置手機號#進入[用戶/用戶管理]頁面中，編輯一個用戶，在頁面中填寫手機號碼。啟用短信網關認證模式#進入[系統/系統配置/安全配置/短信配置]頁面中，選擇短信網關。#填寫API參數、選擇編碼格式。#確認無誤之后，單擊<保存>后即可生效。圖圖20雙因素認證頁面示意圖POSTGET居多，可以每種嘗試或咨詢短信網關廠商。URL：根據準備好的短信網關平臺的Webservice參數（API參數）為準，可咨詢短信網關廠商。APIWebservice（API參數驗證配置發送測試短信#進入[系統/系統配置/安全配置/雙因素認證]頁面中，選擇短信網關，在測試手機號碼中輸入接收的手機號碼，單擊<發送測試信息>即可驗證是否配置成功。#如果發送成功，手機會接收到信息。圖圖21短信網關認證配置頁面示意圖登錄運維審計系統#使用短信認證方式登錄運維審計系統：輸入用戶名、密碼、驗證碼。#單擊<獲取短信口令>后，手機會收到短信口令，口令即可。圖圖22系統登錄頁面示意圖谷歌認證典型配置舉例適用產品和版本適用于運維審計系統所有型號。注意事項配置前，請準備以下資料：智能手機支持的手機系統：iOS、windowsphone、android認證APPGoogleAuthenticator、洋蔥認證、阿里身份寶等系統時間一致確保手機的時間與運維審計系統的時間，保持一致；符合標準時間。配置思路在運維審計系統中新建用戶；使用新建的用戶登錄運維審計系統，進入用戶的個人信息頁面中；APP；APP掃描驗證密鑰二維碼，并確保驗證成功；使用谷歌認證登錄運維審計系統配置步驟新建用戶#進入[用戶/用戶管理]頁面。#新建用戶。圖圖23用戶管理頁面示意圖進入用戶的個人信息頁面#進入[個人信息/谷歌驗證]頁面中。圖圖24谷歌驗證頁面示意圖#當前運維人員使用手機下載對應手機系統的認證APP。#注意：如果有的手機可能掃描有問題、或安裝APP的時候有閃退的情況，建議使用洋蔥認證APP或阿里身份寶！圖圖25APP示意圖驗證密鑰二維碼#單擊<重置驗證信息>，進入設置谷歌驗證頁面；#請不要關閉或退出，否則會造成密鑰變掉。#運維人員使用手機認證APP，掃描二面二維碼。圖圖26設置谷歌驗證頁面示意圖#使用認證APP的“掃描條形碼”功能，掃描二維碼。會自動生成一個當前運維審計系統用戶的動態密碼（30秒自動變一次。圖圖27APP示意圖#返回[設置谷歌驗證]頁面中，輸入動態密碼進行驗證。圖圖28設置谷歌驗證頁面示意圖#圖圖29設置谷歌驗證頁面示意圖驗證配置WEB登錄驗證#選擇“谷歌驗證”模式，使用已驗證成功的用戶登錄運維審計系統：輸入用戶名、密碼、動態口令、驗證碼，即可登錄成功。圖圖30系統登錄頁面示意圖SSH登錄驗證#打開SSH協議的客戶端工具登錄設備，輸入的格式：用戶名：設備用戶密碼：設備用戶的密碼+動態口令圖圖31SSH登錄頁面示意圖RDP登錄驗證#打開RDP協議的客戶端工具登錄設備，輸入的格式：用戶名：設備用戶密碼：設備用戶的密碼動態令牌：動態口令圖32RDP登錄頁面示意圖ii目錄運維審核典型配置舉例 1簡介 1配置前提 1會話備注典型配置舉例 1適用產品和版本 1配置思路 1配置步驟 1驗證配置 2二次審核典型配置舉例 3適用產品和版本 3配置思路 3配置步驟 3驗證配置 4命令審核典型配置舉例 6適用產品和版本 6配置思路 6配置步驟 7驗證配置 8PAGEPAGE6運維審核典型配置舉例簡介本章介紹主機運維會話備注、主機運維二次審核、操作命令審核。配置前提運維審計系統中必須有運維員和管理員。admin作為管理員進行審核的。運維審計系統中必須有主機。會話備注和二次審核支持所有協議的主機。SSH/telnetlinux/unix服務器。會話備注典型配置舉例適用產品和版本適用于運維審計系統所有型號。配置思路unix服務器；unix服務器啟用“會話備注”功能；unix服務器前需要輸入會話備注信息后，才能登錄成功；管理員可以看到運維員的登錄記錄。配置步驟#管理員進入[資產/主機管理]頁面。#編輯一臺字符主機；例如：編輯uni