| fsockopen该函数需要 php.ini 中 allow_url_fopen 选项开启 解决方法: 第一步、php.ini文件中查找extension=php_openssl.dll 如果前面有分号,去掉分号。 第二步、在禁用函数disable_functions中找到fsockopen,删除,重启web服务。 推荐使用第一步重启LNMP即可。 重启命令 /root/lnmp restart LNMP相关目录 nginx : /usr/local/nginx mysql : /usr/local/mysql php : /usr/local/php 网站目录: /home/wwwroot/ Nginx日志目录:/home/wwwlogs/ /root/vhost.sh添加的虚拟主机配置文件所在目录:/usr/local/nginx/conf/vhost/ |
2013年5月28日星期二
LNMP中安装DZ 需要 allow_url_fopen 选项开启解决方法
2013年5月27日星期一
dota2 website
dota2noob.com
dota2gamer.com
dota2ggwp.com
dota2home.com
dota2home.com
twitch视频
Linode VPS主机续费方法:信用卡和财付通美国运通卡取消自动扣费
关于Linode VPS主机续费方法其实根本就没有必要去用一篇文章来写,因为Linode VPS主机根本不存在怎么样续费的问题,购买时绑定在Linode的信用卡到了每个月结账日时就会自动扣款,全自动,24小时无人工干预。
但是本篇文章对于像部落这样用财付通美国运通卡在Linode购买了VPS的朋友一定是非常有用了,因为从部落在Linode续费的经历来看,财付通的“比信用卡更安全,安全码动态生成并一次有效,按需充值使用,无信用卡盗刷风险。”这句广告语要改一改了。
部落在在3月份时用财付通美国运通卡成功购买Linode后,紧接着过了几天Linode VPS主机内存翻番价格不变,一下子觉得Linode由“高富帅”变身为“平民”了。 20美元一个月的VPS内存1GB,流量2TB,有日本机房可选,实在是有诱惑力。
前几天算了算到月末了我在Linode购买的VPS也快到期了,于是寻思着怎么样用财付通美国运通卡给Linode续费,结果手机收到一条财付通发来的短信:余额不足,扣款失败。心里正嘀咕着难道是Linode可以在没有手机验证码的情况下扣款?
晚上在部落给自己的财付通用建行网银充值后,就立即收到财付通的短信:扣款成功,冻结124.94元。由此看来Linode可以不要手机验证码就可以自动在财付通扣款了。现在的问题就是部落来分享一下如何取消Linode的财付通自动扣费的方法。
对便宜VPS有兴趣的朋友,可以看到部落以前试用的VPS后的文章,也可以用免费VPS来练手:
- 1、免费试用:Linode日本VPS免费试用-内存512MB原价19.95美元/月
- 2、免费VPS:Amazon AWS亚马逊云服务免费一年VPS主机成功申请和使用方法
- 3、84 VPS:BurstNET的7美元/月2个独立IP月流量1000GB便宜VPS购买激活教程
Linode VPS主机续费方法:信用卡和财付通美国运通卡取消自动扣费
一、Linode VPS用财付通美国运通卡续费无需安全码
1、首先部落的财付通美国运通卡没有开通“无安全码绿色通道”,所以按照财付通的说法就是任何消费就要先获取手机验证码才行。
2、5月1日下午我的手机收到了财付通发来的短信:余额不足,运通卡授权失败。(照片为电脑低像素摄像头拍摄,各位同学将就地看一下)
3、看到这个短信我还疑惑着,难道有不需要安全码就能扣款的消费?此时,我财付通里的余额不多。恰好晚上想给Linode续费,于是往财付通中充值了100元。
4、没有想到的是过了不到半个小时,手机就收到财付通发来的扣款成功的短信了。
5、登录财付通在境外支付的交易记录看到了LINODE LLC,果然是LINODE一直在往我的财付通中扣钱了。
6、登录Linode能看到付款成功的信息,总共是20美元,貌似比3月份付款时少了0.34美元。
二、取消Linode的信用卡和美国运通卡自动扣费方法
1、原先以为用信用卡在Linode购物会出现自动扣费的麻烦,现在没有想到的是财付通的美国运通卡也出现了这样的问题,腾讯不是说没有安全码又不开通绿色通道,就不可能扣款吗?
2、取消Linode的信用卡和美国运通卡自动扣费方法是:用一张虚拟信用卡换掉原有真实信用卡信息,或者关闭信用卡的境外无卡支付功能。
3、虚拟的信用卡可以用这样的“5431 1111 1111 1111″或“4111 1111 1111 1111″。财付通美国运通卡也是一样的。
三、取消了Linode自动扣费后如何手动给VPS续费?
1、取消了Linode自动扣费后,每个月如果Linode扣款不成功的话,你还可以自己手动给VPS主机续费。
2、按照规定,Linode VPS到期后会保留VPS数据15天,如果15天还不续费,连带账户会一并自动取消。
3、手动给Linode VPS续期时,先把信用卡信息那栏更新一下,然后到“Make A Payment”。
4、Current Balance是需要支付的金额,部落买了一个月是20美元,然后下方填入付款金额,一般是欠费多少就填写多少。最后CVV就是财付通美国运通卡的安全码了。
5、付款成功后,为了防止被Linode自动扣费,记得按照上面的方法用虚拟信用卡替换真实的信用卡信息。
四、Linode退款和取消账户一些避免损失的细节地方
1、如果你不想再使用某个VPS,可以去Linode后台,点击Linodes,在Linode vps右边点击Remove,系统会提示你是否确认删除,选中多选框即为确认。同时系统也会提示你,在删除该VPS后,会退给你多少钱。
2、Linode支持7天无条件退款,如果新客户7天内申请退款到信用卡并取消Linode账户,是免费全额退款。退款又分两种:一种是退款到你的Linode账户中,留给你下次购买Linode的产品用,另一种是退款到你的信用卡或者财付通中。
3、如果新客户退款到Linode账户,将会按天收取费用,而不是全额退款。超过7天的用户在要求退款到信用卡里,单笔收5美元手续费。特别注意:退款和取消账户是不同的。
4、为了在Linode退款和取消账户中避免损失,一般是建议先更新一下自己的信用卡信息,避免因信用卡信息留存而被扣款,然后再删除Linode的VPS套餐。
五、Linode VPS续费小结
1、自从部落分享了财付通购买Linode的方法后,貌似已经有不少朋友购买了Linode,部落以自己的亲自经历告诉大家:Linode可以在无需财付通验证短信的情况成功扣款。
2、所以看了这篇文章的朋友如果你不想让Linode自动扣费或者不想要Linode的VPS套餐但是想保留账户,建议替换掉自己的真实信用卡或者运通卡信息,以避免不必要的损失。
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
2013年5月20日星期一
何时在Windows Server 2008中使用服务器核心部署
http://www.microsoft.com/china/windowsserver2008/prodinfo/compare-roles.aspx
微软设计的Windows Server 2008和Windows Server 2008 R2既能以常规方式部署又能以服务器核心配置来部署。服务器核心部署是一个最小的Windows Server部署,其中只安装了最关键的Windows组件。该操作系统甚至缺少真正的GUI界面。什么时候用服务器核心部署最好?什么时候运用传统的完全安装更好呢?
服务器核心部署:并不适用所有人
记住一句古话:你可以做某事并不意味着你必然应该这么做。服务器核心部署比传统的Windows Server部署更难管理。你可以运用GUI工具远程地执行大部分管理任务,虽然这没错,但是很多时候你别无选择,只能从命令提示行管理核心服务器。如果基于命令行的管理让你觉得不舒服了,那么你最好使用完整的Windows Server安装而不是服务器核心安装。
局限性和兼容性
我之前曾提过,服务器核心部署缺少很多传统Windows Server部署中的组件。虽然最精简版方法也有其优势,但它还是限制了你本可以用服务器核心做的事情。不要期望用服务器核心当作应用服务器(application server)。很少有企业级的应用会运行在服务器核心部署上(虽然我希望这种情况在将来有所改变)。相反地,服务器核心更适合与基础设施服务器一起使用。事实上,只有某些Windows Server角色可以在服务器核心上部署,且大部分这些角色都是基础设施的组成部分。
可以部署在服务器核心上的实际角色也会因为你是在Windows Server 2008或 Windows Server 2008 R2上运行而有所不同。下面是一个兼容角色列表,同时还有一些值得注意的限制:
好处与运用
尽管你可以在服务器核心上运行上面列出的角色,但是你也能在完全的Windows Server安装上运用这些角色。那么你为什么还非得用服务器核心呢?以下就是两个主要原因:
安全。服务器核心部署比传统的Windows Server部署拥有的附加面要小得多,黑客们通常的目标组件在核心服务器上根本不存在。
即使你的企业并不像教科书上描述的高度安全环境,你还是能从服务器核心提供的安全性中获益。Windows Server网络上最关键的两个角色是活动目录角色和活动目录证书服务角色。如果有人管理来危害你的域控制器,或你的证书认证,那么他们基本上拥有了你的网络。在核心服务器上托管这两个角色会是不错的主意。
服务器虚拟化。由于服务器虚拟化涉及到在多个虚拟服务器上共享硬件资源,高效地运用硬件资源很关键。毕竟,你在一台物理服务器上放置的虚拟服务器越多,你硬件投资的回报率也就越高。
因为服务器核心占内存小,所以它在虚拟数据中心的运用是完美的。服务器核心虚拟机需要的磁盘空间很小,他们消耗的内存和CPU资源比传统的Windows Server部署要少得多。你通过运用服务器核心虚拟机保存的硬件资源可以分配给其它需要更多硬件资源的虚拟机。
使用服务器核心部署有好处,尤其是在谈到安全或保护服务器核心部署时。即使如此,管理员必须考虑他们是否愿意按此学习曲线和连同这些方法一起的额外管理责任来行事。
微软设计的Windows Server 2008和Windows Server 2008 R2既能以常规方式部署又能以服务器核心配置来部署。服务器核心部署是一个最小的Windows Server部署,其中只安装了最关键的Windows组件。该操作系统甚至缺少真正的GUI界面。什么时候用服务器核心部署最好?什么时候运用传统的完全安装更好呢?
服务器核心部署:并不适用所有人
记住一句古话:你可以做某事并不意味着你必然应该这么做。服务器核心部署比传统的Windows Server部署更难管理。你可以运用GUI工具远程地执行大部分管理任务,虽然这没错,但是很多时候你别无选择,只能从命令提示行管理核心服务器。如果基于命令行的管理让你觉得不舒服了,那么你最好使用完整的Windows Server安装而不是服务器核心安装。
局限性和兼容性
我之前曾提过,服务器核心部署缺少很多传统Windows Server部署中的组件。虽然最精简版方法也有其优势,但它还是限制了你本可以用服务器核心做的事情。不要期望用服务器核心当作应用服务器(application server)。很少有企业级的应用会运行在服务器核心部署上(虽然我希望这种情况在将来有所改变)。相反地,服务器核心更适合与基础设施服务器一起使用。事实上,只有某些Windows Server角色可以在服务器核心上部署,且大部分这些角色都是基础设施的组成部分。
可以部署在服务器核心上的实际角色也会因为你是在Windows Server 2008或 Windows Server 2008 R2上运行而有所不同。下面是一个兼容角色列表,同时还有一些值得注意的限制:
- 活动目录
- 活动目录证书服务(只兼容Windows Server 2008 R2)
- 活动目录轻量级目录服务
- BranchCache托管缓存(只兼容Windows Server 2008 R2企业版和数据中心版)
- DHCP服务器
- DNS服务器
- 文件服务(限用于标准版中的一个独立DFS根)
- Hyper-V
- 打印服务
- 流媒体服务
- 网络服务器(IIS)
好处与运用
尽管你可以在服务器核心上运行上面列出的角色,但是你也能在完全的Windows Server安装上运用这些角色。那么你为什么还非得用服务器核心呢?以下就是两个主要原因:
安全。服务器核心部署比传统的Windows Server部署拥有的附加面要小得多,黑客们通常的目标组件在核心服务器上根本不存在。
即使你的企业并不像教科书上描述的高度安全环境,你还是能从服务器核心提供的安全性中获益。Windows Server网络上最关键的两个角色是活动目录角色和活动目录证书服务角色。如果有人管理来危害你的域控制器,或你的证书认证,那么他们基本上拥有了你的网络。在核心服务器上托管这两个角色会是不错的主意。
服务器虚拟化。由于服务器虚拟化涉及到在多个虚拟服务器上共享硬件资源,高效地运用硬件资源很关键。毕竟,你在一台物理服务器上放置的虚拟服务器越多,你硬件投资的回报率也就越高。
因为服务器核心占内存小,所以它在虚拟数据中心的运用是完美的。服务器核心虚拟机需要的磁盘空间很小,他们消耗的内存和CPU资源比传统的Windows Server部署要少得多。你通过运用服务器核心虚拟机保存的硬件资源可以分配给其它需要更多硬件资源的虚拟机。
使用服务器核心部署有好处,尤其是在谈到安全或保护服务器核心部署时。即使如此,管理员必须考虑他们是否愿意按此学习曲线和连同这些方法一起的额外管理责任来行事。
Windows Server2008的NAP配置功略
今天的文章中,我们讨论的话题是Windos server 2008的NAP(Network Access Protection网络访问保护)功能,如果大家关注Windos server 2008的新技术就会发现,现在有关NAP的文章可以说是多如牛毛,但是仔细看来我们不难发现,这类文章更多的是集中在NAP功能的基本描述,而对于具体的使用体验以及配置技巧却很少提及,今天我们就来为大家解决这个问题。
在全新的Windos server 2008 中我们可以看到许多针对原先Windows 系统所存在的安全隐患的改进,NAP (Network Access Protection网络访问保护)就是其中非常重要的一项,这个技术可以有效的保证远程的连入计算机的安全。
NAP可提高移动计算机和内部网络的安全性。通常,带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时,连接时间可能会非常短,以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。因此,移动计算机所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性,因为它可确保在用户连接到网络前安装最新的更新内容。
在整个保护过程中,NAP针对存在风险的客户提供了3种解决方案,第一种是通过策略限制他们在内网中的访问,第二种是将这些用户隔离到一个指定的网段以等待下一步处理,而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成,比如SMS (Systems Management Server) ,同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。
在NAP中,Windos server 2008 扩展了Windows Server 2003中的网络访问隔离功能,原先的这一特性只能针对远程访问的用户加以防护,而在NAP中,Windos server 2008 可以保护所有通过VPN、DHCP以及IPsec进行连接的通信,由于篇幅有限,我们在这篇文章中之针对DHCP的客户端进行讲解。
要搭建NAP的环境,我们需要两台Windos server 2008 Beta 2的计算机,一台Windows XP或者Windows Vista的计算机;如果客户端是Windows XP的计算机,那么还必须安装NAPClient软件。
第一步:配置全新的DHCP服务器
要想实现NAP功能,我们首先要有一个域环境,我们选择其中的一台Windos server 2008,将它设置为DC,域的名称为NAP.com。并在此计算机上安装AD、DNS和Network Access Services,在安装Network Access Services时,只选择安装其中的Router and remote access。
将另外一台Windos server 2008加入到NAP.com域,配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统将会询问是否安装WAS和IIS,点击确定,安装完成。环境配置好后,我们需要配置的顺序是先配置DHCP,然后配置Network Policy Service。首先在计算机服务中启动DHCP服务,因为DHCP服务默认是不启动的。然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权,右键点击服务器,选择“Authorizes”进行授权验证。接下来,右键点击“IPv4”,然后选择“New Scope”来新建一个范围,范围的IP地址可以根据现实的情况来设置。配置完IP范围后,在“IP4”下面会出现一个“Scope options”,右键点击,然后选择“Configure options”,打开配置对话框,在这个对话框中有两个标签,首先选择“General”。在下面我们需要配置三个选项,首先选择“Router”,然后在下面输入Router的IP地址;其次选择“DNS Server”选项,输入DNS的IP地址;最后选择“DNS Domain Name”,输入域的名称。如图:
然后选择“Advanced”标签,在这里我们配置关于NAP的一些选项。首选,在User class下拉列表中选择“Default Network Access Protection Class”,表明我们在配置NAP的选项。然后选择“Router”,在下面输入IP地址;接下来选择“DNS Server”,输入IP地址;最后选择“DNS Domain Name”,在下面输入一个域的名称,如unsecure.nap.com,注意这个域名和之前输入的那个域名并没有什么实际的作用,它们只是方便管理员来区分连到网络中的计算机哪些是安全的,哪些是不安全的。比如,如果计算机是安全的,那么它们就会在NAP.com这个域名下,如果计算机不是安全的,那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。
这些配置完成后,关闭对话框,回到DHCP控制台。我们现在需要做的就是将NAP在DHCP上开启。右键点击“Scope”,选择“Properties”。在属性对话框中,选择“Network Access Protection”标签。选中“Enable for this scope”。此时在DHCP上就开启NAP了。
DHCP此时配置完成。
第二步:实现我们的NAP配置
在DHCP配置完后,接下来就需要在这个Windos server 2008上配置NAP的服务了。首先在“Administrative Tools”里面打开“Network Policy Server”。如图:
然后展开左边的Network Access Protection,里面有三个子文件夹:System Health Validators,System Health Validators Templates,Remediation Server Group。首先来看第一个,System Health Validators,这个工具的作用就是检测连接到网络中的计算机哪些是不安全的,安全条件用户可以在里面设置,比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。System Health Validators Templates是健康验证模版,在它里面创建两个模版,一个是安全计算机模版,另一个是不安全计算机的模版。System Health Validators工具验证出来的计算机如果是安全的就归类到System Health Validators Templates中那个安全计算机模版中,如果System Health Validators验证计算机是不安全的,那么它就会归类到不安全的这个模版中。
点击左边的“System Health Validators”,在右面的栏目中会列出此文件夹的项目,右击此项目,然后选择“Properties”。打开属性对话框,如图:
在此对话框中,可以设置计算机的筛选条件。然后在下半部分,用户可以选择当出现一些其它问题时(如网络问题),判断计算机是不是安全的,也可以设置为安全的,只需要点击下拉列表,然后选择“Health”就可以了。点击“Configure”进入设置条件对话框。如图:
在这里面,用户可以设置防火墙、杀毒软件、安全更新等。这些是检查计算机是否安全的条件。点击“OK”。这个子文件夹的内容就设置好了。设置下一个――System Health Validators Templates。在这里面新建模版,右键点击,选择“NEW”,如图:弹出创建对话框,在里面输入此模版的名称,比如我们创建一个安全计算机的模版,名称为Compliant Computer,在“Template Type”下拉列表选择“Check passes all SHV checks”。表明只有所有的验证条件符合的计算机才是安全的计算机。然后选中验证器Windows Security Health Validator,如图:
同样的方法创建一个计算机安全验证失败的模版。这次选中“Client fails one or more SHV checks”,这个选项的意思是如果有一个条件不符合安全机制,就认为这个计算机是不安全的。
这一部分完成后,如果不安全的计算机连接到网络,企业希望它被阻止访问企业内部网,同时也希望它能够上网安装补丁,或者进行安全设置以达到企业的标准。那么就需要一台服务器,在它里面可以包含一些安全的补丁,排除错误的方法等等。这个服务器可以配置一个网站,当不安全的计算机连到内部网络的时候,它会自动的访问这个网站,来知道哪些设置是不安全的,以便修复。这样的服务器就是Remediation Server Group。它也可以是一个服务器组。
右键点击“Remediation Server Group”,选择“New”。会弹出一个对话框,输入一个Group Name,这个组名是自己定义的,表示用来修复计算机那个服务器所属的组。选择“Next”,然后在里面添加服务器,最后点击完成。
这些完成之后,我们需要将已经定制的模版和策略集成在一起。这就需要在Authorization Policies里面设置。右键点击“Authorization Policie”,选择“New”-“Custom”。在此我们进行自定义设置。接下来,就会弹出一个自定义对话框,首先输入一个策略名称,这个策略是应用到安全的计算机的策略,我们起名为Compliant Computer,然后在“Policy Type”里面选择“Grant Access”,允许访问内部网络。如图:
然后点击“Conditions”标签,打开此标签。展开左边的树型结构,点击“SHV Templates”,在右边的Existing templates中选择一个策略,在此选择我们以前创建的安全计算机的模版-Compiant Computer。点击“Add”添加这个策略。
然后在左边的属性结构中,点击“Network Access Protection”下的NAP-Capable Computers,如图:
选择“Only computers that are NAP-capable”。此选项表明应用此策略的计算机是支持NAP的计算机。然后打开最后一个标签“Settings”,点击“Network Access Protection”下的“NAP Enforcement”,然后选择“Do not enforce”,因为这是安全的计算机,所以我们不强制使用NAP。
同样的方法创建一个针对不安全计算机的策略。不同的是在策略模版中选择的是不安全计算机的那个模版,“Policy Type”仍然是“Grant Access”。同时在“Settings”标签中的NAP Enforcement中选择“Enforce”,强制使用NAP。并且选中“Update non-compliant computers automatically”。
点击左侧的“Remediation Servers”,在里面选中创建的Remediation Group name。如果你想让不安全的计算机连接到网络上以后,自动的进入一个提供了安全措施的Web站点,你需要在Remediation Servers上创建这样一个站点,并且在左边树型结构的Troubleshooting URL中输入这个网址。到此,服务器端的设置就完成了。
第三步:将客户端加入保护范畴
接下来我们需要配置客户端。如果要使用Windows XP的计算机进行演示,需要在Windows XP上安装一个NAP的客户端,可以在微软站点下载。Windows Vista计算机已经有了NAP的客户端,但是首先需要在Windows Vista计算机服务中将其开启。然后打开MMC,在里面添加“NAP Client Configuration”。如图:
在这里面开启DHCP Quarantine Enforcement Client策略。
至此NAP DHCP保护的配置工作就全部完成了,如果配置没有问题的话,用户可以将客户端加入到域,然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。然后关闭防火墙,等一会在机器的右下角就会弹出一个标志,表明计算机是不安全的,被限制访问内部网络。而重启后我们可以发现防火墙会自动开启。
NAP的功能对于微软来说,的确是一次不小的挑战与革新,毕竟对于整个网络环境的保护,硬件厂商还是有着无可比拟的先天优势,事实上,很多的硬件厂商都已经有了类似于NAP的安全防护功能,有的甚至比微软的技术更加领先,对于网络环境的保护已经成为软硬件厂商激烈竞争的新领域,随着Windos server 2008全新测试版本的推出,NAP另外的几种保护模式也将逐渐成形,到时我们就可以看到更加丰富多彩的网络访问保护了。
在全新的Windos server 2008 中我们可以看到许多针对原先Windows 系统所存在的安全隐患的改进,NAP (Network Access Protection网络访问保护)就是其中非常重要的一项,这个技术可以有效的保证远程的连入计算机的安全。
NAP可提高移动计算机和内部网络的安全性。通常,带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时,连接时间可能会非常短,以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。因此,移动计算机所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性,因为它可确保在用户连接到网络前安装最新的更新内容。
在整个保护过程中,NAP针对存在风险的客户提供了3种解决方案,第一种是通过策略限制他们在内网中的访问,第二种是将这些用户隔离到一个指定的网段以等待下一步处理,而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成,比如SMS (Systems Management Server) ,同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。
在NAP中,Windos server 2008 扩展了Windows Server 2003中的网络访问隔离功能,原先的这一特性只能针对远程访问的用户加以防护,而在NAP中,Windos server 2008 可以保护所有通过VPN、DHCP以及IPsec进行连接的通信,由于篇幅有限,我们在这篇文章中之针对DHCP的客户端进行讲解。
要搭建NAP的环境,我们需要两台Windos server 2008 Beta 2的计算机,一台Windows XP或者Windows Vista的计算机;如果客户端是Windows XP的计算机,那么还必须安装NAPClient软件。
第一步:配置全新的DHCP服务器
要想实现NAP功能,我们首先要有一个域环境,我们选择其中的一台Windos server 2008,将它设置为DC,域的名称为NAP.com。并在此计算机上安装AD、DNS和Network Access Services,在安装Network Access Services时,只选择安装其中的Router and remote access。
将另外一台Windos server 2008加入到NAP.com域,配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统将会询问是否安装WAS和IIS,点击确定,安装完成。环境配置好后,我们需要配置的顺序是先配置DHCP,然后配置Network Policy Service。首先在计算机服务中启动DHCP服务,因为DHCP服务默认是不启动的。然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权,右键点击服务器,选择“Authorizes”进行授权验证。接下来,右键点击“IPv4”,然后选择“New Scope”来新建一个范围,范围的IP地址可以根据现实的情况来设置。配置完IP范围后,在“IP4”下面会出现一个“Scope options”,右键点击,然后选择“Configure options”,打开配置对话框,在这个对话框中有两个标签,首先选择“General”。在下面我们需要配置三个选项,首先选择“Router”,然后在下面输入Router的IP地址;其次选择“DNS Server”选项,输入DNS的IP地址;最后选择“DNS Domain Name”,输入域的名称。如图:
 |
然后选择“Advanced”标签,在这里我们配置关于NAP的一些选项。首选,在User class下拉列表中选择“Default Network Access Protection Class”,表明我们在配置NAP的选项。然后选择“Router”,在下面输入IP地址;接下来选择“DNS Server”,输入IP地址;最后选择“DNS Domain Name”,在下面输入一个域的名称,如unsecure.nap.com,注意这个域名和之前输入的那个域名并没有什么实际的作用,它们只是方便管理员来区分连到网络中的计算机哪些是安全的,哪些是不安全的。比如,如果计算机是安全的,那么它们就会在NAP.com这个域名下,如果计算机不是安全的,那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。
这些配置完成后,关闭对话框,回到DHCP控制台。我们现在需要做的就是将NAP在DHCP上开启。右键点击“Scope”,选择“Properties”。在属性对话框中,选择“Network Access Protection”标签。选中“Enable for this scope”。此时在DHCP上就开启NAP了。
 |
DHCP此时配置完成。
第二步:实现我们的NAP配置
在DHCP配置完后,接下来就需要在这个Windos server 2008上配置NAP的服务了。首先在“Administrative Tools”里面打开“Network Policy Server”。如图:
|
然后展开左边的Network Access Protection,里面有三个子文件夹:System Health Validators,System Health Validators Templates,Remediation Server Group。首先来看第一个,System Health Validators,这个工具的作用就是检测连接到网络中的计算机哪些是不安全的,安全条件用户可以在里面设置,比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。System Health Validators Templates是健康验证模版,在它里面创建两个模版,一个是安全计算机模版,另一个是不安全计算机的模版。System Health Validators工具验证出来的计算机如果是安全的就归类到System Health Validators Templates中那个安全计算机模版中,如果System Health Validators验证计算机是不安全的,那么它就会归类到不安全的这个模版中。
点击左边的“System Health Validators”,在右面的栏目中会列出此文件夹的项目,右击此项目,然后选择“Properties”。打开属性对话框,如图:
 |
在此对话框中,可以设置计算机的筛选条件。然后在下半部分,用户可以选择当出现一些其它问题时(如网络问题),判断计算机是不是安全的,也可以设置为安全的,只需要点击下拉列表,然后选择“Health”就可以了。点击“Configure”进入设置条件对话框。如图:
|
在这里面,用户可以设置防火墙、杀毒软件、安全更新等。这些是检查计算机是否安全的条件。点击“OK”。这个子文件夹的内容就设置好了。设置下一个――System Health Validators Templates。在这里面新建模版,右键点击,选择“NEW”,如图:弹出创建对话框,在里面输入此模版的名称,比如我们创建一个安全计算机的模版,名称为Compliant Computer,在“Template Type”下拉列表选择“Check passes all SHV checks”。表明只有所有的验证条件符合的计算机才是安全的计算机。然后选中验证器Windows Security Health Validator,如图:
 |
同样的方法创建一个计算机安全验证失败的模版。这次选中“Client fails one or more SHV checks”,这个选项的意思是如果有一个条件不符合安全机制,就认为这个计算机是不安全的。
这一部分完成后,如果不安全的计算机连接到网络,企业希望它被阻止访问企业内部网,同时也希望它能够上网安装补丁,或者进行安全设置以达到企业的标准。那么就需要一台服务器,在它里面可以包含一些安全的补丁,排除错误的方法等等。这个服务器可以配置一个网站,当不安全的计算机连到内部网络的时候,它会自动的访问这个网站,来知道哪些设置是不安全的,以便修复。这样的服务器就是Remediation Server Group。它也可以是一个服务器组。
右键点击“Remediation Server Group”,选择“New”。会弹出一个对话框,输入一个Group Name,这个组名是自己定义的,表示用来修复计算机那个服务器所属的组。选择“Next”,然后在里面添加服务器,最后点击完成。
这些完成之后,我们需要将已经定制的模版和策略集成在一起。这就需要在Authorization Policies里面设置。右键点击“Authorization Policie”,选择“New”-“Custom”。在此我们进行自定义设置。接下来,就会弹出一个自定义对话框,首先输入一个策略名称,这个策略是应用到安全的计算机的策略,我们起名为Compliant Computer,然后在“Policy Type”里面选择“Grant Access”,允许访问内部网络。如图:
 |
然后点击“Conditions”标签,打开此标签。展开左边的树型结构,点击“SHV Templates”,在右边的Existing templates中选择一个策略,在此选择我们以前创建的安全计算机的模版-Compiant Computer。点击“Add”添加这个策略。
然后在左边的属性结构中,点击“Network Access Protection”下的NAP-Capable Computers,如图:
 |
选择“Only computers that are NAP-capable”。此选项表明应用此策略的计算机是支持NAP的计算机。然后打开最后一个标签“Settings”,点击“Network Access Protection”下的“NAP Enforcement”,然后选择“Do not enforce”,因为这是安全的计算机,所以我们不强制使用NAP。
同样的方法创建一个针对不安全计算机的策略。不同的是在策略模版中选择的是不安全计算机的那个模版,“Policy Type”仍然是“Grant Access”。同时在“Settings”标签中的NAP Enforcement中选择“Enforce”,强制使用NAP。并且选中“Update non-compliant computers automatically”。
点击左侧的“Remediation Servers”,在里面选中创建的Remediation Group name。如果你想让不安全的计算机连接到网络上以后,自动的进入一个提供了安全措施的Web站点,你需要在Remediation Servers上创建这样一个站点,并且在左边树型结构的Troubleshooting URL中输入这个网址。到此,服务器端的设置就完成了。
第三步:将客户端加入保护范畴
接下来我们需要配置客户端。如果要使用Windows XP的计算机进行演示,需要在Windows XP上安装一个NAP的客户端,可以在微软站点下载。Windows Vista计算机已经有了NAP的客户端,但是首先需要在Windows Vista计算机服务中将其开启。然后打开MMC,在里面添加“NAP Client Configuration”。如图:
 |
在这里面开启DHCP Quarantine Enforcement Client策略。
至此NAP DHCP保护的配置工作就全部完成了,如果配置没有问题的话,用户可以将客户端加入到域,然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。然后关闭防火墙,等一会在机器的右下角就会弹出一个标志,表明计算机是不安全的,被限制访问内部网络。而重启后我们可以发现防火墙会自动开启。
NAP的功能对于微软来说,的确是一次不小的挑战与革新,毕竟对于整个网络环境的保护,硬件厂商还是有着无可比拟的先天优势,事实上,很多的硬件厂商都已经有了类似于NAP的安全防护功能,有的甚至比微软的技术更加领先,对于网络环境的保护已经成为软硬件厂商激烈竞争的新领域,随着Windos server 2008全新测试版本的推出,NAP另外的几种保护模式也将逐渐成形,到时我们就可以看到更加丰富多彩的网络访问保护了。
Win2008终端服务器远程程序配置
终端服务是在Windows NT中首先引入的一个服务。终端服务使用RDP协议(远程桌面协议)客户端连接,使用终端服务的客户可以在远程以图形界面的方式访问服务器,并且可以调用服务器中的应用程序、组件、服务等,和操作本机系统一样。这样的访问方式不仅大大方便了各种各样的用户,而且大大地提高了工作效率,并且能有效地节约企业的成本。
终端服务允许组织通过各种Windows设备在各地访问标准Windows程序,无论是内网还是外网这种访问都是畅通无阻的。而在Windows Server 2008的终端服务中则包含了无缝集成的远程程序。我们先介绍一下关于远程计算的的四个W,然后介绍具体的安装配置。
什么是远程程序(what)
远程程序是一种通过终端服务运行的实现远程访问的程序,这种程序看上去就好像是运行在用户的终端计算机上一样。用户可以并行的运行他们的本地程序以及远程程序。如果一个用户在同一台终端服务器上运行多个远程程序的话,远程程序将会共享同一个终端服务会话。
在Windows Server 2008中,用户可以通过下面的三种方式来运行远程程序:
1. 双击一个管理员创建并分配的.rdp文件
2. 双击桌面上的一个程序图标或者在开始菜单中点击管理员创建并分配的.msi文件。
3. 双击一个后缀与远程程序关联的文件,它们将会被管理员通过.msi的安装文件进行配置。
.rdp和.msi文件包括了运行远程程序所需的设置。在本地计算机上运行了远程程序后,用户可以像运行本地程序一样对运行在终端服务器上的远程程序进行交互。
为什么需要远程计算? (Why)
从表面上来看,我们确实不需要用PC来满足大多数的计算需求,计算机资源的利用率极低——在白天的时候,很多人的计算机的处理器只有百分之几的时间处于繁忙状态,而在夜间甚至根本都不用计算机。即便是以数据中心为例,对不同的数据中心而言,在通过虚拟化实现服务器整合之前,其利用率也通常只有5%-15%。
另外,我们经常还要做大量工作,来升级操作系统和应用软件,确保计算机免受病毒、恶意程序和其他安全威胁的攻击,并对数据定期进行备份。尽管这些方面已经实现了一定的自动化,但还是有很多人会一天到晚地提醒你升级、更新、重新购买种种软硬件产品的最新版本,这实在是有点烦!想想看,如果电视机也要这样不停地升级,我们的生活将会怎样?
还有一个问题就是,如果文件被存放在不同的机器上,这也会带来一些不便,因为这些机器之间可能无法容易地相互访问。假设我在家里、在单位、在度假时会同时操作同一个文档,这通常就会需要各种各样的软件来支持。而如果互联网可以提供一种简单的、在线的、分布式计算环境的话,我们的工作和生活又会怎样呢?估计麻烦会少很多。
哪些人,哪些场景需要远程程序 (when,where)
对于例如评估产品的IT规划师和分析师,企业IT规划设计者以及先期的测试用户来说,远程程序是非常有用的。而远程程序的应用场景则主要集中在下面几方面:
· 商业应用程序部署线
· 漫游用户
· 应用程序部署
1)业务部门应用程序
作为一个合并的按理,公司间的并购是一个非常典型的案例,公司需要为不同的Windows版本和配置指定出一致的业务部门应用程序。比起花费大量财力物力在所有的计算机上部署业务部门应用程序的做法,选择使用远程程序,将业务部分的应用程序安装在一台终端服务器上不失为一种明智之选。
2)漫游用户
在很多的公司都会配置自己灵活的桌面策略,用户可以非常方便的工作于不同的计算机上,在这种环境下,很多的软件其实并不需要安装到本地的计算机上,使用远程程序,只要程序所安装在的终端服务器对用户一直可用就可以满足用户的需求。
3)应用程序部署
使用远程程序,管理员无需在去每台计算机上部署和维护相同程序的不同版本,如果用户需要使用某个程序的不同版本,那么这些不同的版本可以安装在一台或者多台终端服务器上,用户可以通过这些服务器来使用远程程序。
部署远程程序的必备条件
要想部署远程程序,我们需要注意以下几点:
首先,我们必须要通过Windows服务器初始化配置任务(OOBE.exe)安装终端服务,并且使用添加角色向导来安装和配置终端服务。如果你使用的是Windows Server 2008 Beta 2 的版本,那么你必须在安装完终端服务后重启两遍计算机,然后通过检查服务器管理工具的角色汇总页来确认终端服务的安装情况。
在用户本地计算机运行远程程序时必须要使用Windows Vista的远程桌面连接,而对于许可证的数量则是等同于终端服务的许可证数量。
在使用远程程序时推荐的终端服务器配置
根据下面的概述,我们可以完成对于终端服务器的配置,首先,我们来配置远程程序的登录设置,点击Start,选择 Administrative Tools,然后点击 Terminal Services Configuration右击RDP-Tcp选择其中的Properties点击Logon Settings 页签,检查Use client-provided logon information 选择是否已经被选择上,然后验证 Always use the following logon information 选项以及 Always prompt for password 的复选框没有被选中。
在使用远程程序时,用户可能会遇到一些问题,例如当用户开启一个snap-in工具时,如果弹出一个Windows安全警告对话框显示"Windows needs your permission to use this program",点击Permit就可以了,而对于远程程序创建的.rdp文件则是配置需要SSL/TLS授权认证的,如果用户的终端服务器没有配置支持SSL/TLS授权认证,那么用户需要一个文本编译器,例如最简单的记事本工具来编辑.rdp文件取消对于SSL/TLS的授权认证需求。如果你试图通过Takeover Client Extensions创建一个.msi文件,而这个又没有任何关联的后缀,那么你会收到一个错误信息,.msi文件页不会被创建。错误信息将会提示用户"available disk space and write access to the specified directory"。
部署远程程序的步骤
要想完成远程程序的部署,我们需要完成下面的任务:
· 发布一个应用程序
· 创建一个RDP 包
· 创建一个 MSI 包
· 调整远程程序包设置 (可选)
· 分发 .rdp 或者 .msi 文件
下面我们就来看每一步的具体操作,首先就是发布一个应用程序,运行微软管理控制台(mmc.exe)添加终端服务应用程序发布(Terminal Services Application Publishing)工具,在动作页点击Publish an Application来开启远程应用程序发布向导。在向导的选择要发布的应用程序页,选择你希望发布的安装在终端服务器上的应用程序。当向导完成后,发布的应用程序列表将会出现在终端服务应用程序发布(Terminal Services Application Publishing)工具的发布窗格中,如果想发布其它的应用程序,就再次运行远程应用程序发布向导。已经被发布的应用程序不会再出现在可选的应用程序发布窗口中。要想删除在发布列表中的应用程序,只需点击发布窗格中的应用程序名字,然后点击动作栏中的Remove。
下面我们来创建RDP包,首先选择刚才发布的应用程序名在动作窗口点击Create RDP Package开启远程应用程序发布向导。在向导的详细包设置页,选择一个位置来保存向导创建的.rdp文件。用户需要创建一个集中的文件夹来保存所有向导创建的.rdp文件。当向导完成后,保存.rdp文件的文件夹将会自动打开,以便用户确认文件成功保存,反复执行上面的操作,用户就可以为相同程序的不同的设置创建出多个RDP包,创建的文件名会自动在后面加上括号和编码,例如Remote WordPad (1).rdp.
创建MSI包的过程和创建RDP包大致类似,只是选择时选择Create MSI Package就可以了,需要注意的是,在向导的配置分发包页面,用户可以选择终端用户计算机上应用程序图标出现的位置。同时也可以修改终端计算机对于远程程序关联的后缀名。
下面我们来调整远程程序包的设置(可选)
使用记事本工具打开刚才创建的.rdp文件,按照自己的需要添加或者修改下面的设置,
Authentication Level:i:value
· If i =0: SSL/TLS authentication not attempted.
· If i =1: SSL/TLS authentication required. (Default)
· If i =2: SSL/TLS authentication attempted but not required.
remoteapplicationname:s:Program_name
· 为程序提供一个用户可以看到的名称
remoteapplicationicon:s:Path_to_icon
提供一个显示给用户的图标的完整路径
如果创建的是一个.msi的文件,那么用户就不能通过记事本这样的工具来调整设置,但是用户可以在.rdp文件安装在终端用户计算机上后修改包含在.msi文件中的.rdp文件。
最后我们来分发.rdp或者.msi文件,如果是.rdp文件,那么我们可以通过常用的软件分发程序来分发到终端用户,例如微软的Microsoft Systems Management Server。
如果是.msi的文件,那么我们不尽可以使用Microsoft Systems Management Server分发,还可以借助活动目录组策略来完成分发。
每个终端服务器的下一版本都会更加接近一个完美的解决方案,尽管新的终端服务远程功能仍然有一些需要由第三方产品弥补的缺陷,但是已经添加的很多功能使配置大量服务器变得更加容易。通过使用终端服务器远程程序,企业可以大大降低其为用户群提供的远程方式访问任务关键级客户机/服务器应用程序所需的成本费用。除了在硬件、第三方加载项和支持成本方面节约的大量资金外,全新的远程访问解决方案还可以节省管理费用,并且提供更加无缝的终端用户体验,同时提升系统的可用性时间。
终端服务允许组织通过各种Windows设备在各地访问标准Windows程序,无论是内网还是外网这种访问都是畅通无阻的。而在Windows Server 2008的终端服务中则包含了无缝集成的远程程序。我们先介绍一下关于远程计算的的四个W,然后介绍具体的安装配置。
什么是远程程序(what)
远程程序是一种通过终端服务运行的实现远程访问的程序,这种程序看上去就好像是运行在用户的终端计算机上一样。用户可以并行的运行他们的本地程序以及远程程序。如果一个用户在同一台终端服务器上运行多个远程程序的话,远程程序将会共享同一个终端服务会话。
在Windows Server 2008中,用户可以通过下面的三种方式来运行远程程序:
1. 双击一个管理员创建并分配的.rdp文件
2. 双击桌面上的一个程序图标或者在开始菜单中点击管理员创建并分配的.msi文件。
3. 双击一个后缀与远程程序关联的文件,它们将会被管理员通过.msi的安装文件进行配置。
.rdp和.msi文件包括了运行远程程序所需的设置。在本地计算机上运行了远程程序后,用户可以像运行本地程序一样对运行在终端服务器上的远程程序进行交互。
为什么需要远程计算? (Why)
从表面上来看,我们确实不需要用PC来满足大多数的计算需求,计算机资源的利用率极低——在白天的时候,很多人的计算机的处理器只有百分之几的时间处于繁忙状态,而在夜间甚至根本都不用计算机。即便是以数据中心为例,对不同的数据中心而言,在通过虚拟化实现服务器整合之前,其利用率也通常只有5%-15%。
另外,我们经常还要做大量工作,来升级操作系统和应用软件,确保计算机免受病毒、恶意程序和其他安全威胁的攻击,并对数据定期进行备份。尽管这些方面已经实现了一定的自动化,但还是有很多人会一天到晚地提醒你升级、更新、重新购买种种软硬件产品的最新版本,这实在是有点烦!想想看,如果电视机也要这样不停地升级,我们的生活将会怎样?
还有一个问题就是,如果文件被存放在不同的机器上,这也会带来一些不便,因为这些机器之间可能无法容易地相互访问。假设我在家里、在单位、在度假时会同时操作同一个文档,这通常就会需要各种各样的软件来支持。而如果互联网可以提供一种简单的、在线的、分布式计算环境的话,我们的工作和生活又会怎样呢?估计麻烦会少很多。
哪些人,哪些场景需要远程程序 (when,where)
对于例如评估产品的IT规划师和分析师,企业IT规划设计者以及先期的测试用户来说,远程程序是非常有用的。而远程程序的应用场景则主要集中在下面几方面:
· 商业应用程序部署线
· 漫游用户
· 应用程序部署
1)业务部门应用程序
作为一个合并的按理,公司间的并购是一个非常典型的案例,公司需要为不同的Windows版本和配置指定出一致的业务部门应用程序。比起花费大量财力物力在所有的计算机上部署业务部门应用程序的做法,选择使用远程程序,将业务部分的应用程序安装在一台终端服务器上不失为一种明智之选。
2)漫游用户
在很多的公司都会配置自己灵活的桌面策略,用户可以非常方便的工作于不同的计算机上,在这种环境下,很多的软件其实并不需要安装到本地的计算机上,使用远程程序,只要程序所安装在的终端服务器对用户一直可用就可以满足用户的需求。
3)应用程序部署
使用远程程序,管理员无需在去每台计算机上部署和维护相同程序的不同版本,如果用户需要使用某个程序的不同版本,那么这些不同的版本可以安装在一台或者多台终端服务器上,用户可以通过这些服务器来使用远程程序。
部署远程程序的必备条件
要想部署远程程序,我们需要注意以下几点:
首先,我们必须要通过Windows服务器初始化配置任务(OOBE.exe)安装终端服务,并且使用添加角色向导来安装和配置终端服务。如果你使用的是Windows Server 2008 Beta 2 的版本,那么你必须在安装完终端服务后重启两遍计算机,然后通过检查服务器管理工具的角色汇总页来确认终端服务的安装情况。
在用户本地计算机运行远程程序时必须要使用Windows Vista的远程桌面连接,而对于许可证的数量则是等同于终端服务的许可证数量。
在使用远程程序时推荐的终端服务器配置
根据下面的概述,我们可以完成对于终端服务器的配置,首先,我们来配置远程程序的登录设置,点击Start,选择 Administrative Tools,然后点击 Terminal Services Configuration右击RDP-Tcp选择其中的Properties点击Logon Settings 页签,检查Use client-provided logon information 选择是否已经被选择上,然后验证 Always use the following logon information 选项以及 Always prompt for password 的复选框没有被选中。
在使用远程程序时,用户可能会遇到一些问题,例如当用户开启一个snap-in工具时,如果弹出一个Windows安全警告对话框显示"Windows needs your permission to use this program",点击Permit就可以了,而对于远程程序创建的.rdp文件则是配置需要SSL/TLS授权认证的,如果用户的终端服务器没有配置支持SSL/TLS授权认证,那么用户需要一个文本编译器,例如最简单的记事本工具来编辑.rdp文件取消对于SSL/TLS的授权认证需求。如果你试图通过Takeover Client Extensions创建一个.msi文件,而这个又没有任何关联的后缀,那么你会收到一个错误信息,.msi文件页不会被创建。错误信息将会提示用户"available disk space and write access to the specified directory"。
部署远程程序的步骤
要想完成远程程序的部署,我们需要完成下面的任务:
· 发布一个应用程序
· 创建一个RDP 包
· 创建一个 MSI 包
· 调整远程程序包设置 (可选)
· 分发 .rdp 或者 .msi 文件
下面我们就来看每一步的具体操作,首先就是发布一个应用程序,运行微软管理控制台(mmc.exe)添加终端服务应用程序发布(Terminal Services Application Publishing)工具,在动作页点击Publish an Application来开启远程应用程序发布向导。在向导的选择要发布的应用程序页,选择你希望发布的安装在终端服务器上的应用程序。当向导完成后,发布的应用程序列表将会出现在终端服务应用程序发布(Terminal Services Application Publishing)工具的发布窗格中,如果想发布其它的应用程序,就再次运行远程应用程序发布向导。已经被发布的应用程序不会再出现在可选的应用程序发布窗口中。要想删除在发布列表中的应用程序,只需点击发布窗格中的应用程序名字,然后点击动作栏中的Remove。
下面我们来创建RDP包,首先选择刚才发布的应用程序名在动作窗口点击Create RDP Package开启远程应用程序发布向导。在向导的详细包设置页,选择一个位置来保存向导创建的.rdp文件。用户需要创建一个集中的文件夹来保存所有向导创建的.rdp文件。当向导完成后,保存.rdp文件的文件夹将会自动打开,以便用户确认文件成功保存,反复执行上面的操作,用户就可以为相同程序的不同的设置创建出多个RDP包,创建的文件名会自动在后面加上括号和编码,例如Remote WordPad (1).rdp.
创建MSI包的过程和创建RDP包大致类似,只是选择时选择Create MSI Package就可以了,需要注意的是,在向导的配置分发包页面,用户可以选择终端用户计算机上应用程序图标出现的位置。同时也可以修改终端计算机对于远程程序关联的后缀名。
下面我们来调整远程程序包的设置(可选)
使用记事本工具打开刚才创建的.rdp文件,按照自己的需要添加或者修改下面的设置,
Authentication Level:i:value
· If i =0: SSL/TLS authentication not attempted.
· If i =1: SSL/TLS authentication required. (Default)
· If i =2: SSL/TLS authentication attempted but not required.
remoteapplicationname:s:Program_name
· 为程序提供一个用户可以看到的名称
remoteapplicationicon:s:Path_to_icon
提供一个显示给用户的图标的完整路径
如果创建的是一个.msi的文件,那么用户就不能通过记事本这样的工具来调整设置,但是用户可以在.rdp文件安装在终端用户计算机上后修改包含在.msi文件中的.rdp文件。
最后我们来分发.rdp或者.msi文件,如果是.rdp文件,那么我们可以通过常用的软件分发程序来分发到终端用户,例如微软的Microsoft Systems Management Server。
如果是.msi的文件,那么我们不尽可以使用Microsoft Systems Management Server分发,还可以借助活动目录组策略来完成分发。
每个终端服务器的下一版本都会更加接近一个完美的解决方案,尽管新的终端服务远程功能仍然有一些需要由第三方产品弥补的缺陷,但是已经添加的很多功能使配置大量服务器变得更加容易。通过使用终端服务器远程程序,企业可以大大降低其为用户群提供的远程方式访问任务关键级客户机/服务器应用程序所需的成本费用。除了在硬件、第三方加载项和支持成本方面节约的大量资金外,全新的远程访问解决方案还可以节省管理费用,并且提供更加无缝的终端用户体验,同时提升系统的可用性时间。
Windows 2008的NLB配置攻略
在今天的文章中,我们将为大家介绍Windows Server 2008中的终端服务网络负载平衡功能。
随着互联网的迅速发展,应用服务器工作量的日益增加,负载均衡技术的应用越加的广泛,而在众多的负载平衡技术中,网络负载平衡技术由于其优势,成为了目前使用最为广泛的技术。
网络负载平衡技术就是能将大量的客户端请求负载比较平均地分布到同一网络中的多台服务器或多块网卡来进行处理的一种技术。使用Windows Network Load Balancing Services(网络负载平衡服务)可以极大的提高系统的可靠性及性能,并且增强服务器应用程序的可伸缩性和可用性。目前可以利用网络负载平衡的应用程序包括诸如 HTTP 和文件传输协议 (FTP)(使用 Internet 信息服务 (IIS))、防火墙与代理(使用 ISA 2000)、虚拟专用网、Windows Media Services、移动信息服务器和终端服务等这样的 Web 服务。同时,网络负载平衡还有助于改善服务器的可伸缩性,以满足不断增长的 Internet 型客户端的需求。
NLB群集最早出现在Windows 2000 Server的Advanced Server系统中,在Windows Server 2003的某些版本中均提供了此项功能。在NLB群集中,每台服务器都会有一个属于自己的静态IP地址,但NLB群集中的所有服务器还有一个共同的IP地址—NLB群集地址。客户端可以通过这个IP地址连接到NLB群集,就像连接到其它IP地址一样。当有客户端请求连接到这个共享的IP地址时,NLB群集会将每个访问请求指派一个具体的群集成员。当部署一个使用网络负载平衡的群集时,每个服务器都需要对所有的用户可用,为了更加方便的实现这一点,我们需要存储每个用户的信息,系统的信息,以及公共的信息在一个都可以访问的地方,例如后端的文件服务器。
必要的终端服务组件
对于建立网络负载平衡,终端服务中有两个组件至关重要。
首先就是Terminal Services Session Directory(终端服务会话目录),这个服务是一个用来跟踪群集上终端服务会话的数据库,它可以为用户连接到现在正在进行的会话提供信息。
Terminal Services Session Directory 系统服务允许负载平衡的终端服务器群集将用户的连接请求路由到该用户已经具有运行会话的服务器上。用户将被路由到第一个可用的终端服务器,而不管这些用户在群集中的其他服务器上是否有运行的会话。负载均衡通过 TCP/IP 网络协议将几个服务器上正在处理的资源集中起来。对终端服务器的群集使用此服务,可以通过在多个服务器之间分布会话来平衡单个终端服务器的性能。会话目录跟踪群集中的断开的会话,确保用户可以重新连接到那些会话。
当会话目录服务开启后,它将创建一个“Session Directory Computers”的本地组,默认这个组是不被使用的,用户必须要手动的将希望加入会话目录服务的计算机或者组加到里面去。
为了确保会话目录服务是开启状态的,用户可以在Services里双击Terminal Services Session Directory Properties 然后点选Start。
另一个组件就是 Terminal Services Connection Management ,这个工具与网络负载平衡服务一起工作,用来确保用户可以重新连接到原来的会话上。整个过程分成下面两步:
1. 当用户登录到终端服务群集时,终端服务器将会收到一个初始用户登录请求,并且向会话目录服务器发送一个查询。
2. 会话目录服务通过自己的数据库检查用户名,然后发送检查结果到请求服务器:如果用户没有断开的会话,登录将继续驻留在初始连接的服务器;而如果用户在其他的服务器上有断开的会话,那么客户端会话将会传递到那台服务器并继续登录。
NLB的准备工作
要想使用NLB, 我们必须实现做好下面的准备,首先我们要有一个用于负载平衡的网络适配器,同时在启用了网络负载平衡的适配器上只安装TCP/IP协议族,而不要添加例如IPX等协议,对于划分了子网的网络环境来说,所有的NLB群集主机都必须放在同一个子网中,从而确保群集用户可以访问到这些服务器。
一切就绪后,我们就可以开始配置终端服务的网络负载平衡功能了,我们分3步来实现这个功能:
第一步: 创建一个终端服务群集
要想创建一个终端服务群集,我们首先打开将要加入群集的组织单元的组策略对象,在Computer Configuration中的Administrative Templates中的Windows Components中的Terminal Services中的Session Directory上,点选Join Session Directory 设置,在Session Directory Server 设置中,键入正在运行终端服务会话目录服务的服务器名称,点击 Session Directory Cluster Name 设置在 Session Directory Cluster Name上键入终端服务所属群集的名称。需要注意的是你需要彻底的对组策略的任意一个改变进行测试,之后才可以将这些改变应用到你的生产环境中。
第二步:安装 网络负载平衡组件
NLB 必须被安装在用于RDP连接的网络适配器上,安装NLB组件和安装其他Windows组件没有什么区别,用户点击Start中的 Control Panel后, 双击 Add or Remove Programs.然后在Windows 组件中选择Network Load Balancing 按照向导完成安装就可以了。
第三步:创建一个网络负载平衡群集
要想配置一个网络负载平衡群集,用户必须要配置三种类型的参数,第一是主机参数,这个参数用来定位网络负载平衡群集中的每一台主机;第二种是群集参数,这个参数应用于整个网络负载平衡群集当中;最后一种是节点规则,它主要是用于控制群集的功能性。默认的,一个节点规则用于平衡服务器间所有的TCP/IP数据交换。如果希望在终端服务环境中使用规则,用户需要修改这些默认的规则。
下面我们来看具体的配置,首先点击Start, Control Panel,然后双击Administrative Tools 打开网络负载平衡管理器(当然你也可以通过Nlbmgr命令在命令行窗口开启这个管理器),右击Network Load Balancing Clusters选择New Cluster,在Host中,键入主机的名称,这里连接到的主机将是新的群集中的一部分,完成后选择Connect. 选择好你希望群集使用的接口后,点击Next。
下面我们要来配置主机参数(Host Parameters), 在Priority (Unique host identifier)中键入一个值,这个参数将为每一个主机指定一个唯一的ID。拥有最小优先级数值的主机将会处理群集环境中所有没有被节点规则覆盖的通讯,你也可以通过Network Load Balancing Properties 对话框中的Port rules 页签来忽略这些优先级的设置,并且为特定的节点序列提供负载平衡。设置完成后选择Next继续。
在 Cluster IP Addresses 中点击 Add 键入群集的 IP地址,这个地址将会被群集中的任意一个主机共享,点击Next继续。在配置Cluster Parameters 中,键入IP地址和子网掩码,这些设置在整个群集的终端服务中必须是一致的,而一个完整的网络名称在终端服务的NLB中是不需要的。
在Cluster operation mode 中,点击Unicast 指定一个MAC地址用于群集服务操作使用。在unicast mode下,群集的MAC 地址将会被分配到计算机的网络适配器上,而网卡内建的MAC地址将不被使用。点击Next继续。
之后我们还要进行Port Rules 的配置,通过 Edit 选项来修改默认的节点规则。具体配置如下:
在Port Range 中将序列指定为 3389 到 3389 ,这样新的规则将仅用于RDP通讯。在Protocols 中选择 TCP 作为TCP/IP协议族中特定的协议来应用于节点的规则。这样只有特定协议的网络通讯才会收到规则的影响。通讯也不会受到默认主机处理的节点规则的影响。在Filtering mode 下,通过选择 Multiple host ,我们可以指定群集中的多个主机用于这个处理节点规则的网络通讯。在Affinity (这个功能只应用于多主机筛选模式)中,如果你计划使用会话目录,那么选择None ,反之选择 Single 。
配置节点规则的Load weight 。这个参数也只应用于多主机筛选模式中,当使用这种模式时,这个参数用来指定其关联的节点规则所能负荷的负载平衡网络通讯的相对数量。允许的数值的范围在0到100之间,如果不希望某台主机负载任何的网络通讯,就可以将这个值设置为0。使用这个参数,我们可以为群集中的每一台主机设置不同的负载值,如果想平均分配这些负载,那么可以使用Equal来代替Load weight参数,同时这两种参数也可以联合使用,当选择了Equal时,NLB将会自动计算每台主机的负载平衡。
至此,所有的配置就已经完成了,我们可以测试使用终端服务群集的网络负载平衡了。其实网络负载平衡是企业网络中非常普遍的一项应用,合理的应用这一功能不仅可以使企业的网络设备重新焕发活力,更能够通过组合使原本性能较低的产品达到更高的性能,从而为用户提供更加称职的服务。在众多的负载平衡产品之中,微软的网络负载平衡(NLB)一直是网络管理员获得更高的性能和更高的可用性的一种低成本的选择。虽然微软的NLB没有其它专用负载平衡程序的功能强大,但是其作为操作系统自带的功能这一得天独厚的优势,还是会征服众多企业的心。此次Windows Server 2008的发布相信将会使这一功能更加完善。
随着互联网的迅速发展,应用服务器工作量的日益增加,负载均衡技术的应用越加的广泛,而在众多的负载平衡技术中,网络负载平衡技术由于其优势,成为了目前使用最为广泛的技术。
网络负载平衡技术就是能将大量的客户端请求负载比较平均地分布到同一网络中的多台服务器或多块网卡来进行处理的一种技术。使用Windows Network Load Balancing Services(网络负载平衡服务)可以极大的提高系统的可靠性及性能,并且增强服务器应用程序的可伸缩性和可用性。目前可以利用网络负载平衡的应用程序包括诸如 HTTP 和文件传输协议 (FTP)(使用 Internet 信息服务 (IIS))、防火墙与代理(使用 ISA 2000)、虚拟专用网、Windows Media Services、移动信息服务器和终端服务等这样的 Web 服务。同时,网络负载平衡还有助于改善服务器的可伸缩性,以满足不断增长的 Internet 型客户端的需求。
 |
NLB群集最早出现在Windows 2000 Server的Advanced Server系统中,在Windows Server 2003的某些版本中均提供了此项功能。在NLB群集中,每台服务器都会有一个属于自己的静态IP地址,但NLB群集中的所有服务器还有一个共同的IP地址—NLB群集地址。客户端可以通过这个IP地址连接到NLB群集,就像连接到其它IP地址一样。当有客户端请求连接到这个共享的IP地址时,NLB群集会将每个访问请求指派一个具体的群集成员。当部署一个使用网络负载平衡的群集时,每个服务器都需要对所有的用户可用,为了更加方便的实现这一点,我们需要存储每个用户的信息,系统的信息,以及公共的信息在一个都可以访问的地方,例如后端的文件服务器。
必要的终端服务组件
对于建立网络负载平衡,终端服务中有两个组件至关重要。
首先就是Terminal Services Session Directory(终端服务会话目录),这个服务是一个用来跟踪群集上终端服务会话的数据库,它可以为用户连接到现在正在进行的会话提供信息。
Terminal Services Session Directory 系统服务允许负载平衡的终端服务器群集将用户的连接请求路由到该用户已经具有运行会话的服务器上。用户将被路由到第一个可用的终端服务器,而不管这些用户在群集中的其他服务器上是否有运行的会话。负载均衡通过 TCP/IP 网络协议将几个服务器上正在处理的资源集中起来。对终端服务器的群集使用此服务,可以通过在多个服务器之间分布会话来平衡单个终端服务器的性能。会话目录跟踪群集中的断开的会话,确保用户可以重新连接到那些会话。
当会话目录服务开启后,它将创建一个“Session Directory Computers”的本地组,默认这个组是不被使用的,用户必须要手动的将希望加入会话目录服务的计算机或者组加到里面去。
为了确保会话目录服务是开启状态的,用户可以在Services里双击Terminal Services Session Directory Properties 然后点选Start。
另一个组件就是 Terminal Services Connection Management ,这个工具与网络负载平衡服务一起工作,用来确保用户可以重新连接到原来的会话上。整个过程分成下面两步:
1. 当用户登录到终端服务群集时,终端服务器将会收到一个初始用户登录请求,并且向会话目录服务器发送一个查询。
2. 会话目录服务通过自己的数据库检查用户名,然后发送检查结果到请求服务器:如果用户没有断开的会话,登录将继续驻留在初始连接的服务器;而如果用户在其他的服务器上有断开的会话,那么客户端会话将会传递到那台服务器并继续登录。
NLB的准备工作
要想使用NLB, 我们必须实现做好下面的准备,首先我们要有一个用于负载平衡的网络适配器,同时在启用了网络负载平衡的适配器上只安装TCP/IP协议族,而不要添加例如IPX等协议,对于划分了子网的网络环境来说,所有的NLB群集主机都必须放在同一个子网中,从而确保群集用户可以访问到这些服务器。
一切就绪后,我们就可以开始配置终端服务的网络负载平衡功能了,我们分3步来实现这个功能:
第一步: 创建一个终端服务群集
要想创建一个终端服务群集,我们首先打开将要加入群集的组织单元的组策略对象,在Computer Configuration中的Administrative Templates中的Windows Components中的Terminal Services中的Session Directory上,点选Join Session Directory 设置,在Session Directory Server 设置中,键入正在运行终端服务会话目录服务的服务器名称,点击 Session Directory Cluster Name 设置在 Session Directory Cluster Name上键入终端服务所属群集的名称。需要注意的是你需要彻底的对组策略的任意一个改变进行测试,之后才可以将这些改变应用到你的生产环境中。
第二步:安装 网络负载平衡组件
NLB 必须被安装在用于RDP连接的网络适配器上,安装NLB组件和安装其他Windows组件没有什么区别,用户点击Start中的 Control Panel后, 双击 Add or Remove Programs.然后在Windows 组件中选择Network Load Balancing 按照向导完成安装就可以了。
第三步:创建一个网络负载平衡群集
要想配置一个网络负载平衡群集,用户必须要配置三种类型的参数,第一是主机参数,这个参数用来定位网络负载平衡群集中的每一台主机;第二种是群集参数,这个参数应用于整个网络负载平衡群集当中;最后一种是节点规则,它主要是用于控制群集的功能性。默认的,一个节点规则用于平衡服务器间所有的TCP/IP数据交换。如果希望在终端服务环境中使用规则,用户需要修改这些默认的规则。
下面我们来看具体的配置,首先点击Start, Control Panel,然后双击Administrative Tools 打开网络负载平衡管理器(当然你也可以通过Nlbmgr命令在命令行窗口开启这个管理器),右击Network Load Balancing Clusters选择New Cluster,在Host中,键入主机的名称,这里连接到的主机将是新的群集中的一部分,完成后选择Connect. 选择好你希望群集使用的接口后,点击Next。
下面我们要来配置主机参数(Host Parameters), 在Priority (Unique host identifier)中键入一个值,这个参数将为每一个主机指定一个唯一的ID。拥有最小优先级数值的主机将会处理群集环境中所有没有被节点规则覆盖的通讯,你也可以通过Network Load Balancing Properties 对话框中的Port rules 页签来忽略这些优先级的设置,并且为特定的节点序列提供负载平衡。设置完成后选择Next继续。
在 Cluster IP Addresses 中点击 Add 键入群集的 IP地址,这个地址将会被群集中的任意一个主机共享,点击Next继续。在配置Cluster Parameters 中,键入IP地址和子网掩码,这些设置在整个群集的终端服务中必须是一致的,而一个完整的网络名称在终端服务的NLB中是不需要的。
 |
在Cluster operation mode 中,点击Unicast 指定一个MAC地址用于群集服务操作使用。在unicast mode下,群集的MAC 地址将会被分配到计算机的网络适配器上,而网卡内建的MAC地址将不被使用。点击Next继续。
之后我们还要进行Port Rules 的配置,通过 Edit 选项来修改默认的节点规则。具体配置如下:
在Port Range 中将序列指定为 3389 到 3389 ,这样新的规则将仅用于RDP通讯。在Protocols 中选择 TCP 作为TCP/IP协议族中特定的协议来应用于节点的规则。这样只有特定协议的网络通讯才会收到规则的影响。通讯也不会受到默认主机处理的节点规则的影响。在Filtering mode 下,通过选择 Multiple host ,我们可以指定群集中的多个主机用于这个处理节点规则的网络通讯。在Affinity (这个功能只应用于多主机筛选模式)中,如果你计划使用会话目录,那么选择None ,反之选择 Single 。
配置节点规则的Load weight 。这个参数也只应用于多主机筛选模式中,当使用这种模式时,这个参数用来指定其关联的节点规则所能负荷的负载平衡网络通讯的相对数量。允许的数值的范围在0到100之间,如果不希望某台主机负载任何的网络通讯,就可以将这个值设置为0。使用这个参数,我们可以为群集中的每一台主机设置不同的负载值,如果想平均分配这些负载,那么可以使用Equal来代替Load weight参数,同时这两种参数也可以联合使用,当选择了Equal时,NLB将会自动计算每台主机的负载平衡。
至此,所有的配置就已经完成了,我们可以测试使用终端服务群集的网络负载平衡了。其实网络负载平衡是企业网络中非常普遍的一项应用,合理的应用这一功能不仅可以使企业的网络设备重新焕发活力,更能够通过组合使原本性能较低的产品达到更高的性能,从而为用户提供更加称职的服务。在众多的负载平衡产品之中,微软的网络负载平衡(NLB)一直是网络管理员获得更高的性能和更高的可用性的一种低成本的选择。虽然微软的NLB没有其它专用负载平衡程序的功能强大,但是其作为操作系统自带的功能这一得天独厚的优势,还是会征服众多企业的心。此次Windows Server 2008的发布相信将会使这一功能更加完善。
2013年5月14日星期二
实用:如何在国际服客户端通过Steam运行国服DOTA2客户端
美世界DOTA2国服首测已经开始,已经拿到首测激活码的玩家在这几天应该已经好好体验了国服畅快的DOTA2了!但是还有很多玩家对首测激活码翘首以盼。
今天水友QWE623411发现在STEAM上通过修改DOTA2启动项的参数就可以不用下载国服DOTA2客户端直接进入国服。
此方法有两个先决条件:
1.你的账号拥有国服测试资格(虽然没有也可以进,但是你进去做啥?)
2.你已经下载好了DOTA2(steam版)
具体方法如下:
跟首测激活码登陆的DOTA2客户端一样,服务器只有Perfect World(China)一个服务器
这个方法经过小编测试登陆国服DOTA2没有问题,值得注意的是,要进行国服游戏依然需要激活码。
今天水友QWE623411发现在STEAM上通过修改DOTA2启动项的参数就可以不用下载国服DOTA2客户端直接进入国服。
此方法有两个先决条件:
1.你的账号拥有国服测试资格(虽然没有也可以进,但是你进去做啥?)
2.你已经下载好了DOTA2(steam版)
具体方法如下:
右键DOTA2点击属性
点击设置启动项
在启动项中输入-perfectworld steam,点击确定就可以启动DOTA2国服了
上图是小编通过以上方法登陆的DOTA2,进入后就是国服DOTA2的客户端。
跟首测激活码登陆的DOTA2客户端一样,服务器只有Perfect World(China)一个服务器
这个方法经过小编测试登陆国服DOTA2没有问题,值得注意的是,要进行国服游戏依然需要激活码。
2013年5月8日星期三
2013年5月7日星期二
男人如何提高精子的质量
由于社会的发展,人们生活条件的提高。大多数人的生活越来越不趋于正常方向,经常晚睡晚起,嗜烟嗜酒。从而导致精子数量以及质量上的下降。那么怎么拯救呢?
日前,江苏省人民医院发布5000元求捐精的公告,引起网友热议。不少网友甚至发起了“一次捐精可得5000元报酬,你说你每周浪费了多少钱?”的话题,众网友感叹道:按这么说,我已经打掉了一架波音747了……专家们表示,这种“躺着就能赚钱”的美事并不是“是个男的都行”,毕竟现在男人的精子质量越来越差了。所以,建议男人们要改变生活方式拯救越来越弱的“小蝌蚪”。
生活方式影响精子质量
很多人认为“越年轻精子质量越高”,其实并不对。高涨的物价、动辄上万的房价,使男人不得不加班加点,工作生活压力大,加上抽烟、喝酒、熬夜、应酬各种不良生活习惯以及环境污染等诸多因素,上班族男人的精子质量越来越糟糕。而大学生群体不良嗜好少,生活相对轻松,精子合格率会高一些。不过即使是学生群体,合格率也只有30%左右,社会人士的合格率则不到20%。
他上周接待了一名在读大二的大学生,据反映最近几天,因为尿频、尿急等症状,一天跑二十来趟厕所,非常苦恼。咨询中得知该患者是一名网络游戏爱好者,平时没课时就在宿舍打游戏,若是周末熬夜玩游戏更是家常便饭。因为出现各种小便问题,该患者怀疑自己的肾坏了,而且莫名的下腹部疼痛常扰得他睡不着觉。
随着网络的普及,现在上网已经成为年轻人很重要的业余消遣方式,沉迷其中的也不在少数,对于他们而言,熬夜上网是常有的事,玩得高兴时,甚至长时间憋尿也不去厕所。而不少游戏迷,一日三餐只吃方便面,营养严重跟不上。在大学校园里,经常都会看到骨瘦如柴、两眼无光一副明显营养不良样的学生,这样的学生精子质量十有八九不合格。同时,年轻人抽烟的也很普遍,有些甚至一天抽一两包;随着性行为发生的年龄越来越早,导致年轻人生殖系统受到感染和发病的概率增多。种种原因表明,年轻人的精子质量也越来越不尽如人意。
提高精子质量多吃西红柿
很多男人都是想要生孩子时才到医院检查,这时才发现问题已经很严重。其实从小事做起,男人的精子质量将得到很好的改善。
男性少吃芹菜、白萝卜、苦瓜、生大蒜等食物,这些对于男性精子的影响是比较大的。有动物实验证明,苦瓜素、大蒜素等都会对男性精子产生一定的影响。可以多吃一些西红柿和胡萝卜。研究证明在男性精子质量下降的时候同时表现为维生素含量的缺乏,而西红柿中含有大量的锌,胡萝卜中也含有多种维生素,对于男性生殖健康是有益的。
此外,烧烤和油炸的淀粉类食物中含有致癌毒物丙烯酰胺,可导致男性少精、弱精。有研究发现,少弱精症患者的精子减少、活力下降,与锌这种微量元素的缺乏有关系。因此,多吃牡蛎、虾皮、动物肝脏、紫菜、芝麻、花生、豆类等富含锌的食物,可以保证“精”力充沛。
平时尽量按时作息,减少抽烟喝酒、不要把笔记本电脑放在腿上、手机不要放在裤兜里或别在腰间、不要穿紧身裤、泡热水澡蒸桑拿等行为会严重影响睾丸的生精功能。此外,长期的久坐、开车、骑自行车等行为也会导致睾丸的温度升高,影响精子质量。
如果精子质量已经出现了问题也不要过分担心,因为有些精子质量问题也可能是暂时性的,如果有生殖疾病、抽烟、酗酒、经常熬夜、加班、压力大等情况,只要调整好,通过健康的生活方式就可以使精子质量得到提高,同时也可在医生的指导下通过药物治疗来改善精子质量。
睾丸炎直接影响精子成活率
睾丸是男性存储精子的场所,如果男性睾丸发炎患病感染,会引起男性的精子受到影响,进而会导致男性不育症的发生。所以专家提醒男性朋友一定要清楚了解睾丸炎的危害,及时治疗,保证健康身体。
IT一族当心高温久坐杀精子
“一些年轻的夫妇一年不要孩子,两年不要孩子,十年之后说要孩子,结果夫妇两人不是女方卵子太差,就是精子不够数来医院,求医生解决其生育问题。” 生殖不孕专科副主任很是心急地说,由于已婚男女怕做“孩奴”,都想着有车有楼或玩多几年后再生孩子,对于生殖医生而言,由于环境和生活方式的影响,男性精子状况让人担扰。
日前,江苏省人民医院发布5000元求捐精的公告,引起网友热议。不少网友甚至发起了“一次捐精可得5000元报酬,你说你每周浪费了多少钱?”的话题,众网友感叹道:按这么说,我已经打掉了一架波音747了……专家们表示,这种“躺着就能赚钱”的美事并不是“是个男的都行”,毕竟现在男人的精子质量越来越差了。所以,建议男人们要改变生活方式拯救越来越弱的“小蝌蚪”。
生活方式影响精子质量
很多人认为“越年轻精子质量越高”,其实并不对。高涨的物价、动辄上万的房价,使男人不得不加班加点,工作生活压力大,加上抽烟、喝酒、熬夜、应酬各种不良生活习惯以及环境污染等诸多因素,上班族男人的精子质量越来越糟糕。而大学生群体不良嗜好少,生活相对轻松,精子合格率会高一些。不过即使是学生群体,合格率也只有30%左右,社会人士的合格率则不到20%。
他上周接待了一名在读大二的大学生,据反映最近几天,因为尿频、尿急等症状,一天跑二十来趟厕所,非常苦恼。咨询中得知该患者是一名网络游戏爱好者,平时没课时就在宿舍打游戏,若是周末熬夜玩游戏更是家常便饭。因为出现各种小便问题,该患者怀疑自己的肾坏了,而且莫名的下腹部疼痛常扰得他睡不着觉。
随着网络的普及,现在上网已经成为年轻人很重要的业余消遣方式,沉迷其中的也不在少数,对于他们而言,熬夜上网是常有的事,玩得高兴时,甚至长时间憋尿也不去厕所。而不少游戏迷,一日三餐只吃方便面,营养严重跟不上。在大学校园里,经常都会看到骨瘦如柴、两眼无光一副明显营养不良样的学生,这样的学生精子质量十有八九不合格。同时,年轻人抽烟的也很普遍,有些甚至一天抽一两包;随着性行为发生的年龄越来越早,导致年轻人生殖系统受到感染和发病的概率增多。种种原因表明,年轻人的精子质量也越来越不尽如人意。
提高精子质量多吃西红柿
很多男人都是想要生孩子时才到医院检查,这时才发现问题已经很严重。其实从小事做起,男人的精子质量将得到很好的改善。
男性少吃芹菜、白萝卜、苦瓜、生大蒜等食物,这些对于男性精子的影响是比较大的。有动物实验证明,苦瓜素、大蒜素等都会对男性精子产生一定的影响。可以多吃一些西红柿和胡萝卜。研究证明在男性精子质量下降的时候同时表现为维生素含量的缺乏,而西红柿中含有大量的锌,胡萝卜中也含有多种维生素,对于男性生殖健康是有益的。
此外,烧烤和油炸的淀粉类食物中含有致癌毒物丙烯酰胺,可导致男性少精、弱精。有研究发现,少弱精症患者的精子减少、活力下降,与锌这种微量元素的缺乏有关系。因此,多吃牡蛎、虾皮、动物肝脏、紫菜、芝麻、花生、豆类等富含锌的食物,可以保证“精”力充沛。
平时尽量按时作息,减少抽烟喝酒、不要把笔记本电脑放在腿上、手机不要放在裤兜里或别在腰间、不要穿紧身裤、泡热水澡蒸桑拿等行为会严重影响睾丸的生精功能。此外,长期的久坐、开车、骑自行车等行为也会导致睾丸的温度升高,影响精子质量。
如果精子质量已经出现了问题也不要过分担心,因为有些精子质量问题也可能是暂时性的,如果有生殖疾病、抽烟、酗酒、经常熬夜、加班、压力大等情况,只要调整好,通过健康的生活方式就可以使精子质量得到提高,同时也可在医生的指导下通过药物治疗来改善精子质量。
睾丸炎直接影响精子成活率
睾丸是男性存储精子的场所,如果男性睾丸发炎患病感染,会引起男性的精子受到影响,进而会导致男性不育症的发生。所以专家提醒男性朋友一定要清楚了解睾丸炎的危害,及时治疗,保证健康身体。
IT一族当心高温久坐杀精子
“一些年轻的夫妇一年不要孩子,两年不要孩子,十年之后说要孩子,结果夫妇两人不是女方卵子太差,就是精子不够数来医院,求医生解决其生育问题。” 生殖不孕专科副主任很是心急地说,由于已婚男女怕做“孩奴”,都想着有车有楼或玩多几年后再生孩子,对于生殖医生而言,由于环境和生活方式的影响,男性精子状况让人担扰。
2013年5月6日星期一
订阅:
博文 (Atom)