服务器安全部署文档 服务器的安全配置与管理

安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

创新互联公司坚持“要么做到，要么别承诺”的工作理念，服务领域包括：网站制作、成都网站设计、企业官网、英文网站、手机端网站、网站推广等服务，满足客户于互联网时代的苏尼特右网站设计、移动媒体设计的需求，帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴！

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助:

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"../nginx.status"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginx.conf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/1.1）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginx.conf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginx.conf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginx.conf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginx.conf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-3.1.9/bin/httpd.sh 在不影响其他代码的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

如何部署vcenter server 5.x

兼容性和安装

ESXi、vCenter Server 和 vSphere Web Client 的版本兼容性

VMware 产品互操作性列表详细介绍了 VMware vSphere 组件（包括 ESXi、VMware vCenter Server、vSphere Web Client 和可选的 VMware 产品）当前版本与早期版本的兼容性问题。此外，在安装 ESXi 或 vCenter Server 之前，请查看 VMware 产品互操作性列表以了解有关受支持的管理和备份代理的信息。

vSphere Client 和 vSphere Web Client 打包在 vCenter Server ISO 上。您可以使用 VMware vCenter™ 安装程序向导来安装其中一个客户端，也可以同时安装这两个客户端。

vSphere Client 与使用 vCenter Server 5.x 的链接模式环境之间的连接

vCenter Server 5.5 在链接模式下只能与 vCenter Server 5.5 的其他实例共存。

此版本的安装说明

有关安装和配置 vCenter Server 的指导，请阅读 《vSphere 安装和设置》文档。

虽然安装过程很简单，但是仍须执行若干后续配置步骤。请阅读以下文档：

《vCenter Server 和主机管理》文档中的“许可”

《vSphere 网络连接》文档中的“网络连接”

《vSphere 安全性》文档中的“安全性” ，了解有关防火墙端口的信息

本版本的升级

有关升级 vCenter Server 的说明，请参见 《vSphere 升级》文档。

VMware vSphere 5.5 的开放源组件

可从 的 [开放源代码] 选项卡上获取适用于 vSphere 5.5 中分发的开放源软件组件的版权声明和许可证。您还可以下载 vSphere 最新可用版本的所有 GPL、LGPL 或者其他要求公开源代码或对源代码进行修改的类似许可证的源文件。

产品支持注意事项

vSphere Web Client。由于 Adobe Flash 不再支持 Linux 平台，因此 Linux 操作系统不支持 vSphere Web Client。已添加 Adobe Flash 支持的第三方浏览器仍可在 Linux 操作系统上继续工作。

VMware vCenter Server Appliance。在 vSphere 5.5 中，VMware vCenter Server Appliance 可通过强制执行美国国防信息系统局《安全技术信息准则》(STIG) 来满足严格监管的合规性标准要求。部署 VMware vCenter Server Appliance 之前，请参见《VMware 强化虚拟设备操作指南》 以获取有关新安全部署标准的信息，以确保操作成功。

vCenter Server 数据库。vSphere 5.5 不再支持使用 IBM DB2 作为 vCenter Server 数据库。

VMware Tools。从 vSphere 5.5 开始，有关如何在 vSphere 中安装和配置 VMware Tools 的所有信息都将与其他 vSphere 文档合并。有关在 vSphere 中使用 VMware Tools 的信息，请参见 vSphere 文档。 《安装和配置 VMware Tools》与 vSphere 5.5 及更高版本不相关。

vSphere Data Protection。由于 vSphere Web Client 运行方式的更改，vSphere Data Protection 5.1 将与 vSphere 5.5 不兼容。升级到 vSphere 5.5 的 vSphere Data Protection 5.1 用户如继续使用 vSphere Data Protection，必须同时更新 vSphere Data Protection。

已解决的问题

本节介绍了此版本中以下几个主题方面的已解决的问题：

升级和安装

vCenter Server、vSphere Client 和 vSphere Web Client

vCenter Single Sign-On

虚拟机管理

升级和安装

将 vSphere Web Client 升级到 vSphere 5.5 时失败，并显示一个错误

尝试将 vSphere Web Client 升级到 vSphere 5.5 时失败（如果安装在自定义的非默认位置）。将显示类似于以下内容的错误消息：

错误 29107。服务或解决方案用户已经注册... (Error 29107. The service or solution user already registered...)

本版本已解决该问题。

vCenter Server、vSphere Client 和 vSphere Web Client

vCenter Server 5.5 在主机 [摘要] 选项卡上的黄色配置问题框中显示警告消息

使用 vSphere Client 或 vSphere Web Client 连接到 VMware vCenter Server 5.5 时，ESXi 5.5 主机的 [摘要] 选项卡会在黄色配置问题框中显示类似以下内容的警告消息：

主机名 上的快速统计信息不是最新的 (Quick stats on hostname is not up-to-date)

本版本已解决该问题。

尝试使用日志浏览器导出日志包失败

尝试使用日志浏览器界面导出日志包时，浏览器窗口将显示 安全连接失败 (Secure Connection Failed)错误页面，其中包含以下消息：

您的证书包含与证书颁发机构颁发的其他证书相同的序列号。请获取一个包含唯一序列号的新证书 (Your certificate contains the same serial number as another certificate issued by the certificate authority. Please get a new certificate containing a unique serial number)。

本版本已解决该问题。

注意：如果您从 vCenter Server 5.5 版本升级，请参见已知问题部分中提供的 解决办法。

尝试登录 vSphere Web Client 时显示错误消息

如果未在 [SSO 配置] 页面中配置本地操作系统标识源，则尝试登录 vSphere Web Client 时会显示错误消息。将显示类似于以下内容的错误消息：

无法对 Inventory Service 服务器 IP:10443 进行身份验证 (Failed to authenticate to inventory service server IP:10443)

本版本已解决该问题。

vCenter Single Sign-On

安装 vCenter Single Sign-On 5.5 后，尝试连接到 vCenter Single Sign-On 服务器时可能失败

在未加入域并且具有多个网络接口的 Windows 系统上安装 vCenter Single Sign-On 5.5 后，尝试从其他组件连接到 SSO 服务器时可能失败。您可能会看到类似以下内容的消息：

无法连接到 vCenter Single Sign On....请确保在 URL 中指定 IP 地址 (Could not connect vCenter Single Sign On....make sure the IP address is specified in the URL)。

本版本已解决该问题。

从 vCenter Server Appliance 5.0.x 升级到 5.5 时，如果选择外部 vCenter Single Sign-On，则 vCenter Server 无法启动

如果在将 vCenter Server Appliance 从 5.0.x 升级到 5.5 时选择外部 vCenter Single Sign-On 实例，vCenter Server 在升级后将无法启动。在设备管理界面中，vCenter Single Sign-On 列为 [未配置]。

本版本已解决该问题。

如果 SSL 证书采用 PKCS12 格式，则尝试将 vCenter Single Sign-On 升级到 5.5 时会失败

从 vCenter Single Sign-On 5.1 升级到 5.5 时，安装程序会在您选择 SSO 部署方法之前失败并回滚，且显示以下错误消息：

由于出现错误，vCenter Single Sign-On 安装向导已提前结束 (vCenter Single Sign-On Setup Wizard ended prematurely because of an error)

将向 vim-sso-msi.log文件中记录类似以下内容的错误消息：

DEBUG:Error 2896:Executing action ExtractKeystoreInfo failed.

本版本已通过显示以下警告消息解决该问题：

安装程序检测到当前配置存在问题，升级将失败。您的证书密钥存储格式可能不受支持。请参见 VMware 知识库文章 2061404(Setup has detected a problem with your current configuration which will cause upgrade to fail. Your certificate key store format might be unsupported. See VMware KB 2061404)。

在您选择部署类型之前，升级到 vCenter Single Sign-On 5.5 失败

在您能够选择部署类型之前，尝试升级到 vCenter Single Sign-On 5.5 失败。将向 vminst.log文件中记录类似以下内容的错误消息：

VMware Single Sign-On-build-1302472:09/26/13 15:18:19 VmSetupMsiIsVC50Installed exit:Error = 1605

VMware Single Sign-On-build-1302472:09/26/13 15:18:19 VmSetupGetMachineInfo exit:Error code = 1605

本版本已解决该问题。

Active Directory 未自动添加为 vCenter Single Sign-On 中的标识资源

在属于 Active Directory 的 Windows 系统中最初安装 vCenter Single Sign-On 时，Active Directory 未自动添加为 vCenter Single Sign-On 服务器中的默认标识资源。

本版本已解决该问题。

无法在 vSphere Web Client 中编辑 vSphere 5.5 标识源

无法在 vSphere Web Client 中编辑 vSphere 5.5 标识源，因为 Active Directory 标识源的 [编辑] 图标已禁用。您会看到类似以下内容的警告消息：

编辑标识源 (不可用) (Edit Identity Source (Not available))

本版本已解决该问题。

从 vCenter Server 5.1 升级到 5.5 后，无法修改密码或从 system-domain 删除用户

从 vCenter Server 5.1 升级到 vCenter Server 5.5 后，无法从 system-domain 删除用户或修改这些用户的密码。

本版本已解决该问题。

vCenter Single Sign-On Identity Management 服务重复记录以下消息：Enumerate trusts failed Failed to enumerate domain trusts for domain_name (dwError - 5)

在 vCenter Single Sign-On 中配置 Active Directory（已集成 Windows 身份验证）标识源时，位于 C:\ProgramData\VMware\CIS\logs\vmware-sso的 vmware-sts-idmd.log文件会重复记录以下消息：

INFO [ActiveDirectoryProvider] Enumerate trusts failed Failed to enumerate domain trusts for domain_name(dwError - 5)

本版本已解决该问题。

虚拟机管理

目标数据存储为 Storage DRS POD 时，尝试克隆、创建虚拟机或对虚拟机执行 Storage vMotion 操作失败

在 vCenter Server 中，如果目标数据存储为 Storage DRS POD，并且存储设备打开了重复数据删除功能，则虚拟机创建、克隆或对虚拟机执行 Storage vMotion 操作等消耗存储空间的操作将失败。此时会显示以下错误：

数据存储 xxxxx 上的磁盘空间不足 (Insufficient disk space on datastore xxxxx)

本版本已解决该问题。

已知问题

已知问题分为如下类别：

安装

升级

vCenter Single Sign-On

网络

存储器

vCenter Server 和 vSphere Web Client

虚拟机管理

迁移

VMware HA 和 Fault Tolerance

其他

之前未记录的已知问题以 * 符号标记。

安装问题

重新安装 vCenter Single Sign-On 5.5 在显示以下消息后停止：Configuring SSO Components...（知识库文章 2059131）

安装 vCenter Server 并将其卸载后，存储配置文件在 vSphere Web Client 中不可见

如果通过 Windows 控制面板项 [添加/删除程序] 或 [程序和功能] 卸载 vCenter Server，还会卸载配置文件驱动的存储。重新安装 vCenter Server 时，还会安装文件驱动的存储服务，但您将无法在 vSphere Web Client 中看见以前创建的存储配置文件。仍可创建新的存储配置文件。

解决办法：要卸载 vCenter Server 而不卸载配置文件驱动的存储，请使用 MSI 命令。之后，在您重新安装 vCenter Server 时，即使通过安装程序向导或从命令行进行安装，您仍然可以在 vSphere Web Client 中看见以前创建的存储配置文件。

要卸载 vCenter Server，请以下面的示例命令为例：

msiexec.exe /x vCenter Server Product code

例如：

msiexec.exe /x {E1F05550-4238-4378-87F0-105147A251D9}

vCenter 的确切产品代码可以从以下注册表项中获取： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VMware vCenter Server。

如果 vCenter Single Sign-On 5.5 包含多个节点，则本地操作系统用户的登录可能会失败

在安装或升级后提供本地操作系统标识源，如下所示： * vCenter Single Sign-On 安装程序将本地操作系统标识源添加到 vCenter Single Sign-On 配置中。如果创建多个节点，则主节点中的本地操作系统在其他所有节点上显示为一个标识源。 * 如果升级 vCenter Single Sign-On 高可用性环境，则主节点中的本地操作系统在其他所有节点上显示为一个标识源。 不过，即使第一个节点中的本地操作系统在辅助节点中显示为标识源，第一个节点中的本地操作系统用户也无法登录到那些辅助节点。

解决办法：无。

在 Windows Server 2008 R2 和 Windows 2012 主机上使用简单安装执行安装失败

如果您使用简单安装在 Windows Server 2008 R2 或 Windows 2012 主机上安装 vCenter Server 及其组件，而该主机配置为使用 DHCP IP 寻址，安装失败并显示警告和错误消息。

解决办法：执行下列操作之一。

在 Windows Server 2008 R2 或 2012 主机上：将 Windows Server 配置为使用静态 IP 和主机名。

仅限在 Windows Server 2008 R2 主机上：在操作系统中将 DHCP IP 和主机名映射到系统的 HOST文件。

在 vCenter Single Sign-On 5.5 安装过程中，您无法指定与您正在安装 vCenter Single Sign-On 的这台计算机的 FQDN 不同的主机名

vCenter Single Sign-On 安装程序没有用于在安装过程中指定主机名的选项。安装程序会始终使用您正在安装 vCenter Single Sign-On 的这台计算机的 FQDN。您无法在安装过程中使用 CNAME 来代替 FQDN。

解决办法：无。

在土耳其语版本的 Windows Server 上安装 vCenter Server 时会显示错误消息 25205

在任一土耳其语版本的 Windows Server 2008 或 2012 上安装 vCenter Server 时，如果 vCenter Server 数据库位于同一台主机上，则会显示错误消息 25205。

解决办法：在远程英语版本的 Windows Server 上安装并运行 vCenter Server 数据库。

简单安装仅在系统驱动器上检查空间要求

简单安装会在开始安装前检查是否有足够的空间。但是，只有在系统驱动器上安装时才会执行该检查。如果尝试在非系统驱动器上安装，则该安装程序不会检查是否有足够的空间。

解决办法：安装前，检查目标驱动器上是否有足够的磁盘空间。简单安装至少需要 10GB 的可用空间。建议预留更多空间。请参见 《安装和设置》文档 。

如果 vCenter Single Sign-On 安装失败并进行回滚，则 vCenter Server Java 组件 (JRE) 和 vCenter tc Server 组件仍会进行安装

如果 Single Sign-On 安装被取消或失败，则该安装将回滚到安装前的状态，此时系统会显示一条消息，指出系统未进行修改。但是，vCenter Server Java 组件 (JRE) 和 vCenter tc Server 组件仍会进行安装。

解决办法：在 Windows 控制面板的 [程序和功能] 中手动移除这些组件。

如果安装路径包含非 ASCII 字符，则 vSphere Authentication Proxy 安装失败

如果安装路径包含非 ASCII 字符，则 vSphere Authentication Proxy 安装会失败，并显示错误消息： 错误 29106。未知错误。(Error 29106. Unknown Error.)

解决办法：确保安装路径仅包含 ASCII 字符。

如果已登录用户的用户名包含非 ASCII 字符，则安装 vCenter Server 及相关组件会失败

如果当前已登录用户的用户名包含非 ASCII 字符，则安装 vCenter Server、vCenter Inventory Server、vCenter Single Sign-On 或 vSphere Web Client 会失败，并显示错误消息： 用户名包含非 ASCII 字符。请使用仅包含 ASCII 字符的用户名登录 (The user name contains non-ASCII characters. Please log in with a user name that contains only ASCII characters)。

解决办法：使用不包含非 ASCII 字符的用户名登录，然后重新尝试安装。

autoPartition 引导选项可能会意外地对 SSD 进行分区

默认情况下，在 Visor（即，写入到设备中的 ESXi dd 映像）中， autoPartition引导选项会设置为 TRUE。此设置将对所有空白本地磁盘（包括可能打算在 vFlash 和 Virtual SAN 中使用的 SSD）进行分区。

解决办法：将 skipPartitioningSsds=TRUE添加到引导选项行中。

在 vCenter Server 简单安装期间会显示一个对话框，其中包含一条警告，指出某个脚本正在使浏览器运行速度变慢

vCenter Server 简单安装选项需要很长时间来安装或升级所有必需 vCenter Server 组件。该操作可能会使运行 vCenter Server 安装程序自动运行屏幕的 Internet Explorer 浏览器进程显示以下警告消息：

此页面上的一个脚本正在使浏览器运行速度变慢。如果继续运行，您的计算机可能会无响应。是否要中止该脚本? (A script on this page is causing your browser to run slowly. If it continues to run, your computer might become unresponsive. Do you want to abort the script?)

当安装时间超过以下 Windows 注册表项设置的时间时会显示警告对话框： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\MaxScriptStatements

在 Windows Server 2012 操作系统上会频繁除出现此问题。

解决办法：在警告消息中单击 [否]，或将 MaxScriptStatements注册表项的值设置为 0xffffffff。

升级问题

升级到 vCenter Server 5.5 不会检测出过期的 SSL 证书

在使用 [简单安装] 升级到 vCenter Server 5.5 时，安装程序不会检测出任何过期的 SSL 证书。

如果使用 [自定义安装] 中的各个安装程序从 5.1.x 升级到 5.5，则只有 vSphere Web Client 会检测出过期的 SSL 证书并停止安装。vCenter Single Sign-On 将显示一条常规警告消息来验证 SSL 证书的有效性。vCenter Inventory Service 和 vCenter Server 的各个安装程序均不会检测出过期的 SSL 证书。

解决办法：在开始使用 [简单安装] 或 [自定义安装] 中的各个应用程序升级到 vCenter Server 5.5 之前，请检查 vCenter Single Sign-On、vSphere Web Client、vCenter Inventory Service 和 vCenter Server 的 SSL 证书的有效性。在开始升级过程之前，将所有过期的 SSL 证书都替换为有效的证书。

在将 vCenter Server 升级到 5.5 后，无存储功能的存储配置文件可能会丢失

升级到 vCenter Server 5.5 后，使用 vCenter Server 的早期版本创建的存储配置文件在 vSphere Web Client 中不可见。此问题仅影响未附加任何存储功能的存储配置文件。

解决办法：升级之前，将存储功能附加到需要在 vCenter Server 5.5 中使用的存储配置文件。升级后，现有存储功能会转换为“旧版用户标签”类别的标记，而存储配置文件会转换为引用这些标记的存储配置文件。

在使用负载平衡器的高可用性部署中，将 vCenter Single Sign-On 5.1.x 升级到版本 5.5 之后，必须重新配置负载平衡器

在从 vCenter Single Sign-On 5.1 升级到 5.5 期间，文件 server.xml会进行迁移，但在升级后，必须手动进行更新。

解决办法：请参见《vSphere 升级》文档中的“将 vCenter Single Sign-On 高可用性部署升级到版本 5.5 后重新配置负载平衡器” 。

在将 vSphere Web Client 和 vCenter Single Sign-On 升级到版本 5.5 后，vCenter Server 5.1 不可见

假设将 vSphere Single Sign-On 和 vSphere Web Client 从版本 5.1 升级到版本 5.5，但不升级 vCenter Server 系统。如果您在升级后登录到 vSphere Web Client，则 vCenter Server 系统版本 5.1 将不可见。此问题仅适用于 Windows 升级，在升级 vCenter Server Appliance 时不会出现此问题。

解决办法：重新启动 vCenter Server 系统和 vSphere Inventory Service ( services.msc)。要查看 vCenter Server 5.1 清单，请以 admin@System-Domain身份登录。请参见 VMware 知识库文章 1003895。

在将 vCenter Server 从版本 5.0 Update 2 升级到版本 5.5 后，VMware VirtualCenter Server 服务可能无法启动

解决办法：手动启动 VMware VirtualCenter Server 服务：

在 Windows [开始] 菜单中，打开 [管理工具] 控制面板项。

选择 [服务]。

右键单击 [VMware VirtualCenter Server] 并选择 [启动]。

vSphere Client 和 vSphere PowerCLI 可能无法连接到 vCenter Server 5.5，并出现握手错误

安装在 Windows XP 或 Windows Server 2003 主机上之后，vSphere Client 和 vSphere PowerCLI 可能无法连接到 vCenter Server 5.5，并出现握手错误。vSphere 5.5 使用 Open SSL 库，为安全起见，该库会默认配置为仅接受使用强密码套件的连接。在 Windows XP 或 Windows Server 2003 上，vSphere Client 和 vSphere PowerCLI 不使用强密码套件来连接 vCenter Server。服务器端会出现错误 没有匹配的密码套件 (No matching cipher suite)，并在 vSphere Client 或 vSphere PowerCLI 端出现握手错误。

解决办法：执行下列操作之一。

对于 Windows Server 2003 或 64 位 Windows XP，应用适用于您的平台的 Microsoft 修补程序：

x64 平台：

ia64 平台：

i386 平台：

对于 Windows XP 32 位、Windows XP 64 位或 Windows Server 2003，请执行下列操作之一。

在主机上安装 vSphere Client 或 vSphere PowerCLI 之前，将 Windows 操作系统升级到 Windows Vista 或更高版本。

在 vCenter Server 主机上，通过允许服务器使用弱密码套件进行通信来降低隐含安全性。为此，请在 vCenter Server vpxd.cfg文件中加入以下内容：

config

...

vmacore

...

ssl

...

cipherListALL/cipherList

...

/ssl

...

/vmacore

...

/config

如果现有 vCenter Server Appliance 采用静态 IP 配置，并且现有 vCenter Server Appliance 和升级后的 vCenter Server Appliance 位于不同子网中，则在升级 vCenter Server Appliance 后，网络连接将丢失

升级在以下两种情况中配置的 vCenter Server Appliance 后，网络连接将丢失：

现有 vCenter Server Appliance 采用静态 IP 配置。

现有 vCenter Server Appliance 和升级后的 vCenter Server Appliance 位于不同子网中。

解决办法：要还原网络连接，请执行以下操作：

通过虚拟机控制台登录 vCenter Server Appliance。

运行 /opt/vmware/share/vami/vami_config_net以重新配置网络连接。

尝试将 vSphere Web Client 升级到版本 5.5 时会显示警告消息：错误: 29108

在将 vSphere Web Client 升级到版本 5.5 期间会显示以下警告消息： 错误:29108. 取消注册服务或解决方案用户失败。(Error: 29108. The unregistration of the service or Solution user failed.)出现此错误的原因是，安装程序无法以编程方式移除应用程序用户。

解决办法：

记下该警告消息中指定的确切 vSphere Web Client 解决方案用户。

单击 [确定] 以关闭警告消息，并完成 vSphere Web Client 版本 5.5 的升级。

以 Single Sign-On 管理员身份登录到 vSphere Web Client

在 [管理] 中的 [Single Sign-On] 下单击 [用户和组]，然后单击 [应用程序用户] 选项卡。

要移除上述警告消息中指定的解决方案用户（应用程序用户），请选择该用户所对应的行，然后单击 [删除]。

vSphere Web Client 服务在升级 vCenter Server Appliance 后不启动

将 vCenter Server Appliance 从 5.0 或 5.1 版本升级到 5.5 版本后，vSphere Web Client 服务不启动，并且在 Virgo Server 日志中显示下消息：

[ERROR] startup-tracker org.eclipse.virgo.medic.eventlog.default KE0004E Kernel failed to start within 300 seconds.

[INFO ] startup-tracker org.eclipse.virgo.medic.eventlog.default KE0011I Immediate shutdown initiated.

解决办法：使用 vCenter Server Appliance 管理界面启动 vSphere Web Client 服务。

vCenter Single Sign-On 问题

如何设置Windows服务器安全设置

如何设置Windows服务器安全设置

一、取消文件夹隐藏共享在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器，进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说，只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位)，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。七、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务，还需要对IIS服务进行安全配置：

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。

(2) 删除原默认安装的Inetpub目录。(或者更改文件名)

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核，所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件，对于每一类都可以指明是审核成功事件、失败事件，还是两者都审核策略更改：成功或失败登录事件：成功和失败对象访问：失败事件过程追踪：根据需要选用目录服务访问：失败事件特权使用：失败事件系统事件：成功和失败账户登录事件：成功和失败账户管理：成功和失败十、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的。