frs文件復制服務

『壹』 如何啟動FRS服務

如果你曾經配置過Windows NT Server或是Windows 2000 Server，你也許發現這些微軟的產品預設並不是最安全的。雖然微軟提供了很多安全機制，但是依然需要你來實現它們。然而當微軟發布Windows Server 2003的時候，改變了以往的哲學體系。新的理念是，伺服器預設就應該是安全的。這的確是一個不錯的理念，不過微軟貫徹得還不夠徹底。雖然預設的 Windows 2003安裝絕對比確省的Windows NT或 Windows 2000安裝安全許多，但是它還是存在著一些不足。下面讓我教大家如何讓Windows Server 2003更加安全。

第一步：修改管理員帳號和創建陷阱帳號：
修改內建的用戶賬號多年以來，微軟一直在強調最好重命名Administrator賬號並禁用Guest賬號，從而實現更高的安全。在 Windows Server 2003中，Guest 賬號是預設禁用的，但是重命名Administrator賬號仍然是必要的，因為黑客往往會從Administrator賬號入手開始進攻。方法是：打開 「本地安全設置」對話框，依次展開「本地策略」→「安全選項」，在右邊窗格中有一個「賬戶：重命名系統管理員賬戶」的策略，雙擊打開它，給 Administrator重新設置一個平淡的用戶名，當然，請不要使用Admin之類的名字，改了等於沒改，盡量把它偽裝成普通用戶，比如改成： guestone 。然後新建一個名稱為Administrator的陷阱帳號「受限制用戶」，把它的許可權設置成最低，什麼事也幹不了的那種，並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿，夠損！

第二步刪除默認共享存在的危險
Windows2003安裝好以後，系統會創建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章，相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內容的批處理文件：
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上批處理內容大家可以根據自己需要修改。保存為delshare.bat，存放到系統所在文件夾下的system32\GroupPolicy \User\Scripts\Logon目錄下。然後在開始菜單→運行中輸gpedit.msc，回車即可打開組策略編輯器。點擊用戶配置→Window 設置→腳本(登錄/注銷)→登錄，在出現的「登錄屬性」窗口中單擊「添加」，會出現「添加腳本」對話框，在該窗口的「腳本名」欄中輸入delshare.bat,然後單擊「確定」按鈕即可。這樣就可以通過組策略編輯器使系統開機即執行腳本刪除系統默認的共享。

禁用IPC連接
IPC是Internet Process Connection的縮寫，也就是遠程網路連接。它是Windows NT/2000/XP/2003特有的功能，其實就是在兩個計算機進程之間建立通信連接，一些網路通信程序的通信建立在IPC上面。舉個例子來說，IPC 就象是事先鋪好的路，我們可以用程序通過這條「路」訪問遠程主機。默認情況下，IPC是共享的，也就是說微軟已經為我們鋪好了路，因此，這種基於IPC的入侵也常常被簡稱為IPC入侵。建立IPC連接不需要任何黑客工具，在命令行里鍵入相應的命令就可以了，不過有個前提條件，那就是你需要知道遠程主機的用戶名和密碼。打開CMD後輸入如下命令即可進行連接：net use\\ip\ipc$ ''password'' /user:''usernqme''。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

第三步是：重新設置遠程可訪問的注冊表路徑
設置遠程可訪問的注冊表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。打開組策略編輯器，然後選擇 「計算機配置」→「Windows設置」→「安全選項」→「網路訪問：可遠程訪問的注冊表路徑」及「網路訪問：可遠程訪問的注冊表」，將設置遠程可訪問的注冊表路徑和子路徑內容設置為空即可。這樣可以有效防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。

第四步：關閉不需要的埠
大家都知道，139埠是Netbios使用的埠，在以前的Windows版本中，只要不安裝Microsoft網路的文件和列印共享協議，就可關閉139埠。在Windows Server 2003中，只這樣做是不行的。如果想徹底關閉139埠，方法如下：滑鼠右鍵單擊「網路鄰居」，選擇「屬性」，進入「網路和撥號連接」，再用滑鼠右鍵單擊「本地連接」，選擇「屬性」，打開「本地連接屬性」頁，然後去掉「Microsoft網路的文件和列印共享」前面的「√」（如圖3），接下來選中「Internet協議(TCP/IP)」，單擊「屬性」→「高級」→「WINS」，把「禁用TCP/IP上的NetBIOS」選中（如圖3），即大功告成！這樣做還可有效防止SMBCrack之類工具破解和利用網頁得到我們的NT散列。

如果你的機子還裝了IIS，你最好設置一下埠過濾。方法如下：選擇網卡屬性，然後雙擊「Internet協議(TCP/IP)」，在出現的窗口中單擊「高級」按鈕，會進入「高級TCP/IP設置」窗口，接下來選擇「選項」標簽下的「TCP/IP 篩選」項，點「屬性」按鈕，會來到「TCP/IP 篩選」的窗口，在該窗口的「啟用TCP/IP篩選(所有適配器)」前面打上「√」（如圖4），然後根據需要配置就可以了。

比方說如果你只打算瀏覽網頁，則只開放TCP埠80即可，所以可以在「TCP埠」上方選擇「只允許」，然後單擊「添加」按鈕，輸入80再單擊「確定」即可。如果有其他需要可如法炮製。
以上就是初步的安全設置下面在說說其他方面的安全：
（一）重新支持ASP腳本
為了將系統安全隱患降到最低限度，Windows Server 2003操作系統在默認狀態下，是不支持ASP腳本運行的；不過現在許多網頁的服務功能多是通過ASP腳本來實現的，為此，我們很有必要在安全有保障的前提下，讓系統重新支持ASP腳本。具體實現的方法為：
1.在系統的開始菜單中，依次單擊「管理工具」/「Internet信息服務管理器」命令；
2.在隨後出現的Internet信息服務屬性設置窗口中，用滑鼠選中左側區域中的「Web伺服器擴展」選項；
3.接著在對應該選項右側的區域中，用滑鼠雙擊「Actives server pages」選項，然後將「任務欄」設置項處的「允許」按鈕單擊一下，系統中的II6就可以重新支持ASP腳本了。
（二）添加站點到「信任區域」
Windows Server 2003操作系統使用了一個安全插件，為用戶提供了增強的安全服務功能，利用該功能你可以自定義網站訪問的安全性。在預設狀態下，Windows Server 2003操作系統會自動啟用增強的安全服務功能，並將所有被訪問的Internet站點的安全級別設置為「高」。對於頻繁訪問的網站，你可以將其添加到受信任的站點區域中，日後再次訪問它時，系統就不會彈出安全提示框了。
添加站點到「信任區域」的具體做法為：
1.在瀏覽器的地址框中，輸入需要訪問的站點地址，單擊回車鍵，就會自動打開一個安全提示警告窗口；
2.要是不想瀏覽該站點時，直接可以單擊「關閉」按鈕；要是想瀏覽的話，可以單擊「添加」按鈕；
3.在隨後打開的「可信任站點」設置窗口中，你會發現當前被訪問的站點地址已經出現在信任區域文本框中；
4.繼續單擊「添加」按鈕，就能將該站點添加到網站受信任區域中了；下次重新訪問該站點時，瀏覽器就會跳過安全檢查，直接打開該站點的網頁頁面了。
（三）根據需要對系統服務進行控制
服務是一種在系統後台運行的應用程序類型，它與UNIX後台程序類似。服務提供了核心操作系統功能，如Web 服務、事件日誌記錄、文件服務、幫助和支持、列印、加密和錯誤報告。通過服務管理單元，可管理本地或遠程計算機上的服務。所以並不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用，來釋放系統資源。如果你想更加了解系統的服務，可以到「我的電腦」→「控制面板」→「服務」中查看，每個服務都有完整的描述，或使用Windows 2003的幫助與支持，查閱相關資料。

特別注意：服務賬號
Windows Server 2003在某種程度上最小化服務賬號的需求。即便如此，一些第三方的應用程序仍然堅持傳統的服務賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務賬號，因為如果某人物理上獲得了伺服器的訪問許可權，他可能會轉儲伺服器的
LSA機密，並泄露密碼。如果你使用域密碼，森林中的任何計算機都可以通過此密碼獲得域訪問許可權。而如果使用本地賬戶，密碼只能在本地計算機上使用，不會給域帶來任何威脅。
系統服務
一個基本原則告訴我們，在系統上運行的代碼越多，包含漏洞的可能性就越大。你需要關注的一個重要安全策略是減少運行在你伺服器上的代碼。這么做能在減少安全隱患的同時增強伺服器的性能。
在Windows 2000中，預設運行的服務有很多，但是有很大一部分服務在大多數環境中並派不上用場。事實上，Windows 2000的預設安裝甚至包含了完全操作的IIS伺服器。而在Windows Server 2003中，微軟關閉了大多數不是絕對必要的服務。即使如此，還是有一些有爭議的服務預設運行。
其中一個服務是分布式文件系統（DFS）服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員創建一個邏輯的區域，包含多個伺服器或分區的資源。對於用戶，所有這些分布式的資源存在於一個單一的文件夾中。
我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環境下，這可能意味著更強的安全性。在我看來，DFS的利大於弊。
另一個這樣的服務是文件復制服務（FRS）。FRS被用來在伺服器之間復制數據。它在域控制器上是強制的服務，因為它能夠保持SYSVOL文件夾的同步。對於成員伺服器來說，這個服務不是必須的，除非運行DFS。
如果你的文件伺服器既不是域控制器，也不使用DFS，我建議你禁用FRS服務。這么做會減少黑客在多個伺服器間復制惡意文件的可能性。
另一個需要注意的服務是Print Spooler服務（PSS）。該服務管理所有的本地和網路列印請求，並在這些請求下控制所有的列印工作。所有的列印操作都離不開這個服務，它也是預設被啟用的。
不是每個伺服器都需要列印功能。除非伺服器的角色是列印伺服器，你應該禁用這個服務。畢竟，專用文件伺服器要列印服務有什麼用呢？通常地，沒有人會在伺服器控制台工作，因此應該沒有必要開啟本地或網路列印。
我相信通常在災難恢復操作過程中，列印錯誤消息或是事件日誌都是十分必要的。然而，我依然建議在非列印伺服器上簡單的關閉這一服務。
信不信由你，PSS是最危險的Windows組件之一。有不計其數的木馬更換其可執行文件。這類攻擊的動機是因為它是統級的服務，因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些高級別的特權。為了防止此類攻擊，還是關掉這個服務吧!

最後提醒大家，經常到各大網路安全站點看其最新公告，並急時為系統打上補丁，這樣你的系統會安全許多。

『貳』 frs需要什麼工具

frs需要File Replication Service服務工具。

此信息位於 Active Directory 的下列位置： CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...「NTDS 設置」。

對象的屬性包括：代表如何針對域控制器的復制夥伴標識域控制器的數據、計算機中保存的命名上下文、域控制器是否為全局編錄伺服器，以及默認查詢策略。

FRS：

Microsoft Windows 2000 操作系統和 Windows Server 2003 家族中的一種自動文件復制服務。這種服務復制所有域控制器中的系統卷 (Sysvol)。另外，您還可以對該服務進行配置，使其復制與容錯 DFS 關聯的備用目標中的文件。

文件伺服器增量式組策略禁用了 FRS 服務，以便將所在環境中文件伺服器遭到的攻擊表面積降到最小。為此，在使用指南定義的所有安全環境中，應該將 File Replication Service 設置配置為「禁用」。

『叄』 磁碟陣列 和 分布式文件系統有什麼區別

1、磁碟陣列（Rendant Arrays of Inexpensive Disks，RAID），有「價格便宜且多餘的磁碟陣列」之意。原理是利用數組方式來作磁碟組，配合數據分散排列的設計，提升數據的安全性。磁碟陣列是由很多便宜、容量較小、穩定性較高、速度較慢磁碟，組合成一個大型的磁碟組，利用個別磁碟提供數據所產生加成效果提升整個磁碟系統效能。同時利用這項技術，將數據切割成許多區段，分別存放在各個硬碟上。磁碟陣列還能利用同位檢查（Parity Check）的觀念，在數組中任一顆硬碟故障時，仍可讀出數據，在數據重構時，將數據經計算後重新置入新硬碟中。

2、分布式文件系統（Distributed File System）是指文件系統管理的物理存儲資源不一定直接連接在本地節點上，而是通過計算機網路與節點相連。分布式文件系統的設計基於客戶機/伺服器模式。一個典型的網路可能包括多個供多用戶訪問的伺服器。另外，對等特性允許一些系統扮演客戶機和伺服器的雙重角色。例如，用戶可以「發表」一個允許其他客戶機訪問的目錄，一旦被訪問，這個目錄對客戶機來說就象使用本地驅動器一樣，下面是三個基本的分布式文件系統。使用分布式文件系統可以輕松定位和管理網路中的共享資源、使用統一的命名路徑完成對所需資源院的訪問、提供可靠的負載平衡、與FRS（文件復制服務）聯合在多台伺服器之間提供冗餘、與windows許可權集成以保證安全。

3、綜上所述，磁碟陣列主要是以冗餘備份來保障文件安全和快速訪問，一般以本機不同磁碟或區域網內磁碟組成，而分布式文件系統將廣泛分布在本機、區域網和廣域網上各個不同物理存儲空間的數據以一定邏輯形式組成的文件系統，提供的服務更多的是起到索引（指向）的作用，而又不必耗費很大的部署資源，順應了雲計算的發展方向。