系统平台:Windows2000高级服务器版,安装了IIS服务
故障问题:Administrator密码忘记,ERD.Commander工具盘无法修复密码
解决办法:使用ERD.Commander修复Administrator密码时无法继续,已经发现好多次这样的问题,可能是对Windows2000支持不好造成的,尝试修复Guest用户密码成功。惊喜,重新开机登录本地系统,使用Guest用户登录并成功,可是因权限限制,导致无法作任何修改。无奈使用爆破法,将代码
C:\winnt\system32\config\SAM
文件删除,重新开机Administrator无密码正常进入,发现事件查看器中存在多个严重错误,其中包括IIS的COM+错误,测试IIS,发现ASP无法运行,本以为是IWAM_MACHINE账号密码不同步造成,之后使用脚本同步此账号密码,发现ASP依旧无法运行,这才想到原先爆破修复密码也遇到过这个情况,就是ASP的运行依赖User组中的代码
NT AUTHORITY\Authenticated Users (S-1-5-11)和NT AUTHORITY\INTERACTIVE (S-1-5-4)
,于是检查User组,发现果然没有这两个内置帐号,于是添加,运行ASP正常。
呵呵,写这篇文章主要是提醒自己下次再遇到这个问题,一定要先检查Users组。
故障问题:Administrator密码忘记,ERD.Commander工具盘无法修复密码
解决办法:使用ERD.Commander修复Administrator密码时无法继续,已经发现好多次这样的问题,可能是对Windows2000支持不好造成的,尝试修复Guest用户密码成功。惊喜,重新开机登录本地系统,使用Guest用户登录并成功,可是因权限限制,导致无法作任何修改。无奈使用爆破法,将代码
C:\winnt\system32\config\SAM
文件删除,重新开机Administrator无密码正常进入,发现事件查看器中存在多个严重错误,其中包括IIS的COM+错误,测试IIS,发现ASP无法运行,本以为是IWAM_MACHINE账号密码不同步造成,之后使用脚本同步此账号密码,发现ASP依旧无法运行,这才想到原先爆破修复密码也遇到过这个情况,就是ASP的运行依赖User组中的代码
NT AUTHORITY\Authenticated Users (S-1-5-11)和NT AUTHORITY\INTERACTIVE (S-1-5-4)
,于是检查User组,发现果然没有这两个内置帐号,于是添加,运行ASP正常。
呵呵,写这篇文章主要是提醒自己下次再遇到这个问题,一定要先检查Users组。
配置 URLScan 工具
修改 URLScan.ini 文件
URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。
注意:要使更改生效,必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。
URLScan.ini 文件包含以下几节:
[Options]:此节描述常规 URLScan 选项。
[AllowVerbs] 和 [DenyVerbs]:此节定义 URLScan 允许的谓词(又称作 HTTP 方法)。
[DenyHeaders]:此节列出 HTTP 请求中不允许的 HTTP 标头。如果 HTTP 请求中包含此节中列出的任何 HTTP 标头,URLScan 将拒绝该请求。
[AllowExtensions] 和 [DenyExtensions]:此节定义 URLScan 允许的文件扩展名。
[DenyURLSequences]:此节列出 HTTP 请求中不允许的字符串。URLScan 拒绝那些包含此节中出现的字符串的 HTTP 请求。
[Options] 节
在 [Options] 节中,可以配置许多 URLScan 选项。此节中的每一行都具有以下格式:
OptionName=OptionValue
可用选项及其默认值如下所示:
UseAllowVerbs=1
默认情况下,此选项设置为 1。如果将此选项设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的 HTTP 请求。URLScan 禁止任何不使用这些谓词的请求。如果将此选项设置为 0,则 URLScan 忽略 [AllowVerbs] 节,相反仅禁止那些使用 [DenyVerbs] 节中列出的谓词的请求。
UseAllowExtensions=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 禁止对 [DenyExtensions] 节中列出的文件扩展名的请求,但允许对任何其他文件扩展名的请求。如果将此选项设置为 1,则 URLScan 仅允许对带 [AllowExtensions] 节中列出的扩展名的文件的请求,而禁止对任何其他文件的请求。
NormalizeUrlBeforeScan=1
IIS 收到用 URL 编码的请求。这表示某些字符可能被替换为百分号 (%) 后跟特定的数字。例如,%20 对应于一个空格,因此,对 http://myserver/My%20Dir/My%20File.htm 的请求与对 http://myserver/My Dir/My File.htm 的请求是相同的。标准化就是对 URL 编码请求进行解码的过程。默认情况下,此选项设置为 1。如果将 NormalizeUrlBeforeScan 选项设置为 1,则 URLScan 分析已解码的请求。如果将此选项设置为 0,则 URLScan 分析未解码的请求。将此选项设置为 0 会影响 URLScan 禁止某种攻击的能力。
VerifyNormalization=1
由于百分号 (%) 本身可以是 URL 编码的,所以攻击者可以向服务器提交一个精心制作的、基本上是双重编码的请求。如果发生这种情况,IIS 可能会接受本应视作无效而拒绝的请求。默认情况下,此选项设置为 1。如果将 VerifyNormalization 选项设置为 1,则 URLScan 将对 URL 执行两次标准化。如果第一次标准化后的 URL 与第二次标准化后的 URL 不同,URLScan 将拒绝该请求。这样就可以防止那些依赖双重编码请求的攻击。
AllowHighBitCharacters=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
AllowDotInPath=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝所有包含多个句点 (.) 的请求。这样可以防止通过将安全的文件扩展名放入 URL 的路径信息或查询字符串部分,以达到伪装请求中的危险文件扩展名的企图。例如,如果将此选项设置为 1,则 URLScan 可能允许对 http://servername/BadFile.exe/SafeFile.htm 的请求,因为它认为这是对 HTML 页的请求,但实际上这是一个对可执行 (.exe) 文件的请求,而该文件的名称在 PATH_INFO 区域中显示为 HTML 页的名称。如果将此选项设置为 0,URLScan 可能还会拒绝对包含句点的目录的请求。
RemoveServerHeader=0
默认情况下,Web 服务器返回一个标头,其中指出了 Web 服务器在所有响应中运行的 Web 服务器软件。这会增加服务器遭受攻击的可能性,因为攻击者可以确定服务器正在运行 IIS,于是便攻击已知的 IIS 问题,而不是试图使用为其他 Web 服务器设计的攻击手段来攻击 IIS 服务器。默认情况下,此选项设置为 0。如果将 RemoveServerHeader 选项设置为 1,可以防止您的服务器发送将其标识为 IIS 服务器的标头。如果将 RemoveServerHeader 设置为 0,则仍发送此标头。
AlternateServerName=(默认情况下不指定)
如果将 RemoveServerHeader 设置为 0,可以在 AlternateServerName 选项中指定一个字符串以指定将在服务器标头中传回的内容。如果将 RemoveServerHeader 设置为 1,则此选项将被忽略。
EnableLogging=1
默认情况下,URLScan 在 %WINDIR%\System32\Inetsrv\URLScan 中保留所有被禁止的请求的完整日志。如果不希望保留此日志,可将 EnableLogging 设置为 0。
PerProcessLogging=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,URLScan 将为承载 URLScan.dll 的每个进程创建一个单独的日志。如果将此选项设置为 0,所有进程将记录到同一个文件中。
PerDayLogging=1
默认情况下,此选项设置为 1。如果将该值设置为 1,则 URLScan 每天创建一个新的日志文件。每个日志文件的名称都是 Urlscan.MMDDYY.log,其中 MMDDYY 是日志文件的日期。如果将该值设置为 0,则所有日志记录都保存在同一个文件中,与日期无关。
AllowLateScanning=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 作为高优先级筛选器运行,这表示它先于服务器上安装的所有其他 Internet 服务器应用程序编程接口 (ISAPI) 筛选器执行。如果将此选项设置为 1,则 URLScan 作为低优先级筛选器运行,以便其他筛选器可以在 URLScan 进行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求将此选项设置为 1。
RejectResponseUrl=(默认情况下不指定)
此选项指定在 URLScan 禁止请求时运行的文件的虚拟路径。这允许您自定义针对被禁止的请求发送给客户机的响应。必须将 RejectResponseUrl 指定为相应文件的虚拟路径,如 /Path/To/RejectResponseHandler.asp。可以指定 URLScan 通常禁止的文件,如 Active Server Pages (ASP) 页。还可以从该页指定以下服务器变量:• HTTP_URLSCAN_STATUS_HEADER:此变量指定请求被禁止的原因。
• HTTP_URLSCAN_ORIGINAL_VERB:此变量指定被禁止的请求中的原始谓词(例如 GET、POST、HEAD 或 DEBUG)。
• HTTP_URLSCAN_ORIGINAL_URL:此变量指定被禁止的请求中的原始 URL。
如果将 RejectResponseUrl 设置为特殊值 /~*,则 URLScan 使用“仅日志记录”模式。这允许 IIS 为所有请求提供服务,但它会在 URLScan 日志中为所有通常被禁止的请求添加相应的项。这在需要测试 URLScan.ini 文件时很有用。
如果没有指定 RejectResponseUrl 的值,则 URLScan 使用默认值 /。
UseFastPathReject=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。这比处理 RejectResponseUrl 要快,但它允许的日志记录选项没有那么多。如果将此选项设置为 0,则 URLScan 使用 RejectResponseUrl 设置来处理请求。
[AllowVerbs] 节和 [DenyVerbs] 节
[AllowVerbs] 节和 [DenyVerbs] 节定义 URLScan 允许的 HTTP 谓词(又称作方法)。常用的 HTTP 谓词包括 GET、POST、HEAD 和 PUT。其他应用程序(如 FPSE 和 Web 分布式创作和版本控制 (WebDAV))使用更多的谓词。
[AllowVerbs] 节和 [DenyVerbs] 节的语法相同。它们由 HTTP 谓词列表组成,每个谓词占一行。
URLScan 根据 [Options] 节中 UseAllowVerbs 选项的值来决定使用哪一节。默认情况下,此选项设置为 1。如果将 UseAllowVerbs 设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的请求。不使用任何这些谓词的请求将被拒绝。在这种情况下,[DenyVerbs] 节被忽略。
如果将 UseAllowVerbs 设置为 0,则 URLScan 拒绝那些使用 [DenyVerbs] 节中明确列出的谓词的请求。允许任何使用未在此节中出现的谓词的请求。在这种情况下,URLScan 忽略 [AllowVerbs] 节
[DenyHeaders] 节
当客户机向 Web 服务器请求页面时,它通常会发送一些包含有关此请求的其他信息的 HTTP 标头。常见的 HTTP 标头包括:
Host:
此标头包含 Web 服务器的名称。
Accept:
此标头定义客户机可以处理的文件类型。
User-Agent:
此标头包含请求页面的浏览器的名称。
Authorization:
此标头定义客户机支持的身份验证方法。
客户机可能会向服务器发送其他标头以指定其他信息。
在 [DenyHeaders] 节中,您定义 URLScan 将拒绝的 HTTP 标头。如果 URLScan 收到的请求中包含此节中列出的任何标头,它将拒绝该请求。此节由 HTTP 标头列表组成,每个标头占一行。标头名后面必须跟一个冒号 (:)(例如 Header-Name:)。
[AllowExtensions] 节和 [DenyExtensions] 节
大多数文件都有一个标识其文件类型的文件扩展名。例如,Word 文档的文件名一般以 .doc 结束,HTML 文件名一般以 .htm 或 .html 结束,纯文本文件名一般以 .txt 结束。[AllowExtensions] 节和 [DenyExtensions] 节允许您定义 URLScan 将禁止的扩展名。例如,您可以配置 URLScan 以拒绝对 .exe 文件的请求,防止 Web 用户在您的系统上执行应用程序。
[AllowExtensions] 节和 [DenyExtensions] 节的语法相同。它们由文件扩展名列表组成,每个扩展名占一行。扩展名以句点 (.) 开头(例如 .ext)。
URLScan 根据 [Options] 节中 UseAllowExtensions 的值来决定使用哪一节。默认情况下,此选项设置为 0。如果将 UseAllowExtensions 设置为 0,则 URLScan 仅拒绝对 [DenyExtensions] 节中列出的文件扩展名的请求。允许此节中未列出的任何文件扩展名。[AllowExtensions] 节被忽略。
如果将 UseAllowExtensions 设置为 1,则 URLScan 拒绝对 [AllowExtensions] 节中未明确列出的任何文件扩展名的请求。仅允许对此节中列出的文件扩展名的请求。[DenyExtensions] 节被忽略。
有关如何配置 URLScan 以允许对没有扩展名的文件的请求,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
312376 HOW TO:Configure URLScan to Allow Requests with a Null Extension in IIS
[DenyUrlSequences] 节
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的请求。例如,可以禁止那些包含两个连续句点 (..) 的请求,利用目录遍历漏洞的攻击中经常采用这种手段。要指定一个要禁止的字符序列,请将此序列单独放在 [DenyUrlSequences] 节中的一行上。
请注意,添加字符序列可能会对 Microsoft Exchange 的 Outlook Web Access (OWA) 产生负面影响。当您从 OWA 打开一个邮件时,该邮件的主题行包含在服务器所请求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分号 (%) 和连字符 (&) 的请求,因此,当用户尝试打开主题行为“Sales increase by 100%”或“Bob & Sue are coming to town”的邮件时,会收到 404 错误信息。要解决此问题,可以从 [DenyUrlSequences] 节中删除这些序列。请注意,这样做会降低安全性,因为它有可能允许危险的请求到达服务器。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320089 XCCC:The URLScan Utility Does Not Allow You to Open Messages in OWA
注:原文出处:http://support.microsoft.com/default.aspx?scid=kb;...
Configure URLScan to Allow Requests with a Null Extension in IIS
Modify the Default URLScan Configuration File
Paste the Urlscan folder in the %Windir%\System32\Inetsrv directory. Double-click the Urlscan folder under Inetsrv, and then open Urlscan.ini in Notepad.
In the Urlscan.ini file, be sure to enable UseAllowExtensions, as follows:
代码
[Option]
UseAllowExtensions=1; if 1, use [AllowExtensions] section, else
Urlscan allows you to specify a null extension in the [AllowExtensions] section. To do this, add a period (.) in the [AllowExtensions] section, as follows:
代码
[AllowExtensions]
.
;
; Extensions listed here are commonly used on a typical IIS server.
;
; Note that these entries are effective if \"UseAllowExtensions=1\"
; is set in the [Option] section above.
;
.asp
.htm
.html
.txt
.jpg
.jpeg
.gif
修改 URLScan.ini 文件
URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。
注意:要使更改生效,必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。
URLScan.ini 文件包含以下几节:
[Options]:此节描述常规 URLScan 选项。
[AllowVerbs] 和 [DenyVerbs]:此节定义 URLScan 允许的谓词(又称作 HTTP 方法)。
[DenyHeaders]:此节列出 HTTP 请求中不允许的 HTTP 标头。如果 HTTP 请求中包含此节中列出的任何 HTTP 标头,URLScan 将拒绝该请求。
[AllowExtensions] 和 [DenyExtensions]:此节定义 URLScan 允许的文件扩展名。
[DenyURLSequences]:此节列出 HTTP 请求中不允许的字符串。URLScan 拒绝那些包含此节中出现的字符串的 HTTP 请求。
[Options] 节
在 [Options] 节中,可以配置许多 URLScan 选项。此节中的每一行都具有以下格式:
OptionName=OptionValue
可用选项及其默认值如下所示:
UseAllowVerbs=1
默认情况下,此选项设置为 1。如果将此选项设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的 HTTP 请求。URLScan 禁止任何不使用这些谓词的请求。如果将此选项设置为 0,则 URLScan 忽略 [AllowVerbs] 节,相反仅禁止那些使用 [DenyVerbs] 节中列出的谓词的请求。
UseAllowExtensions=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 禁止对 [DenyExtensions] 节中列出的文件扩展名的请求,但允许对任何其他文件扩展名的请求。如果将此选项设置为 1,则 URLScan 仅允许对带 [AllowExtensions] 节中列出的扩展名的文件的请求,而禁止对任何其他文件的请求。
NormalizeUrlBeforeScan=1
IIS 收到用 URL 编码的请求。这表示某些字符可能被替换为百分号 (%) 后跟特定的数字。例如,%20 对应于一个空格,因此,对 http://myserver/My%20Dir/My%20File.htm 的请求与对 http://myserver/My Dir/My File.htm 的请求是相同的。标准化就是对 URL 编码请求进行解码的过程。默认情况下,此选项设置为 1。如果将 NormalizeUrlBeforeScan 选项设置为 1,则 URLScan 分析已解码的请求。如果将此选项设置为 0,则 URLScan 分析未解码的请求。将此选项设置为 0 会影响 URLScan 禁止某种攻击的能力。
VerifyNormalization=1
由于百分号 (%) 本身可以是 URL 编码的,所以攻击者可以向服务器提交一个精心制作的、基本上是双重编码的请求。如果发生这种情况,IIS 可能会接受本应视作无效而拒绝的请求。默认情况下,此选项设置为 1。如果将 VerifyNormalization 选项设置为 1,则 URLScan 将对 URL 执行两次标准化。如果第一次标准化后的 URL 与第二次标准化后的 URL 不同,URLScan 将拒绝该请求。这样就可以防止那些依赖双重编码请求的攻击。
AllowHighBitCharacters=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
AllowDotInPath=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝所有包含多个句点 (.) 的请求。这样可以防止通过将安全的文件扩展名放入 URL 的路径信息或查询字符串部分,以达到伪装请求中的危险文件扩展名的企图。例如,如果将此选项设置为 1,则 URLScan 可能允许对 http://servername/BadFile.exe/SafeFile.htm 的请求,因为它认为这是对 HTML 页的请求,但实际上这是一个对可执行 (.exe) 文件的请求,而该文件的名称在 PATH_INFO 区域中显示为 HTML 页的名称。如果将此选项设置为 0,URLScan 可能还会拒绝对包含句点的目录的请求。
RemoveServerHeader=0
默认情况下,Web 服务器返回一个标头,其中指出了 Web 服务器在所有响应中运行的 Web 服务器软件。这会增加服务器遭受攻击的可能性,因为攻击者可以确定服务器正在运行 IIS,于是便攻击已知的 IIS 问题,而不是试图使用为其他 Web 服务器设计的攻击手段来攻击 IIS 服务器。默认情况下,此选项设置为 0。如果将 RemoveServerHeader 选项设置为 1,可以防止您的服务器发送将其标识为 IIS 服务器的标头。如果将 RemoveServerHeader 设置为 0,则仍发送此标头。
AlternateServerName=(默认情况下不指定)
如果将 RemoveServerHeader 设置为 0,可以在 AlternateServerName 选项中指定一个字符串以指定将在服务器标头中传回的内容。如果将 RemoveServerHeader 设置为 1,则此选项将被忽略。
EnableLogging=1
默认情况下,URLScan 在 %WINDIR%\System32\Inetsrv\URLScan 中保留所有被禁止的请求的完整日志。如果不希望保留此日志,可将 EnableLogging 设置为 0。
PerProcessLogging=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,URLScan 将为承载 URLScan.dll 的每个进程创建一个单独的日志。如果将此选项设置为 0,所有进程将记录到同一个文件中。
PerDayLogging=1
默认情况下,此选项设置为 1。如果将该值设置为 1,则 URLScan 每天创建一个新的日志文件。每个日志文件的名称都是 Urlscan.MMDDYY.log,其中 MMDDYY 是日志文件的日期。如果将该值设置为 0,则所有日志记录都保存在同一个文件中,与日期无关。
AllowLateScanning=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 作为高优先级筛选器运行,这表示它先于服务器上安装的所有其他 Internet 服务器应用程序编程接口 (ISAPI) 筛选器执行。如果将此选项设置为 1,则 URLScan 作为低优先级筛选器运行,以便其他筛选器可以在 URLScan 进行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求将此选项设置为 1。
RejectResponseUrl=(默认情况下不指定)
此选项指定在 URLScan 禁止请求时运行的文件的虚拟路径。这允许您自定义针对被禁止的请求发送给客户机的响应。必须将 RejectResponseUrl 指定为相应文件的虚拟路径,如 /Path/To/RejectResponseHandler.asp。可以指定 URLScan 通常禁止的文件,如 Active Server Pages (ASP) 页。还可以从该页指定以下服务器变量:• HTTP_URLSCAN_STATUS_HEADER:此变量指定请求被禁止的原因。
• HTTP_URLSCAN_ORIGINAL_VERB:此变量指定被禁止的请求中的原始谓词(例如 GET、POST、HEAD 或 DEBUG)。
• HTTP_URLSCAN_ORIGINAL_URL:此变量指定被禁止的请求中的原始 URL。
如果将 RejectResponseUrl 设置为特殊值 /~*,则 URLScan 使用“仅日志记录”模式。这允许 IIS 为所有请求提供服务,但它会在 URLScan 日志中为所有通常被禁止的请求添加相应的项。这在需要测试 URLScan.ini 文件时很有用。
如果没有指定 RejectResponseUrl 的值,则 URLScan 使用默认值 /。
UseFastPathReject=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。这比处理 RejectResponseUrl 要快,但它允许的日志记录选项没有那么多。如果将此选项设置为 0,则 URLScan 使用 RejectResponseUrl 设置来处理请求。
[AllowVerbs] 节和 [DenyVerbs] 节
[AllowVerbs] 节和 [DenyVerbs] 节定义 URLScan 允许的 HTTP 谓词(又称作方法)。常用的 HTTP 谓词包括 GET、POST、HEAD 和 PUT。其他应用程序(如 FPSE 和 Web 分布式创作和版本控制 (WebDAV))使用更多的谓词。
[AllowVerbs] 节和 [DenyVerbs] 节的语法相同。它们由 HTTP 谓词列表组成,每个谓词占一行。
URLScan 根据 [Options] 节中 UseAllowVerbs 选项的值来决定使用哪一节。默认情况下,此选项设置为 1。如果将 UseAllowVerbs 设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的请求。不使用任何这些谓词的请求将被拒绝。在这种情况下,[DenyVerbs] 节被忽略。
如果将 UseAllowVerbs 设置为 0,则 URLScan 拒绝那些使用 [DenyVerbs] 节中明确列出的谓词的请求。允许任何使用未在此节中出现的谓词的请求。在这种情况下,URLScan 忽略 [AllowVerbs] 节
[DenyHeaders] 节
当客户机向 Web 服务器请求页面时,它通常会发送一些包含有关此请求的其他信息的 HTTP 标头。常见的 HTTP 标头包括:
Host:
此标头包含 Web 服务器的名称。
Accept:
此标头定义客户机可以处理的文件类型。
User-Agent:
此标头包含请求页面的浏览器的名称。
Authorization:
此标头定义客户机支持的身份验证方法。
客户机可能会向服务器发送其他标头以指定其他信息。
在 [DenyHeaders] 节中,您定义 URLScan 将拒绝的 HTTP 标头。如果 URLScan 收到的请求中包含此节中列出的任何标头,它将拒绝该请求。此节由 HTTP 标头列表组成,每个标头占一行。标头名后面必须跟一个冒号 (:)(例如 Header-Name:)。
[AllowExtensions] 节和 [DenyExtensions] 节
大多数文件都有一个标识其文件类型的文件扩展名。例如,Word 文档的文件名一般以 .doc 结束,HTML 文件名一般以 .htm 或 .html 结束,纯文本文件名一般以 .txt 结束。[AllowExtensions] 节和 [DenyExtensions] 节允许您定义 URLScan 将禁止的扩展名。例如,您可以配置 URLScan 以拒绝对 .exe 文件的请求,防止 Web 用户在您的系统上执行应用程序。
[AllowExtensions] 节和 [DenyExtensions] 节的语法相同。它们由文件扩展名列表组成,每个扩展名占一行。扩展名以句点 (.) 开头(例如 .ext)。
URLScan 根据 [Options] 节中 UseAllowExtensions 的值来决定使用哪一节。默认情况下,此选项设置为 0。如果将 UseAllowExtensions 设置为 0,则 URLScan 仅拒绝对 [DenyExtensions] 节中列出的文件扩展名的请求。允许此节中未列出的任何文件扩展名。[AllowExtensions] 节被忽略。
如果将 UseAllowExtensions 设置为 1,则 URLScan 拒绝对 [AllowExtensions] 节中未明确列出的任何文件扩展名的请求。仅允许对此节中列出的文件扩展名的请求。[DenyExtensions] 节被忽略。
有关如何配置 URLScan 以允许对没有扩展名的文件的请求,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
312376 HOW TO:Configure URLScan to Allow Requests with a Null Extension in IIS
[DenyUrlSequences] 节
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的请求。例如,可以禁止那些包含两个连续句点 (..) 的请求,利用目录遍历漏洞的攻击中经常采用这种手段。要指定一个要禁止的字符序列,请将此序列单独放在 [DenyUrlSequences] 节中的一行上。
请注意,添加字符序列可能会对 Microsoft Exchange 的 Outlook Web Access (OWA) 产生负面影响。当您从 OWA 打开一个邮件时,该邮件的主题行包含在服务器所请求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分号 (%) 和连字符 (&) 的请求,因此,当用户尝试打开主题行为“Sales increase by 100%”或“Bob & Sue are coming to town”的邮件时,会收到 404 错误信息。要解决此问题,可以从 [DenyUrlSequences] 节中删除这些序列。请注意,这样做会降低安全性,因为它有可能允许危险的请求到达服务器。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320089 XCCC:The URLScan Utility Does Not Allow You to Open Messages in OWA
注:原文出处:http://support.microsoft.com/default.aspx?scid=kb;...
Configure URLScan to Allow Requests with a Null Extension in IIS
Modify the Default URLScan Configuration File
Paste the Urlscan folder in the %Windir%\System32\Inetsrv directory. Double-click the Urlscan folder under Inetsrv, and then open Urlscan.ini in Notepad.
In the Urlscan.ini file, be sure to enable UseAllowExtensions, as follows:
代码
[Option]
UseAllowExtensions=1; if 1, use [AllowExtensions] section, else
Urlscan allows you to specify a null extension in the [AllowExtensions] section. To do this, add a period (.) in the [AllowExtensions] section, as follows:
代码
[AllowExtensions]
.
;
; Extensions listed here are commonly used on a typical IIS server.
;
; Note that these entries are effective if \"UseAllowExtensions=1\"
; is set in the [Option] section above.
;
.asp
.htm
.html
.txt
.jpg
.jpeg
.gif
一般IIS运行不了ASP.NET,试一下下面四种方法,99%有效:
1).NET 安装的顺序应该是先装IIS,再装VS.NET,如果次序反了,或者IIS重装了,就
需要使用aspnet_regiis.exe -i来重新安装IIS Mapping(主要用于aspx, asmx等文件
的Extention的匹配)。在C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705目录下,
运行下面的命令:
aspnet_regiis.exe -i
2)重设ASPNET的密码,然后在下面的目录中找到Machine.config文件:
%Systemroot%\Microsoft.NET\Framework\v1.0.3705\CONFIG (Systemroot是你的安装
目录),在标识中添加/修改:
userName和password
3)如果还不行,重装IIS,然后再按照方法1进行操作
4)如果你的机器是域控制器,你可以参考Q315158:ASP.NET Does Not Work with
ASPNET Account on Domain Controller:
http://support.microsoft.com/default.aspx?scid=KB;...
大致操作步骤:
1)在Administrative Tools->Active Directory Users and Computers中建立一个名
为ASPUSER的用户,将该用户添加到用户组中(默认情况下已在User Group中)
2)在Administrative Tools->Local Security Settings->Local Policy->User
Right Assignment中,双击右栏的Log on as a batch job项,在弹出的窗口中点击
Add,选择或输入刚才建立的ASPUSER帐号,确定。(需要重启机器)
3)确保ASPUSER帐号有相应文件、目录的访问权限
4)在下面的目录中找到Machine.config文件:
%Systemroot%\Microsoft.NET\Framework\v1.0.3705\CONFIG (Systemroot是你的安装
目录),在标识中添加/修改:
userName=\"DomainName\ASPUSER\" password=\"ASPUSERpassword\" 其中ASPUSERpassword
是刚刚建立的ASPUSER的密码,DomainName是域名 (重启机器)
1).NET 安装的顺序应该是先装IIS,再装VS.NET,如果次序反了,或者IIS重装了,就
需要使用aspnet_regiis.exe -i来重新安装IIS Mapping(主要用于aspx, asmx等文件
的Extention的匹配)。在C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705目录下,
运行下面的命令:
aspnet_regiis.exe -i
2)重设ASPNET的密码,然后在下面的目录中找到Machine.config文件:
%Systemroot%\Microsoft.NET\Framework\v1.0.3705\CONFIG (Systemroot是你的安装
目录),在标识中添加/修改:
userName和password
3)如果还不行,重装IIS,然后再按照方法1进行操作
4)如果你的机器是域控制器,你可以参考Q315158:ASP.NET Does Not Work with
ASPNET Account on Domain Controller:
http://support.microsoft.com/default.aspx?scid=KB;...
大致操作步骤:
1)在Administrative Tools->Active Directory Users and Computers中建立一个名
为ASPUSER的用户,将该用户添加到用户组中(默认情况下已在User Group中)
2)在Administrative Tools->Local Security Settings->Local Policy->User
Right Assignment中,双击右栏的Log on as a batch job项,在弹出的窗口中点击
Add,选择或输入刚才建立的ASPUSER帐号,确定。(需要重启机器)
3)确保ASPUSER帐号有相应文件、目录的访问权限
4)在下面的目录中找到Machine.config文件:
%Systemroot%\Microsoft.NET\Framework\v1.0.3705\CONFIG (Systemroot是你的安装
目录),在标识中添加/修改:
userName=\"DomainName\ASPUSER\" password=\"ASPUSERpassword\" 其中ASPUSERpassword
是刚刚建立的ASPUSER的密码,DomainName是域名 (重启机器)
如何在 Windows Server 2003 中配置权威时间服务器
文章 ID : 816042
最后更新日期 : 2004年12月20日
版本 : 3.0
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
本任务的内容
• 简介
• 配置 Windows 时间服务以使用内部硬件时钟
• 配置 Windows 时间服务以使用外部时间源
• 疑难解答
更多信息• 可靠的时间源配置
• 手动指定的同步
• 所有可用的同步机制
• Windows 时间服务注册表项
• 参考
本页内容
简介
更多信息
参考
简介
Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。
为确保合理地使用公共时间,Windows 时间服务使用层级关系来控制授权,并且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级: • 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。
• 所有成员服务器都遵循与客户端桌面计算机相同的过程。
• 域中的所有域控制器都提名主要域控制器 (PDC) 操作主机作为其入站时间伙伴。
• 所有 PDC 操作主机都遵循域的层级来选择其入站时间伙伴。
在此层级中,位于林根的 PDC 操作主机成为组织的权威时间服务器。我们极力建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间和更高的安全性。
返回页首
配置 Windows 时间服务以使用内部硬件时钟
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
要想将 PDC 主机配置为不使用外部时间源,请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
2. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
4. 在“编辑 DWORD 值”的“数值数据”框中键入 A,然后单击“确定”。
5. 退出注册表编辑器。
6. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time
注意:决不能将 PDC 主机配置为与它自身同步。如果 PDC 主机配置为与它自身同步,应用程序日志中将记录以下事件:
时间提供程序 NtpClient 不能访问,或当前正在从 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) 接收无效的时间数据。
在尝试联系它 8 次以后,没有收到来自手动对等端 192.168.1.1 的响应。此对等端将不再被作为时间源,同时 NtpClient 将尝试发现一个新的对等端以与其同步。
时间提供程序 NtpClient 被配置为从一个或多个时间源获得时间,但是当前这些源没有一个是可以访问的。在 960 分钟内,不会进行联系时间源的尝试。NtpClient 没有一个能够提供准确时间的时间源。
如果 PDC 主机在没有使用外部时间源的情况下运行,应用程序日志中会记录以下事件:
时间提供程序 NtpClient:此机器配置为用域层级确定它的时间源,但它已经是林的根目录域的 PDC 模拟器,因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务,或者手动配置 PDC 与外部时间源同步。否则,此机器将作为域层级中的权威时间源。如果没有为此计算机配置或使用外部时间源,您可以选择禁用 NtpClient。
这段文本是为了提醒您使用外部时间源;您可以忽略它。
返回页首
配置 Windows 时间服务以使用外部时间源
要将内部时间服务器配置为与外部时间源同步,请按照下列步骤操作:1. 将服务器类型更改为 NTP。为此,请按照下列步骤操作:a. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
b. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
c. 在右窗格中,右键单击“Type”,然后单击“修改”。
d. 在“编辑值”的“数值数据”框中键入 NTP,然后单击“确定”。
2. 将 AnnounceFlags 设置为 5。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 5,然后单击“确定”。
3. 启用 NTPServer。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
b. 在右窗格中,右键单击“Enabled”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 1,然后单击“确定”。
4. 指定时间源。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
b. 在右窗格中,右键单击“NtpServer”,然后单击“修改”。
c. 在“编辑值”的“数值数据”框中键入 Peers,然后单击“确定”。
注意:Peers 是一个占位符,应替换为您的计算机从中获取时间戳的对等端列表(以空格分隔)。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加 ,0x1。如果不在每个 DNS 名称后面附加 ,0x1,则在第 5 步中所做的更改将不会生效。
5. 选择轮询间隔。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
b. 在右窗格中,右键单击“SpecialPollInterval”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为您希望各次轮询所间隔的秒数。建议值为 900(十进制)。该值将时间服务器配置为每隔 15 分钟轮询一次。
6. 配置时间校准设置。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
b. 在右窗格中,右键单击“MaxPosPhaseCorrection”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
d. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。
e. 找到并单击下面的注册表子项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection ”
f. 在右窗格中,右键单击“MaxNegPhaseCorrection”,然后单击“修改”。
g. 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
h. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。
7. 退出注册表编辑器。
8. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time
疑难解答
要使 Windows 时间服务能够正常运行,网络基础结构必须正常运行。影响 Windows 时间服务的最常见问题包括以下这些:• TCP/IP 连接存在问题,如出现死网关。
• 名称解析服务未正确运行。
• 网络出现高延迟,尤其是在通过高延迟的广域网 (WAN) 链接进行同步时。
• Windows 时间服务尝试与不准确的时间源同步。
建议您使用 Netdiag.exe 实用工具解决与网络有关的问题。Netdiag.exe 是 Windows Server 2003 支持工具程序包的一部分。请参阅工具的“帮助”,获取您可以与 Netdiag.exe 一起使用的命令行参数的完整列表。如果问题仍未得到解决,您可以打开 Windows 时间服务调试日志。由于调试日志可能包含非常详细的信息,建议您在打开 Windows 时间服务调试日志后与 Microsoft 产品支持服务联系。
有关 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。
返回页首
更多信息
可靠的时间源配置
被配置为可靠时间源的计算机会被标识为 Windows 时间服务的根。Windows 时间服务的根是域的权威服务器,通常被配置为从外部 NTP 服务器或硬件设备检索时间。您可以将一台时间服务器配置为可靠的时间源,以优化在整个域层级中传输时间的方式。如果将某个域控制器配置为可靠的时间源,Net Logon 服务将在该域控制器登录到网络时将其宣布为可靠的时间源。当其他域控制器查找要与之同步的时间源时,它们将首先选择可靠的时间源(如果有)。
返回页首
手动指定的同步
在使用手动指定的同步时,您可以指定计算机从中获得时间的单个对等端或一个对等端列表。如果计算机不是域的成员,必须手动将其配置为与指定的时间源同步。默认情况下,属于域成员的计算机会被配置为从域层级同步。手动指定的同步对域的林根或未加入域的计算机非常有用。当您手动指定外部 NTP 服务器与域的权威计算机同步时,您就提供了可靠的时间。但是,为了向域提供高准确性和安全性,建议您将域的权威计算机配置为与硬件时钟同步。
如果没有硬件时间源,W32time 会被配置为 NTP 类型。您必须重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项。根据时间源、网络状况和安全要求的不同,建议将该值设置为 15 分钟或更低。该要求也适用于被配置为时间同步子网中的林根时间源的任何可靠的时间源。有关这两个注册表项的更多信息,请参阅本文中的“Windows 时间服务注册表项”一节。
注意:除非为手动指定的时间源编写特定的时间提供程序,否则它们不会经过身份验证,因此这些时间源很容易受到攻击。另外,如果计算机与手动指定的时间源同步,而不是与它的身份验证域控制器同步,则这两台计算机可能不同步。这种情况会导致 Kerberos 身份验证失败,还会导致其他需要网络身份验证的操作(如打印或文件共享)失败。只要将林根配置为与一个外部源同步,则林中的所有其他计算机就会彼此同步。这种配置会使得重播攻击很难发生。
返回页首
所有可用的同步机制
“所有可用的同步机制”选项是最适合网络用户的同步方法。这种方法可实现与域层级的同步,并且根据具体的配置,它还可以在域层级不可用时提供备用的时间源。如果客户端无法与域层级同步时间,时间源将自动故障切换为“NtpServer”设置指定的时间源。这种同步方法最有可能为客户端提供准确的时间。
返回页首
Windows 时间服务注册表项
以下注册表项位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下:
注册表项 MaxPosPhaseCorrection
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将记录一个事件。(0xFFFFFFFF 是一个特殊情况,它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000,即 15 小时。
注册表项 MaxNegPhaseCorrection
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将转而记录一个事件。(-1 是一个特殊情况,它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000,即 15 小时。
注册表项 MaxPollInterval
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定系统轮询间隔所允许的最大间隔(单位是对数表示的秒)。尽管系统必须根据预定的间隔进行轮询,但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。
注册表项 SpecialPollInterval
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注意: 该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时,W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。
注册表项 MaxAllowedPhaseOffset
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定 W32Time 尝试使用时钟速率调整计算机时钟的最大偏移量(以秒为单位)。当偏移量大于该速率时,W32Time 将直接设置计算机时钟。域成员的默认值是 300。独立客户端和服务器的默认值是 1。
返回页首
参考
有关 Windows 时间服务的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816043 如何打开 Windows 时间服务中的调试日志
884776 配置 Windows 时间服务以防出现大的时间偏移
321708 如何使用 Windows 2000 中的网络诊断工具 (Netdiag.exe)
314054 如何在 Windows XP 中配置权威时间服务器
216734 如何在 Windows 2000 中配置权威时间服务器
有关基于 Windows Server 2003 的林中的 Windows 时间服务的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/W...
返回页首
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003, Datacenter Edition for Itanium-based Systems
• Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
返回页首
关键字: kbsecurity kbhowto KB816042
http://support.microsoft.com/default.aspx?scid=kb;...
文章 ID : 816042
最后更新日期 : 2004年12月20日
版本 : 3.0
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
本任务的内容
• 简介
• 配置 Windows 时间服务以使用内部硬件时钟
• 配置 Windows 时间服务以使用外部时间源
• 疑难解答
更多信息• 可靠的时间源配置
• 手动指定的同步
• 所有可用的同步机制
• Windows 时间服务注册表项
• 参考
本页内容
简介
更多信息
参考
简介
Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。
为确保合理地使用公共时间,Windows 时间服务使用层级关系来控制授权,并且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级: • 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。
• 所有成员服务器都遵循与客户端桌面计算机相同的过程。
• 域中的所有域控制器都提名主要域控制器 (PDC) 操作主机作为其入站时间伙伴。
• 所有 PDC 操作主机都遵循域的层级来选择其入站时间伙伴。
在此层级中,位于林根的 PDC 操作主机成为组织的权威时间服务器。我们极力建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间和更高的安全性。
返回页首
配置 Windows 时间服务以使用内部硬件时钟
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
要想将 PDC 主机配置为不使用外部时间源,请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
2. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
4. 在“编辑 DWORD 值”的“数值数据”框中键入 A,然后单击“确定”。
5. 退出注册表编辑器。
6. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time
注意:决不能将 PDC 主机配置为与它自身同步。如果 PDC 主机配置为与它自身同步,应用程序日志中将记录以下事件:
时间提供程序 NtpClient 不能访问,或当前正在从 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) 接收无效的时间数据。
在尝试联系它 8 次以后,没有收到来自手动对等端 192.168.1.1 的响应。此对等端将不再被作为时间源,同时 NtpClient 将尝试发现一个新的对等端以与其同步。
时间提供程序 NtpClient 被配置为从一个或多个时间源获得时间,但是当前这些源没有一个是可以访问的。在 960 分钟内,不会进行联系时间源的尝试。NtpClient 没有一个能够提供准确时间的时间源。
如果 PDC 主机在没有使用外部时间源的情况下运行,应用程序日志中会记录以下事件:
时间提供程序 NtpClient:此机器配置为用域层级确定它的时间源,但它已经是林的根目录域的 PDC 模拟器,因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务,或者手动配置 PDC 与外部时间源同步。否则,此机器将作为域层级中的权威时间源。如果没有为此计算机配置或使用外部时间源,您可以选择禁用 NtpClient。
这段文本是为了提醒您使用外部时间源;您可以忽略它。
返回页首
配置 Windows 时间服务以使用外部时间源
要将内部时间服务器配置为与外部时间源同步,请按照下列步骤操作:1. 将服务器类型更改为 NTP。为此,请按照下列步骤操作:a. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
b. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
c. 在右窗格中,右键单击“Type”,然后单击“修改”。
d. 在“编辑值”的“数值数据”框中键入 NTP,然后单击“确定”。
2. 将 AnnounceFlags 设置为 5。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 5,然后单击“确定”。
3. 启用 NTPServer。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
b. 在右窗格中,右键单击“Enabled”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 1,然后单击“确定”。
4. 指定时间源。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
b. 在右窗格中,右键单击“NtpServer”,然后单击“修改”。
c. 在“编辑值”的“数值数据”框中键入 Peers,然后单击“确定”。
注意:Peers 是一个占位符,应替换为您的计算机从中获取时间戳的对等端列表(以空格分隔)。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加 ,0x1。如果不在每个 DNS 名称后面附加 ,0x1,则在第 5 步中所做的更改将不会生效。
5. 选择轮询间隔。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
b. 在右窗格中,右键单击“SpecialPollInterval”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为您希望各次轮询所间隔的秒数。建议值为 900(十进制)。该值将时间服务器配置为每隔 15 分钟轮询一次。
6. 配置时间校准设置。为此,请按照下列步骤操作:a. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
b. 在右窗格中,右键单击“MaxPosPhaseCorrection”,然后单击“修改”。
c. 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
d. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。
e. 找到并单击下面的注册表子项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection ”
f. 在右窗格中,右键单击“MaxNegPhaseCorrection”,然后单击“修改”。
g. 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
h. 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。
注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。
7. 退出注册表编辑器。
8. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time
疑难解答
要使 Windows 时间服务能够正常运行,网络基础结构必须正常运行。影响 Windows 时间服务的最常见问题包括以下这些:• TCP/IP 连接存在问题,如出现死网关。
• 名称解析服务未正确运行。
• 网络出现高延迟,尤其是在通过高延迟的广域网 (WAN) 链接进行同步时。
• Windows 时间服务尝试与不准确的时间源同步。
建议您使用 Netdiag.exe 实用工具解决与网络有关的问题。Netdiag.exe 是 Windows Server 2003 支持工具程序包的一部分。请参阅工具的“帮助”,获取您可以与 Netdiag.exe 一起使用的命令行参数的完整列表。如果问题仍未得到解决,您可以打开 Windows 时间服务调试日志。由于调试日志可能包含非常详细的信息,建议您在打开 Windows 时间服务调试日志后与 Microsoft 产品支持服务联系。
有关 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。
返回页首
更多信息
可靠的时间源配置
被配置为可靠时间源的计算机会被标识为 Windows 时间服务的根。Windows 时间服务的根是域的权威服务器,通常被配置为从外部 NTP 服务器或硬件设备检索时间。您可以将一台时间服务器配置为可靠的时间源,以优化在整个域层级中传输时间的方式。如果将某个域控制器配置为可靠的时间源,Net Logon 服务将在该域控制器登录到网络时将其宣布为可靠的时间源。当其他域控制器查找要与之同步的时间源时,它们将首先选择可靠的时间源(如果有)。
返回页首
手动指定的同步
在使用手动指定的同步时,您可以指定计算机从中获得时间的单个对等端或一个对等端列表。如果计算机不是域的成员,必须手动将其配置为与指定的时间源同步。默认情况下,属于域成员的计算机会被配置为从域层级同步。手动指定的同步对域的林根或未加入域的计算机非常有用。当您手动指定外部 NTP 服务器与域的权威计算机同步时,您就提供了可靠的时间。但是,为了向域提供高准确性和安全性,建议您将域的权威计算机配置为与硬件时钟同步。
如果没有硬件时间源,W32time 会被配置为 NTP 类型。您必须重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项。根据时间源、网络状况和安全要求的不同,建议将该值设置为 15 分钟或更低。该要求也适用于被配置为时间同步子网中的林根时间源的任何可靠的时间源。有关这两个注册表项的更多信息,请参阅本文中的“Windows 时间服务注册表项”一节。
注意:除非为手动指定的时间源编写特定的时间提供程序,否则它们不会经过身份验证,因此这些时间源很容易受到攻击。另外,如果计算机与手动指定的时间源同步,而不是与它的身份验证域控制器同步,则这两台计算机可能不同步。这种情况会导致 Kerberos 身份验证失败,还会导致其他需要网络身份验证的操作(如打印或文件共享)失败。只要将林根配置为与一个外部源同步,则林中的所有其他计算机就会彼此同步。这种配置会使得重播攻击很难发生。
返回页首
所有可用的同步机制
“所有可用的同步机制”选项是最适合网络用户的同步方法。这种方法可实现与域层级的同步,并且根据具体的配置,它还可以在域层级不可用时提供备用的时间源。如果客户端无法与域层级同步时间,时间源将自动故障切换为“NtpServer”设置指定的时间源。这种同步方法最有可能为客户端提供准确的时间。
返回页首
Windows 时间服务注册表项
以下注册表项位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下:
注册表项 MaxPosPhaseCorrection
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将记录一个事件。(0xFFFFFFFF 是一个特殊情况,它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000,即 15 小时。
注册表项 MaxNegPhaseCorrection
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将转而记录一个事件。(-1 是一个特殊情况,它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000,即 15 小时。
注册表项 MaxPollInterval
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定系统轮询间隔所允许的最大间隔(单位是对数表示的秒)。尽管系统必须根据预定的间隔进行轮询,但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。
注册表项 SpecialPollInterval
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注意: 该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时,W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。
注册表项 MaxAllowedPhaseOffset
路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意: 该项指定 W32Time 尝试使用时钟速率调整计算机时钟的最大偏移量(以秒为单位)。当偏移量大于该速率时,W32Time 将直接设置计算机时钟。域成员的默认值是 300。独立客户端和服务器的默认值是 1。
返回页首
参考
有关 Windows 时间服务的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816043 如何打开 Windows 时间服务中的调试日志
884776 配置 Windows 时间服务以防出现大的时间偏移
321708 如何使用 Windows 2000 中的网络诊断工具 (Netdiag.exe)
314054 如何在 Windows XP 中配置权威时间服务器
216734 如何在 Windows 2000 中配置权威时间服务器
有关基于 Windows Server 2003 的林中的 Windows 时间服务的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/W...
返回页首
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003, Datacenter Edition for Itanium-based Systems
• Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
返回页首
关键字: kbsecurity kbhowto KB816042
http://support.microsoft.com/default.aspx?scid=kb;...
在日常的计算机操作中,我们随时随地都离不开密码——开机要使用CMOS密码、进Windows98要使用用户密码、编辑Word文档要设置文档密码……,所有这些都为用户的数据安全提供了必要的安全保障!不过随着密码应用范围的增加,遗忘密码的情况也在与日俱增(谁也无法保证自己绝对不会忘记密码)!在忘记密码之后如何破解这些密码,尽可能减少损失就成为广大用户所关注的一个话题。为方便用户的使用,现将常用计算机密码的破解方法向大家作一简要介绍:
一、开机密码
根据用户设置的不同,开机密码一般分为两种不同情况,一种就是SETUP密码(即SMOS密码);另一种就是SYSTEM密码(即系统密码)。
SETUP密码
如果计算机能正常引导,只是不能进SMOS设置,那么,我们在遗忘密码之后只需在DOS状态下启动DEBUG,然后输入如下命令即可:
_o 70 16 注:第一字符为下划线“_”,第二字符为英文字母“o”,此后都为数字。
_o 71 16 注:第一字符为下划线“_”,第二字符为英文字母“o”,此后都为数字。
_q 注:此处为退处DEBUG程序。
输完之后,然后重新启动计算机,再按DEL键即可进入SMOS设置。
另外,不熟悉DEBUG的用户也可到http://www.newhua.com/down/Cmospwd.zip下载一个专门破解CMOS密码的工具软件Cmospwd。然后在DOS启动该程序,它就会将用户的CMOS密码显示出来(Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD
BELL、PHOENIX、ZENITH AMI等多种BIOS),使用非常方便。
SYSTEM密码
若没有密码根本无法进入计算机系统,那我们就无法通过用软件来解决密码遗忘的问题了。此时,也只有从硬件上解决了,打开机箱,给SMOS放电,具体情况还要看主板说明书,在主板上找到SMOS跳线,清除CMOS中的所有内容,当然,此时SYSTEM中的密码也就被永远的删除了。
二、Windows密码
Windows启动密码
遗忘Windows98的启动密码虽然不会影响系统的启动,但它将使用户找不到自己原有的个人设置,包括桌面图片、我的文档、背景音乐和开始菜单的一些设置。解除密码,您就必须进入Windows,然后删除Windows安装目录下的*.pwl密码文件及Profiles子目录下的所有个人信息文件。然后重新启动计算机,系统就会弹出一个对话框,此时,您只需按“确定”,Windows密码就被您给删除了。或者进入DOS状态,进入C:\Windows目录下,输入“Del C:\Windows\*.pwl”,或者,把“*.pwl”文件移到别的地方。注:假如您进不了Windows98,您可以在开机时,按F8进入安全模式。另外,将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon分支下的UserProfiles修改为“0”,然后重新启动Windows
98也可达到同样的目的。
屏幕保护密码
屏幕保护功能可以防止他人在自己不在的情况下偷用自己的计算机。此密码非常脆弱,在忘了密码之时,我们只要强行启动计算机即可,如:按“Ctrl+Alt+Del”或机箱上的复位键。重新启动计算机后,然后右击桌面,出来“显示属性”,再选择“屏幕保护程序”,把密码保护去掉即可。如果你的机器是在局域内的一台工作站的话,那更好办啦,方法就是:利用局域网内硬件间的冲突来实现,首先,我们要查到设有屏幕保护机器的IP地址(这个相信大家都会,不用我再说了吧!^-^),然后设置另外一台机子的IP地址与它相同,重新启动一下这另外的一台机器,你再回去看看那台设有屏保的机器,已经一切OK啦!
另外,据说目前市面上还出现了一种专门用于破解屏幕保护密码的光盘。插入该光盘之后,它就会利用Windows
98的自动运行功能启动保存在光盘上的屏幕保护密码破解程序,对屏幕保护功能的密码进行分析、破译,最后再将密码显示在屏幕上或写到软盘上,这就更方便了(对不起,该功能只是道听途说,本人并没有亲眼见到这样的光盘)。
另外,还可以在C:\Windows\System目录下执行命令“Ren *.scr *.sss”,这样就改掉了屏幕保护密码的性质。
bios万能密码ami ami旧award award新award syxz
注册表解锁:
用“记事本”新建一个文件,其内容如下:
REGEDIT4[HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion\Policies\System]
\"DisableRegistrytools\"=dword:00000000
然后把该文件存盘(文件名存为Unlock.reg),现在只要双击此文件使之导入注册表中即可。这样,可以在平时给注册表上锁(方法是把Unlock.reg文件中的dword:00000000改为dwrod:00000001,然后导入注册表),当自己想编辑注册表的时候再按此法解开锁,就可以防止学生随意修改注册表了。
电源管理密码
此密码与Window98启动密码完全一致,因此,只要执行前面如何破解Windows98密码的方法就可来破解此密码。
从以上看来,计算机密码是如此脆弱,所以警告大家千万不能太相信计算机密码,俗话说:“一山还有一山高!山外青山楼外楼!”,我们必须辅之以其他控制措施才能达到防止他人入侵的目的。
三、压缩文件密码
1、WinZip
当用户遗忘ZIP压缩包的密码之后可以到http://www.golubev.com/下载一个专门破解ZIP压缩包密码的解密软件UZPC(Ultra Zip
Password Cracker),利用它帮我们找回丢失的密码。
UZPC的界面如图1所示,我们只需执行“Task”菜单的“New”命令,并从弹出的“打开”对话框中选择需要破解密码的ZIP文件,然后UZPC就会打开一个“Preferences”对话框(如图2所示)。用户应从“Archive
Files”列表框中选择对ZIP压缩包中哪几个文件进行解密(WinZip具有为同一个ZIP压缩包中的不同文件设置不同密码的功能,不过绝大多数ZIP压缩包都没有使用这一功能,它们通常为所有的文件都设置了相同的密码,因而常见的ZIP密码破解软件都只能处理此类相同密码的ZIP文档,它们往往对同时包含多个密码的ZIP压缩包无效。UZPC则有所不同,它可分别对ZIP压缩包中不同文件的密码单独进行解密,从而更好地满足了广大用户的要求。“Archive
Files”列表框就是用于选择同一个ZIP压缩包中包含不同密码的文件的)。
接下来,我们应选择适当的解密方式(主要有“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等4种,我们一般采用“Brute
Force穷举方式”)。设置完毕之后单击“Next”按钮,系统就会弹出一个“Brute Force Attack
Parameter”对话框(如图3所示),要求广大用户对破解密码的参数(如是否包括大小写字母,是否包括数字、空格、符号或包括所有内容,密码的长度等)进行设置。最后单击“Go”按钮,系统就采用穷尽法对所有可能的密码组合进行测试,直至找出最后的结果,使用非常方便。
另外需要说明的,若密码的位数较长,UZPC的测试过程可能会花费较长的时间。为方便用户的使用,UZPC特意提供了临时中断运行和从中断处继续进行测试的功能,我们只需在测试过程中利用“Save”按钮将当前的破解状态记录下来,然后就可以放心大胆地中断正在进行的测试而不必担心数据丢失了。此后我们只需在UZPC中单击“Open”按钮,打开上次所作记录,UZPC即会从中断处继续进行查找,从而节约了用户的时间。
2、ARJ
当ARJ压缩包的密码遗忘之后,我们可到http://www.elcomsoft.com/下载一个专业的ARJ压缩包密码破解软件AAPR(Advanced ARJ
Password Recovery),利用它找出ARJ压缩包的密码。AAPR的界面如图4所示,我们只需从“ARJ Password-encrypted
File”对话框中选择需要破解的ARJ压缩包,并在“Brute-Force Range
Options”对话框中选择密码的范围(同样是设置是否包括大小写字母,是否包括数字、空格、符号或包括所有字符等内容)。最后单击“Start”按钮,系统就采用穷尽法对所有可能的密码组合进行测试,找到密码之后再将其显示出来,使用非常方便!
3、RAR
RAR也是一个非常流行的压缩软件,用户在遗忘RAR压缩包的密码之后可到http://www.ssl.stu.neva.ru/下载一个CRARK软件来对其进行破解。这是一个命令行实用程序,它主要通过命令行来实现对RAR压缩包的密码进行破解。其命令格式为:“CRARK
命令行参数 RAR压缩包文件名”。不过事实上我们一般只需直接使用“CRARK RAR压缩包文件名”命令,利用缺省参数即可达到对RAR压缩包的密码进行破解的目的。
附:CRARK有关命令行参数的含义:
-l 指定最小密码长度
-g 指定最大密码长度
-s 使用用户自己的设置
-d 设置主要词典的文件名
-u 设置用户词典的文件名
-p 设置密码进度文件名
四、文字处理软件密码
1、WPS
1) WPS for DOS
老版本的WPS有一个通用密码Ctrl-QIUBOJUN,我们只需采用此密码即可打开所有加密文档,然后再将文档中的内容采用块拷贝方式拷贝到其他文档中即可解决问题(采用通用密码打开文档时所作的修改不能存盘)。
2) WPS 2000
大家都知道,WPS
2000采用了两种不同级别的文档加密方式,即“普通型加密”和“绝密型加密”。它在说明书中谈到,当用户遗忘文档密码之后,若文档采用的是“普通型加密”方式,则可向金山公司的技术人员求救,由他们帮你找出遗忘的密码;若文档采用的是“绝密型加密”方式,密码遗忘之后根本无法解密,不过事实却并非如此。我们无论是遗忘了“普通型”密码还是“绝密型”密码,都可以到http://cyg.yeah.net/下载一个名为EWPR(Edward
Wps Password
Recovery)的软件对遗忘的密码进行破解。这是一个国人自己编辑的密码破解软件(不过我始终搞不懂为什么有这么多的中国人喜欢编辑英文界面的软件),它提供了“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等4种解密方式(对一般用户来说,最有使用价值的还是“穷举方式”),可同时对采用“普通型加密”和“绝密型加密”的文档进行解密(操作方式完全一样)。
具体来说,我们在使用EWPR对WPS 2000文档的密码进行破解时,首先应在“Encrypt WPS 2000 file”对话框中指定所需的WPS
2000文档(如图5所示),并在“Type of
Attack”列表框中选择适当的密码破解方式(一般应选择“brute-force”穷举方式)。接下来,应根据具体情况在“Brute-Force Range
Options”列表框中选择可能包含的密码范围,并在“Start
From”对话框中指定开始进行查找的字符(主要用于从上次中断处继续进行破解)。设置完这些选项之后,我们只需单击“RUN”按钮,EWPR就会采用穷尽法对WPS
2000文档的密码进行破解,使用非常方便(在运行过程中,我们可以通过“Pause”和“Resume”按钮暂时中断运行以及从中断处继续运行)。
2、Office
WPS 2000的密码保护功能并不安全,那么微软的Office又怎样呢?其实微软的安全性更不能信赖(Windows
98、IE等软件的安全性问题就是典型教材)。破解Office系列文档的密码的软件多如牛毛,本人最常用的是AOPR(全称为Advanced Office 97
Password
Recovery,下载网址为http://www.elcomsoft.com/)。该软件可同时对微软Office系列中的Word、Excel及Access等软件所生成的密码进行破解,这就免去了用户逐一下载、使用各个单独密码破解软件的苦恼。另外,AOPR可对Word的*.DOT模板文件的密码进行搜索,这是其他类似软件所不具备的!必须说明的是,AOPR是针对Office
97开发的(推出AOPR时,Office 2000还未问世),不过Office 2000文档的格式与Office
97文档的格式基本上没有什么区别,因此我们同样可使用AOPR对Office 2000文档的密码进行破解(至少本人在使用过程中就没有发现什么问题)。
启动AOPR之后(如图6所示),我们只需从“Encrypted Office 97 Document”对话框中选择遗忘密码的Office文档,并在“Brute
-Force Range Options”对话框中选择密码的范围,然后再在“Type of
Attack”列表框中选择适当的密码破解方式(当然与前面一样选择“Brute-
Force”穷举方式),最后单击“Start”按钮,系统就会采用穷尽法对所有可能的密码组合进行测试,找到密码后再将其显示出来(不同软件的使用方法好像都差不多)。怎么样,效果不错吧?
3、Lotus Word Pro
国内使用莲花公司(IBM子公司)的Lotus Word
Pro的用户可能并不太多,不过该软件的功能与微软的Word相比毫不逊色(在某些方面还要更先进一些),在国外的应用范围非常广泛(国内不少用户经常会收到采用Lotus
Word Pro格式的邮件),国内的多数中外合资企业也是使用Lotus Word Pro进行日常的文字处理,因此这里一并将Lotus Word
Pro密码破解的方法向大家作一个介绍。当用户遗忘Lotus Word
Pro密码之后,我们可以到http://www.lostpassword.com下载一个Wprokeyd(Password recovery for Lotus
Word Pro)对其进行破解。
Wprokeyd是一个专门用于破解Lotus Word
Pro文档密码的应用程序,我们在启动该程序(如图7所示)之后首先应单击“Settings”按钮,打开“Brute-Force
Settings”对话框,对Wprokeyd的破解状态进行设置(主要是在“Password Character
Set”列表框中选择密码的范围)。设置完毕之后,我们只需将遗忘密码的Lotus Word
Pro文档(*.LWP文件)拖拽到Wprokeyd窗口中,Wprokeyd即会根据用户指定的范围采用穷尽法对所有可能的密码一一进行测试,直到找到密码为止。
五、ICQ密码
ICQ是目前最流行的网络寻呼软件,许多人在上网时都离不开这惹人喜爱的“小东东”。在使用ICQ的过程中我们必须输入自己的个人密码,用户若将密码遗忘了就意味着以前所有的传呼号码及谈话记录将全部丢失,这是绝对不能令人接受的!别着急,ICQ密码破解软件ICQ
Password Revealer可以解决这一难题(http://www.encrsoft.com/)。ICQ Password
Revealer是一个DOS下的命令行实用软件,用户只需在ICQ安装文件夹的NEWDB子文件夹下执行该文件,然后按照屏幕提示输入自己的UIN(如图8所示),系统即会找回“久违”的ICQ密码,使用非常方便。
六、采用“***”显示的密码
大家都知道,Foxmail具有记忆用户邮箱密码的功能,它可将用户邮箱的密码记忆下来,然后直接收取邮件,从而免去了用户手工输入密码的繁琐步骤。这就存在一个问题,那就是用户长时间不接触密码之后很容易将邮箱密码遗忘,而Foxmail中记录的密码是采用“*”显示的,我们无法直接进行查看(类似情况非常普遍),这该如何解决呢?别着急,“侠客软件密码查看器”可破解此类密码!“侠客软件密码查看器”是一个专门用于破解应用程序对话框中采用“*”显示密码的工具软件,它可查出这些密码的原始字符并显示到用户的面前。有了它,“*”再也不是一道无法逾越的壕沟了!“侠客软件密码查看器”的界面如图9所示,我们要使用它破解某个密码,只需先打开其他应用程序的密码设置对话框(即显示“*”的窗口),然后用鼠标将“侠客软件密码查看器”中的“侠客软件”图标拖到这些应用程序的“*”密码上,“侠客软件密码查看器”就会将这些“*”密码破解出来,并将其原始字符显示到“密码”框中,从而满足用户的需要。“侠客软件密码查看器”的下载网址为:http://xksoft.yeah.net/。
看了上面的介绍之后,相信你再也不会因为忘记密码而发愁了,不过相反,可能会有用户对自己的数据是否安全而操心。其实我们也不必如此紧张,前述这些密码破解软件所采用的破解方法主要还是穷尽法,当密码较长时,穷尽所有可能的运算量非常大,目前计算机的运算速度还不能满足穷尽较长密码的要求,这也就是说只要我们将密码设置得足够长,他人“窥视”我们秘密的机会并不多(当然,密码至少应在8位以上,且应是数字、字母和符号的组合)。另外,为防止“侠客软件密码查看器”之类的专门破解采用“***”显示密码的软件,用户最好不要使用软件的自动记忆密码功能,而直接在需要时使用手工输入密码。有了这两招,别人依然不能轻易突破你的“防线”。
附:智取屏幕保护密码
如果你是学校机房的一名系统管理员,或者是一名网吧的工作人员,您一定会经常遇到这种现象,那就是有些喜欢搞“恶作剧”的学生或用户在自己使用机器结束后,就给计算机加了一个屏幕保护密码,这样后面使用机器的用户如果没有密码,就不能顺利使用了?出现这种现象,我们该采取什么样的办法在最短的时间内把屏幕保护中的密码解开呢?这时,有些用户马上不假思索地回答道,这有什么困难的,“啪”地一声直接切断电源开关不就得了!俗话说“人心都是肉长的”,计算机不是他的,他当然会这样理直气壮地“行动”。况且直接关闭电源的话,有可能会损坏系统文件夹的结构,导致计算机下次不能重新启动,长此以往,计算机的性能方面将会大大受到损伤,严重的使计算机处于瘫痪状态;另外,如果计算机中包含有重要的数据没有保存,岂不是损失就更大了!
为此,笔者又在网上苦苦搜索,找到了专门用于解密的软件,无奈这种方法又比较烦琐。现在,笔者总算找到了一种既方便又快速的解密大法,这种方法并不是直接把屏幕保护中的密码解开或者消除,而是利用硬件冲突的优先级较高的原理就可以使操作系统跳过屏幕保护程序了,这就是所谓的“曲线”解密法。这个方法实现起来比较简单,只要我们知道自己计算机所使用的IP地址,按照下面的解密方法,就可以避开屏幕保护给我们带来的麻烦了,但这种方法必须在局域网中才能实现。
这种方法具体的实施步骤如下:
1、首先在设有屏保的机器所在的局域网内,找到另外一台能与之互联的计算机作为解码机,然后用鼠标单击该机器中的“开始”按钮,从弹出的开始菜单中选择“设置”一项,并从随后的下级菜单中选择控制面板命令;
2、单击控制面板命令后,程序将弹出一个标题为“控制面板”的对话框,在该对话框中,找到 “网络”的图标;
3、用鼠标双击该图标,程序将弹出一个对话框,然后在这个对话框的设置选项栏选中TCP/IP一项,并用鼠标单击一下“属性”按钮,程序将会弹出一个标题为“Tcp/Ip属性”的对话框。
4、在该对话框中,我们用鼠标单击一下“Ip地址”标签,就可以找到该解码机的IP地址了。
5、这时为了要造成硬件冲突,我们就可以将解码机的IP地址改为设有屏保的计算机的IP地址,设置好Ip地址后,再用鼠标单击一下“确定”按钮,随后系统会提示我们新的设置要重新启动计算机才能生效。
6、用鼠标直接单击“确定”按钮,让解码机重新启动。正常启动完成后,在局域网内就有两台机器的IP地址是相同的。这样,在设有屏保的机器和解码机上会同时弹出“IP地址产生硬件冲突”的提示框。
7、这时我们只要用鼠标单击一下出现在设有屏保的机器上的“确定”,剩下的问题当然是迎刃而解了,系统不会再要求我们输入屏幕保护程序的密码,就可以直接进入操作系统的桌面了。
学会了上面的解密大法,下次我们再也不会对着屏幕保护中的密码框而发愣了!但是,在这里笔者还需提醒各位的是,如果要保证解密的成功,就必须在整个解密的过程中,确保设有屏幕保护的计算机上还没有出现密码对话框,要求用户输入屏幕保护程序的密码,否则即使我们通过设置,造成了局域网中的硬件冲突,单击“硬件冲突”对话框中的确定按钮后,系统还会继续要求我们输入屏幕保护程序的密码。
一、开机密码
根据用户设置的不同,开机密码一般分为两种不同情况,一种就是SETUP密码(即SMOS密码);另一种就是SYSTEM密码(即系统密码)。
SETUP密码
如果计算机能正常引导,只是不能进SMOS设置,那么,我们在遗忘密码之后只需在DOS状态下启动DEBUG,然后输入如下命令即可:
_o 70 16 注:第一字符为下划线“_”,第二字符为英文字母“o”,此后都为数字。
_o 71 16 注:第一字符为下划线“_”,第二字符为英文字母“o”,此后都为数字。
_q 注:此处为退处DEBUG程序。
输完之后,然后重新启动计算机,再按DEL键即可进入SMOS设置。
另外,不熟悉DEBUG的用户也可到http://www.newhua.com/down/Cmospwd.zip下载一个专门破解CMOS密码的工具软件Cmospwd。然后在DOS启动该程序,它就会将用户的CMOS密码显示出来(Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD
BELL、PHOENIX、ZENITH AMI等多种BIOS),使用非常方便。
SYSTEM密码
若没有密码根本无法进入计算机系统,那我们就无法通过用软件来解决密码遗忘的问题了。此时,也只有从硬件上解决了,打开机箱,给SMOS放电,具体情况还要看主板说明书,在主板上找到SMOS跳线,清除CMOS中的所有内容,当然,此时SYSTEM中的密码也就被永远的删除了。
二、Windows密码
Windows启动密码
遗忘Windows98的启动密码虽然不会影响系统的启动,但它将使用户找不到自己原有的个人设置,包括桌面图片、我的文档、背景音乐和开始菜单的一些设置。解除密码,您就必须进入Windows,然后删除Windows安装目录下的*.pwl密码文件及Profiles子目录下的所有个人信息文件。然后重新启动计算机,系统就会弹出一个对话框,此时,您只需按“确定”,Windows密码就被您给删除了。或者进入DOS状态,进入C:\Windows目录下,输入“Del C:\Windows\*.pwl”,或者,把“*.pwl”文件移到别的地方。注:假如您进不了Windows98,您可以在开机时,按F8进入安全模式。另外,将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon分支下的UserProfiles修改为“0”,然后重新启动Windows
98也可达到同样的目的。
屏幕保护密码
屏幕保护功能可以防止他人在自己不在的情况下偷用自己的计算机。此密码非常脆弱,在忘了密码之时,我们只要强行启动计算机即可,如:按“Ctrl+Alt+Del”或机箱上的复位键。重新启动计算机后,然后右击桌面,出来“显示属性”,再选择“屏幕保护程序”,把密码保护去掉即可。如果你的机器是在局域内的一台工作站的话,那更好办啦,方法就是:利用局域网内硬件间的冲突来实现,首先,我们要查到设有屏幕保护机器的IP地址(这个相信大家都会,不用我再说了吧!^-^),然后设置另外一台机子的IP地址与它相同,重新启动一下这另外的一台机器,你再回去看看那台设有屏保的机器,已经一切OK啦!
另外,据说目前市面上还出现了一种专门用于破解屏幕保护密码的光盘。插入该光盘之后,它就会利用Windows
98的自动运行功能启动保存在光盘上的屏幕保护密码破解程序,对屏幕保护功能的密码进行分析、破译,最后再将密码显示在屏幕上或写到软盘上,这就更方便了(对不起,该功能只是道听途说,本人并没有亲眼见到这样的光盘)。
另外,还可以在C:\Windows\System目录下执行命令“Ren *.scr *.sss”,这样就改掉了屏幕保护密码的性质。
bios万能密码ami ami旧award award新award syxz
注册表解锁:
用“记事本”新建一个文件,其内容如下:
REGEDIT4[HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion\Policies\System]
\"DisableRegistrytools\"=dword:00000000
然后把该文件存盘(文件名存为Unlock.reg),现在只要双击此文件使之导入注册表中即可。这样,可以在平时给注册表上锁(方法是把Unlock.reg文件中的dword:00000000改为dwrod:00000001,然后导入注册表),当自己想编辑注册表的时候再按此法解开锁,就可以防止学生随意修改注册表了。
电源管理密码
此密码与Window98启动密码完全一致,因此,只要执行前面如何破解Windows98密码的方法就可来破解此密码。
从以上看来,计算机密码是如此脆弱,所以警告大家千万不能太相信计算机密码,俗话说:“一山还有一山高!山外青山楼外楼!”,我们必须辅之以其他控制措施才能达到防止他人入侵的目的。
三、压缩文件密码
1、WinZip
当用户遗忘ZIP压缩包的密码之后可以到http://www.golubev.com/下载一个专门破解ZIP压缩包密码的解密软件UZPC(Ultra Zip
Password Cracker),利用它帮我们找回丢失的密码。
UZPC的界面如图1所示,我们只需执行“Task”菜单的“New”命令,并从弹出的“打开”对话框中选择需要破解密码的ZIP文件,然后UZPC就会打开一个“Preferences”对话框(如图2所示)。用户应从“Archive
Files”列表框中选择对ZIP压缩包中哪几个文件进行解密(WinZip具有为同一个ZIP压缩包中的不同文件设置不同密码的功能,不过绝大多数ZIP压缩包都没有使用这一功能,它们通常为所有的文件都设置了相同的密码,因而常见的ZIP密码破解软件都只能处理此类相同密码的ZIP文档,它们往往对同时包含多个密码的ZIP压缩包无效。UZPC则有所不同,它可分别对ZIP压缩包中不同文件的密码单独进行解密,从而更好地满足了广大用户的要求。“Archive
Files”列表框就是用于选择同一个ZIP压缩包中包含不同密码的文件的)。
接下来,我们应选择适当的解密方式(主要有“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等4种,我们一般采用“Brute
Force穷举方式”)。设置完毕之后单击“Next”按钮,系统就会弹出一个“Brute Force Attack
Parameter”对话框(如图3所示),要求广大用户对破解密码的参数(如是否包括大小写字母,是否包括数字、空格、符号或包括所有内容,密码的长度等)进行设置。最后单击“Go”按钮,系统就采用穷尽法对所有可能的密码组合进行测试,直至找出最后的结果,使用非常方便。
另外需要说明的,若密码的位数较长,UZPC的测试过程可能会花费较长的时间。为方便用户的使用,UZPC特意提供了临时中断运行和从中断处继续进行测试的功能,我们只需在测试过程中利用“Save”按钮将当前的破解状态记录下来,然后就可以放心大胆地中断正在进行的测试而不必担心数据丢失了。此后我们只需在UZPC中单击“Open”按钮,打开上次所作记录,UZPC即会从中断处继续进行查找,从而节约了用户的时间。
2、ARJ
当ARJ压缩包的密码遗忘之后,我们可到http://www.elcomsoft.com/下载一个专业的ARJ压缩包密码破解软件AAPR(Advanced ARJ
Password Recovery),利用它找出ARJ压缩包的密码。AAPR的界面如图4所示,我们只需从“ARJ Password-encrypted
File”对话框中选择需要破解的ARJ压缩包,并在“Brute-Force Range
Options”对话框中选择密码的范围(同样是设置是否包括大小写字母,是否包括数字、空格、符号或包括所有字符等内容)。最后单击“Start”按钮,系统就采用穷尽法对所有可能的密码组合进行测试,找到密码之后再将其显示出来,使用非常方便!
3、RAR
RAR也是一个非常流行的压缩软件,用户在遗忘RAR压缩包的密码之后可到http://www.ssl.stu.neva.ru/下载一个CRARK软件来对其进行破解。这是一个命令行实用程序,它主要通过命令行来实现对RAR压缩包的密码进行破解。其命令格式为:“CRARK
命令行参数 RAR压缩包文件名”。不过事实上我们一般只需直接使用“CRARK RAR压缩包文件名”命令,利用缺省参数即可达到对RAR压缩包的密码进行破解的目的。
附:CRARK有关命令行参数的含义:
-l 指定最小密码长度
-g 指定最大密码长度
-s 使用用户自己的设置
-d 设置主要词典的文件名
-u 设置用户词典的文件名
-p 设置密码进度文件名
四、文字处理软件密码
1、WPS
1) WPS for DOS
老版本的WPS有一个通用密码Ctrl-QIUBOJUN,我们只需采用此密码即可打开所有加密文档,然后再将文档中的内容采用块拷贝方式拷贝到其他文档中即可解决问题(采用通用密码打开文档时所作的修改不能存盘)。
2) WPS 2000
大家都知道,WPS
2000采用了两种不同级别的文档加密方式,即“普通型加密”和“绝密型加密”。它在说明书中谈到,当用户遗忘文档密码之后,若文档采用的是“普通型加密”方式,则可向金山公司的技术人员求救,由他们帮你找出遗忘的密码;若文档采用的是“绝密型加密”方式,密码遗忘之后根本无法解密,不过事实却并非如此。我们无论是遗忘了“普通型”密码还是“绝密型”密码,都可以到http://cyg.yeah.net/下载一个名为EWPR(Edward
Wps Password
Recovery)的软件对遗忘的密码进行破解。这是一个国人自己编辑的密码破解软件(不过我始终搞不懂为什么有这么多的中国人喜欢编辑英文界面的软件),它提供了“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等4种解密方式(对一般用户来说,最有使用价值的还是“穷举方式”),可同时对采用“普通型加密”和“绝密型加密”的文档进行解密(操作方式完全一样)。
具体来说,我们在使用EWPR对WPS 2000文档的密码进行破解时,首先应在“Encrypt WPS 2000 file”对话框中指定所需的WPS
2000文档(如图5所示),并在“Type of
Attack”列表框中选择适当的密码破解方式(一般应选择“brute-force”穷举方式)。接下来,应根据具体情况在“Brute-Force Range
Options”列表框中选择可能包含的密码范围,并在“Start
From”对话框中指定开始进行查找的字符(主要用于从上次中断处继续进行破解)。设置完这些选项之后,我们只需单击“RUN”按钮,EWPR就会采用穷尽法对WPS
2000文档的密码进行破解,使用非常方便(在运行过程中,我们可以通过“Pause”和“Resume”按钮暂时中断运行以及从中断处继续运行)。
2、Office
WPS 2000的密码保护功能并不安全,那么微软的Office又怎样呢?其实微软的安全性更不能信赖(Windows
98、IE等软件的安全性问题就是典型教材)。破解Office系列文档的密码的软件多如牛毛,本人最常用的是AOPR(全称为Advanced Office 97
Password
Recovery,下载网址为http://www.elcomsoft.com/)。该软件可同时对微软Office系列中的Word、Excel及Access等软件所生成的密码进行破解,这就免去了用户逐一下载、使用各个单独密码破解软件的苦恼。另外,AOPR可对Word的*.DOT模板文件的密码进行搜索,这是其他类似软件所不具备的!必须说明的是,AOPR是针对Office
97开发的(推出AOPR时,Office 2000还未问世),不过Office 2000文档的格式与Office
97文档的格式基本上没有什么区别,因此我们同样可使用AOPR对Office 2000文档的密码进行破解(至少本人在使用过程中就没有发现什么问题)。
启动AOPR之后(如图6所示),我们只需从“Encrypted Office 97 Document”对话框中选择遗忘密码的Office文档,并在“Brute
-Force Range Options”对话框中选择密码的范围,然后再在“Type of
Attack”列表框中选择适当的密码破解方式(当然与前面一样选择“Brute-
Force”穷举方式),最后单击“Start”按钮,系统就会采用穷尽法对所有可能的密码组合进行测试,找到密码后再将其显示出来(不同软件的使用方法好像都差不多)。怎么样,效果不错吧?
3、Lotus Word Pro
国内使用莲花公司(IBM子公司)的Lotus Word
Pro的用户可能并不太多,不过该软件的功能与微软的Word相比毫不逊色(在某些方面还要更先进一些),在国外的应用范围非常广泛(国内不少用户经常会收到采用Lotus
Word Pro格式的邮件),国内的多数中外合资企业也是使用Lotus Word Pro进行日常的文字处理,因此这里一并将Lotus Word
Pro密码破解的方法向大家作一个介绍。当用户遗忘Lotus Word
Pro密码之后,我们可以到http://www.lostpassword.com下载一个Wprokeyd(Password recovery for Lotus
Word Pro)对其进行破解。
Wprokeyd是一个专门用于破解Lotus Word
Pro文档密码的应用程序,我们在启动该程序(如图7所示)之后首先应单击“Settings”按钮,打开“Brute-Force
Settings”对话框,对Wprokeyd的破解状态进行设置(主要是在“Password Character
Set”列表框中选择密码的范围)。设置完毕之后,我们只需将遗忘密码的Lotus Word
Pro文档(*.LWP文件)拖拽到Wprokeyd窗口中,Wprokeyd即会根据用户指定的范围采用穷尽法对所有可能的密码一一进行测试,直到找到密码为止。
五、ICQ密码
ICQ是目前最流行的网络寻呼软件,许多人在上网时都离不开这惹人喜爱的“小东东”。在使用ICQ的过程中我们必须输入自己的个人密码,用户若将密码遗忘了就意味着以前所有的传呼号码及谈话记录将全部丢失,这是绝对不能令人接受的!别着急,ICQ密码破解软件ICQ
Password Revealer可以解决这一难题(http://www.encrsoft.com/)。ICQ Password
Revealer是一个DOS下的命令行实用软件,用户只需在ICQ安装文件夹的NEWDB子文件夹下执行该文件,然后按照屏幕提示输入自己的UIN(如图8所示),系统即会找回“久违”的ICQ密码,使用非常方便。
六、采用“***”显示的密码
大家都知道,Foxmail具有记忆用户邮箱密码的功能,它可将用户邮箱的密码记忆下来,然后直接收取邮件,从而免去了用户手工输入密码的繁琐步骤。这就存在一个问题,那就是用户长时间不接触密码之后很容易将邮箱密码遗忘,而Foxmail中记录的密码是采用“*”显示的,我们无法直接进行查看(类似情况非常普遍),这该如何解决呢?别着急,“侠客软件密码查看器”可破解此类密码!“侠客软件密码查看器”是一个专门用于破解应用程序对话框中采用“*”显示密码的工具软件,它可查出这些密码的原始字符并显示到用户的面前。有了它,“*”再也不是一道无法逾越的壕沟了!“侠客软件密码查看器”的界面如图9所示,我们要使用它破解某个密码,只需先打开其他应用程序的密码设置对话框(即显示“*”的窗口),然后用鼠标将“侠客软件密码查看器”中的“侠客软件”图标拖到这些应用程序的“*”密码上,“侠客软件密码查看器”就会将这些“*”密码破解出来,并将其原始字符显示到“密码”框中,从而满足用户的需要。“侠客软件密码查看器”的下载网址为:http://xksoft.yeah.net/。
看了上面的介绍之后,相信你再也不会因为忘记密码而发愁了,不过相反,可能会有用户对自己的数据是否安全而操心。其实我们也不必如此紧张,前述这些密码破解软件所采用的破解方法主要还是穷尽法,当密码较长时,穷尽所有可能的运算量非常大,目前计算机的运算速度还不能满足穷尽较长密码的要求,这也就是说只要我们将密码设置得足够长,他人“窥视”我们秘密的机会并不多(当然,密码至少应在8位以上,且应是数字、字母和符号的组合)。另外,为防止“侠客软件密码查看器”之类的专门破解采用“***”显示密码的软件,用户最好不要使用软件的自动记忆密码功能,而直接在需要时使用手工输入密码。有了这两招,别人依然不能轻易突破你的“防线”。
附:智取屏幕保护密码
如果你是学校机房的一名系统管理员,或者是一名网吧的工作人员,您一定会经常遇到这种现象,那就是有些喜欢搞“恶作剧”的学生或用户在自己使用机器结束后,就给计算机加了一个屏幕保护密码,这样后面使用机器的用户如果没有密码,就不能顺利使用了?出现这种现象,我们该采取什么样的办法在最短的时间内把屏幕保护中的密码解开呢?这时,有些用户马上不假思索地回答道,这有什么困难的,“啪”地一声直接切断电源开关不就得了!俗话说“人心都是肉长的”,计算机不是他的,他当然会这样理直气壮地“行动”。况且直接关闭电源的话,有可能会损坏系统文件夹的结构,导致计算机下次不能重新启动,长此以往,计算机的性能方面将会大大受到损伤,严重的使计算机处于瘫痪状态;另外,如果计算机中包含有重要的数据没有保存,岂不是损失就更大了!
为此,笔者又在网上苦苦搜索,找到了专门用于解密的软件,无奈这种方法又比较烦琐。现在,笔者总算找到了一种既方便又快速的解密大法,这种方法并不是直接把屏幕保护中的密码解开或者消除,而是利用硬件冲突的优先级较高的原理就可以使操作系统跳过屏幕保护程序了,这就是所谓的“曲线”解密法。这个方法实现起来比较简单,只要我们知道自己计算机所使用的IP地址,按照下面的解密方法,就可以避开屏幕保护给我们带来的麻烦了,但这种方法必须在局域网中才能实现。
这种方法具体的实施步骤如下:
1、首先在设有屏保的机器所在的局域网内,找到另外一台能与之互联的计算机作为解码机,然后用鼠标单击该机器中的“开始”按钮,从弹出的开始菜单中选择“设置”一项,并从随后的下级菜单中选择控制面板命令;
2、单击控制面板命令后,程序将弹出一个标题为“控制面板”的对话框,在该对话框中,找到 “网络”的图标;
3、用鼠标双击该图标,程序将弹出一个对话框,然后在这个对话框的设置选项栏选中TCP/IP一项,并用鼠标单击一下“属性”按钮,程序将会弹出一个标题为“Tcp/Ip属性”的对话框。
4、在该对话框中,我们用鼠标单击一下“Ip地址”标签,就可以找到该解码机的IP地址了。
5、这时为了要造成硬件冲突,我们就可以将解码机的IP地址改为设有屏保的计算机的IP地址,设置好Ip地址后,再用鼠标单击一下“确定”按钮,随后系统会提示我们新的设置要重新启动计算机才能生效。
6、用鼠标直接单击“确定”按钮,让解码机重新启动。正常启动完成后,在局域网内就有两台机器的IP地址是相同的。这样,在设有屏保的机器和解码机上会同时弹出“IP地址产生硬件冲突”的提示框。
7、这时我们只要用鼠标单击一下出现在设有屏保的机器上的“确定”,剩下的问题当然是迎刃而解了,系统不会再要求我们输入屏幕保护程序的密码,就可以直接进入操作系统的桌面了。
学会了上面的解密大法,下次我们再也不会对着屏幕保护中的密码框而发愣了!但是,在这里笔者还需提醒各位的是,如果要保证解密的成功,就必须在整个解密的过程中,确保设有屏幕保护的计算机上还没有出现密码对话框,要求用户输入屏幕保护程序的密码,否则即使我们通过设置,造成了局域网中的硬件冲突,单击“硬件冲突”对话框中的确定按钮后,系统还会继续要求我们输入屏幕保护程序的密码。
配置WorldClient运行在Apache下
时间:2004-10-18 10:37:59
来源:本站原创转载请明出处 作者:青岛/丁月光 票数:41等级:点击:307
Mdaemon作为一款win平台下强大的电子邮件服务器软件,以及它集成的一款比较完美的多语言Webmail服务产品——WorldClient,深受众多的网管员所喜爱,在全球拥有众多的装机量。但是WorldClient服务默认运行在3000端口,给客户的使用带来了很大的不便,当然它也可以作为Web服务的一个组件运行,遗憾的是,WorlClient只提供了运行于IIS的选项,没有提供于Apache下运行的选项。更遗憾的是,查遍网上资料,也没有关于此问题的使用说明。只好自己摸索了。
下面,我们就一步一步地配置Apache的httpd.conf,让WorldClient运行于Apache之下。
1、从C:\Mdaemon\WorldClient目录下拷贝worldclient.dll到C:\Mdaemon\WorldClient、Html目录下。
2、我们要把.dll文件声明成isapi对象,找到“AddHandler type-map var”这一行,在它后面插入一个新行:“AddHandler isapi-isa .dll”。记住,在后面,如果在前面的话,就不会成功。
3、为webmail添加一个虚拟目录 “Alias /mail \"c:/Mdaemon/WorldClient/HTML\"”
4、为该目录添加访问许可,授予其ExecCGI权限和默认起始页:
<Directory \"c:/Mdaemon/WorldClient/HTML\">
DirectoryIndex worldclient.dll?view=main
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
</Directory>
5、设置Mdaemon的设置(setup)->worldclient菜单,选中“运行于IIS下”(WorldClient is running under IIS)。
重起Apache、Mdaemon服务,用http://xx.xx.xx.xx/mail就可以访问我们的webmail页面了。你也可以用自己更漂亮的模板代替默认的起始页面
时间:2004-10-18 10:37:59
来源:本站原创转载请明出处 作者:青岛/丁月光 票数:41等级:点击:307
Mdaemon作为一款win平台下强大的电子邮件服务器软件,以及它集成的一款比较完美的多语言Webmail服务产品——WorldClient,深受众多的网管员所喜爱,在全球拥有众多的装机量。但是WorldClient服务默认运行在3000端口,给客户的使用带来了很大的不便,当然它也可以作为Web服务的一个组件运行,遗憾的是,WorlClient只提供了运行于IIS的选项,没有提供于Apache下运行的选项。更遗憾的是,查遍网上资料,也没有关于此问题的使用说明。只好自己摸索了。
下面,我们就一步一步地配置Apache的httpd.conf,让WorldClient运行于Apache之下。
1、从C:\Mdaemon\WorldClient目录下拷贝worldclient.dll到C:\Mdaemon\WorldClient、Html目录下。
2、我们要把.dll文件声明成isapi对象,找到“AddHandler type-map var”这一行,在它后面插入一个新行:“AddHandler isapi-isa .dll”。记住,在后面,如果在前面的话,就不会成功。
3、为webmail添加一个虚拟目录 “Alias /mail \"c:/Mdaemon/WorldClient/HTML\"”
4、为该目录添加访问许可,授予其ExecCGI权限和默认起始页:
<Directory \"c:/Mdaemon/WorldClient/HTML\">
DirectoryIndex worldclient.dll?view=main
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
</Directory>
5、设置Mdaemon的设置(setup)->worldclient菜单,选中“运行于IIS下”(WorldClient is running under IIS)。
重起Apache、Mdaemon服务,用http://xx.xx.xx.xx/mail就可以访问我们的webmail页面了。你也可以用自己更漂亮的模板代替默认的起始页面
用ASP创建MDaemon用户
时间:2004-10-5 10:41:27
来源:贾俊 (Jaron) 作者:贾俊 (Jaron) 票数:41等级:点击:637
//////////////////////////////////////////////////////////////////////////////
// [MDaemon] 用ASP创建MDaemon用户
// 原创作者: 贾俊 (Jaron)
// 网址: http://www.jiangdu.net ;
// 邮件: jaron@jdinfo.net
// 首次发表于江都资讯网,2003-01-12
//////////////////////////////////////////////////////////////////////////////
<%@ Language=VBScript %>
<!-- METADATA TYPE=\"TypeLib\" UUID=\"{01E88D14-F479-4CA5-9CA8-EBD2EED74C83}\" -->
<HTML>
<BODY>
<H1 align=center>在线注册演示</H1>
<%
Dim sMessage
If Request.Form(\"cmdAddUser\") <> \"\" Then
Dim oMDUser
Dim oMDUserInfo
Dim nResult
Dim sFullName
Dim sUserName
Dim sPassword
sFullName = Request.Form(\"txtFullName\")
sUserName = Request.Form(\"txtUserName\")
sPassword = Request.Form(\"txtPassword\")
sDomain=Request.Form(\"txtDomain\")
Set oMDUser = Server.CreateObject(\"MDUserCOM.MDUser\")
Set oMDUserInfo = Server.CreateObject(\"MDUserCOM.MDUserInfo\")
If oMDUser.LoadUserDll() = True Then
oMDUser.InitUserInfo(oMDUserInfo)
oMDUserInfo.FullName = sFullName
oMDUserInfo.MailBox = sUserName
oMDUserInfo.Password = sPassword
oMDUserInfo.Domain = sDomain
oMDUser.FilterUserInfo (oMDUserInfo)
nResult = oMDUser.AddUser (oMDUserInfo)
Select Case nResult
Case MDDLLERR_NOERROR
sMessage = \"用户注册成功!\"
Case MDDLLERR_USEREXISTS
sMessage = \"用户名: '\" & sUserName & \"' 已存在!注册失败!\"
case Else
sMessage = \"注册用户失败 ! 错误代码:\" & nResult
End Select
oMDUser.FreeUserDll
Else
sMessage = \"错误: 不能加载DLL文件\"
End If
Set oMDUser = Nothing
Set oMDUserInfo = Nothing
End If
%>
<P>新用户注册</P>
<FORM ACTION=\"adduser.asp\" METHOD=post ID=\"Form1\">
<TABLE ID=\"Table1\">
<TR><TD>域名:</TD><TD><INPUT SIZE=50 NAME=\"txtDomain\" ID=\"Text1\" value=\"system.mail\" readonly></TD></TR>
<TR><TD>全名:</TD><TD><INPUT SIZE=50 NAME=\"txtFullName\" ID=\"Text2\"></TD></TR>
<TR><TD>登录名:</TD><TD><INPUT SIZE=25 NAME=\"txtUserName\" ID=\"Text3\"></TD></TR>
<TR><TD>口令:</TD><TD><INPUT TYPE=\"password\" SIZE=25 NAME=\"txtPassword\" ID=\"Password1\"></TD></TR>
<TR><TD></TD><TD><INPUT TYPE=\"submit\" value=\"注册新用户\" NAME=\"cmdAddUser\" ID=\"Submit1\"></TD></TR>
</TABLE>
</FORM>
<%
Response.Write(sMessage & \"<BR>\")
%>
</BODY>
</HTML>
时间:2004-10-5 10:41:27
来源:贾俊 (Jaron) 作者:贾俊 (Jaron) 票数:41等级:点击:637
//////////////////////////////////////////////////////////////////////////////
// [MDaemon] 用ASP创建MDaemon用户
// 原创作者: 贾俊 (Jaron)
// 网址: http://www.jiangdu.net ;
// 邮件: jaron@jdinfo.net
// 首次发表于江都资讯网,2003-01-12
//////////////////////////////////////////////////////////////////////////////
<%@ Language=VBScript %>
<!-- METADATA TYPE=\"TypeLib\" UUID=\"{01E88D14-F479-4CA5-9CA8-EBD2EED74C83}\" -->
<HTML>
<BODY>
<H1 align=center>在线注册演示</H1>
<%
Dim sMessage
If Request.Form(\"cmdAddUser\") <> \"\" Then
Dim oMDUser
Dim oMDUserInfo
Dim nResult
Dim sFullName
Dim sUserName
Dim sPassword
sFullName = Request.Form(\"txtFullName\")
sUserName = Request.Form(\"txtUserName\")
sPassword = Request.Form(\"txtPassword\")
sDomain=Request.Form(\"txtDomain\")
Set oMDUser = Server.CreateObject(\"MDUserCOM.MDUser\")
Set oMDUserInfo = Server.CreateObject(\"MDUserCOM.MDUserInfo\")
If oMDUser.LoadUserDll() = True Then
oMDUser.InitUserInfo(oMDUserInfo)
oMDUserInfo.FullName = sFullName
oMDUserInfo.MailBox = sUserName
oMDUserInfo.Password = sPassword
oMDUserInfo.Domain = sDomain
oMDUser.FilterUserInfo (oMDUserInfo)
nResult = oMDUser.AddUser (oMDUserInfo)
Select Case nResult
Case MDDLLERR_NOERROR
sMessage = \"用户注册成功!\"
Case MDDLLERR_USEREXISTS
sMessage = \"用户名: '\" & sUserName & \"' 已存在!注册失败!\"
case Else
sMessage = \"注册用户失败 ! 错误代码:\" & nResult
End Select
oMDUser.FreeUserDll
Else
sMessage = \"错误: 不能加载DLL文件\"
End If
Set oMDUser = Nothing
Set oMDUserInfo = Nothing
End If
%>
<P>新用户注册</P>
<FORM ACTION=\"adduser.asp\" METHOD=post ID=\"Form1\">
<TABLE ID=\"Table1\">
<TR><TD>域名:</TD><TD><INPUT SIZE=50 NAME=\"txtDomain\" ID=\"Text1\" value=\"system.mail\" readonly></TD></TR>
<TR><TD>全名:</TD><TD><INPUT SIZE=50 NAME=\"txtFullName\" ID=\"Text2\"></TD></TR>
<TR><TD>登录名:</TD><TD><INPUT SIZE=25 NAME=\"txtUserName\" ID=\"Text3\"></TD></TR>
<TR><TD>口令:</TD><TD><INPUT TYPE=\"password\" SIZE=25 NAME=\"txtPassword\" ID=\"Password1\"></TD></TR>
<TR><TD></TD><TD><INPUT TYPE=\"submit\" value=\"注册新用户\" NAME=\"cmdAddUser\" ID=\"Submit1\"></TD></TR>
</TABLE>
</FORM>
<%
Response.Write(sMessage & \"<BR>\")
%>
</BODY>
</HTML>
MDaemon中邮件及附件大小的设置一法
时间:2004年12月1日18:52
来源:本站会员原创转载请明出处 作者:alonepsf 票数:26等级:点击:620
刚刚接触Mdaemon,因为公司准备建一个邮件服务器。这个邮件技术资讯网论坛(http://www.5dmail.net/bbs)给了我不少的帮助,所以也想和大家一起分享我的经验。
我们知道出于保密性考虑公司一般会控制发件人发送邮件的大小,给不同的人不同的权限。这是非常重要的功能应用。论坛上的精华区也有类似教你如何控制邮件大小的帖子,不知道是不是自己水平有限,看完了还是不知道如何设置,我想很多新手肯定和我一样。只好自己研究了。
MDaemon控制邮件大小是通过内容过滤器(CFilter)来实现的,你可以直接运行MDaemon文件夹下App子文件夹中的CFilter程序直接进行设置。
新建一条规则
两个选项框中分别是 过滤条件和触发动作,都是一些简单的 if 语句。
要限制发送邮件大小我们要做的就是添加一个 if 语句,当MDaemon 检测到某些设定发件人的时候,当他发送的邮件大小超过限制大小,删除邮件或按你的要求处理。
1。添加过滤条件
选择if the from header contains(发件人邮件头包括) 在这里可以添加你要作限制的人员邮件,如果填入邮件服务器域名,即可对所有人作出限制。注意添加多个发件人的情况,点击 蓝色的 contains 弹出的对话框中请选择任意匹配,即if语句判断邮件头含有任意一个你所添加的邮件帐户。
再选择if the message size greater than(如果邮件大小超过) 在底部的选项框中可以指定限制邮件的大小
2。添加触发动作
触发动作可以是 delete the message 或者其他你想要的操作。
只要仔细研究一下过滤条件,就可以发现MDaemon可以作很多的限制,功能非常强大!!
而且可以同时设置很多规则,为不同的用户指定不同的规则。方法就是利用触发动作中的Skip the next 'n' rules
指定某些用户跳过紧跟其下的 几条 规则
时间:2004年12月1日18:52
来源:本站会员原创转载请明出处 作者:alonepsf 票数:26等级:点击:620
刚刚接触Mdaemon,因为公司准备建一个邮件服务器。这个邮件技术资讯网论坛(http://www.5dmail.net/bbs)给了我不少的帮助,所以也想和大家一起分享我的经验。
我们知道出于保密性考虑公司一般会控制发件人发送邮件的大小,给不同的人不同的权限。这是非常重要的功能应用。论坛上的精华区也有类似教你如何控制邮件大小的帖子,不知道是不是自己水平有限,看完了还是不知道如何设置,我想很多新手肯定和我一样。只好自己研究了。
MDaemon控制邮件大小是通过内容过滤器(CFilter)来实现的,你可以直接运行MDaemon文件夹下App子文件夹中的CFilter程序直接进行设置。
新建一条规则
两个选项框中分别是 过滤条件和触发动作,都是一些简单的 if 语句。
要限制发送邮件大小我们要做的就是添加一个 if 语句,当MDaemon 检测到某些设定发件人的时候,当他发送的邮件大小超过限制大小,删除邮件或按你的要求处理。
1。添加过滤条件
选择if the from header contains(发件人邮件头包括) 在这里可以添加你要作限制的人员邮件,如果填入邮件服务器域名,即可对所有人作出限制。注意添加多个发件人的情况,点击 蓝色的 contains 弹出的对话框中请选择任意匹配,即if语句判断邮件头含有任意一个你所添加的邮件帐户。
再选择if the message size greater than(如果邮件大小超过) 在底部的选项框中可以指定限制邮件的大小
2。添加触发动作
触发动作可以是 delete the message 或者其他你想要的操作。
只要仔细研究一下过滤条件,就可以发现MDaemon可以作很多的限制,功能非常强大!!
而且可以同时设置很多规则,为不同的用户指定不同的规则。方法就是利用触发动作中的Skip the next 'n' rules
指定某些用户跳过紧跟其下的 几条 规则
如何安装一个hotmail的邮箱系统
时间:2003-12-19 10:47:39
来源:www.mailer.com.cn 作者:www.mailer.com.cn 票数:110等级:点击:469
这个指南将引导你从开始到完成安装\"hotmail\"系统.过程分为几个阶段,你可以获得更多的技术指导.附加,我们包括了在NT和UNIX系统上完成安装的过程,使你能把它们综合在一起能很好的运行.
1. hotmail 系统概况
Hotmail系统是人们通用WEB使用的邮件系统.
为了启动hotmail服务,你需要安装一些组件让它们一起运行.这些包括基本的邮件服务和WEB界面.你也可以允许用户在线创建它们的组,你应该提供一些域名或是虚拟域名,希望允许某些用户管理他们自己独有的域.这些全部通过NetWin组产品.你可能在一个完善的系统中已经有用一些组件,你只需要添加一个WEB界面.假设它们遵循相关标准,那们就是可行的.
首先,你的hotmail系统需要下列组件.
某种WEB服务.支持WEB接口CGI应用服务web页.(CGI = NetAuth,Cwmail,DmailWeb 或Webmail)
从其它系统接收和发送邮件.也就是SMTP服务.DSMTP是Dmail邮件服务的一部分.
Email到你的用户,也就是pop服务.DPOP也是Dmail邮件服务的一部分.
在网络中从其它到查找你的mail服务传递邮件.需要DNS.你需要安装一个已有的DNS或者你自己的DNS.你当然需要记录,MX(Mail Exchange)记录.
如果你让用户用类似NetAuth的WEB界面在线创建或是离线操作,你可以用unix或NT的用户/密码,或是用email数据库或是LDAP数据库.NetAuth能够配置创建任何类型的用户.
用户阅读和发送邮件,比如一个可以通过WEB的邮件客户端.CWMail/Dmailweb 或是第三方软件WEBmail,WebMail也会正常使用.
管理你的系统,NetAuth作为系统管理者管理用户帐户,管理特殊的域名,你也可以设置用户权限.
你可以在一个域名或是在更复杂的域名下创建一个hotmail系统.一个简单的系统如图:
左边是因特网和一个域名服务.在右边的大框里,是你的服务器.正常接收WEB邮件通用你的WEB服务器.通用连线连接到email服务也是通过传统的email客户端.你有一个WEB服务器.两个cgi(CWmail各netauth),POP和SMTP服务及一些用户和口令的数据库.
我们假设某人用你的hotmail系统在外网发送给你邮件,然后得到响应:
john,在其它的系统中正在发送信息给sue.使用者在你的WEB邮件系统中有一个记录:
john在你的邮箱客户端创建了一个短信发送到sue@yourplace.com地址.
他的客户端软件连接到你本地的SMTP服务器并收到此消息.通过域名解析发送到yourplace.com.域名服务器在你的机器上获得SMTP服务器的IP地址.两个SMTP服务器连接到25端口.你的SMTP服务器首先查找用户sue.为得到,它通用外部权限认证检测用户数据,然后从sue接收邮件并添加到sue的地址栏.
Sue用她朋友的计算机,打开浏览器并连接到:http://yourplace.com/scripts/cwmail.exe,然后在你的机器上查找域名解析.她的WEB浏览器连接到你的WEB服务器80端口.你的WEB服务器作为进程启动cwmail.exe程序,获得请求并等待返回一个web页面.
CWMail进入注册页请求用户和口令.用过WEB浏览器寄给WEB服务器.然后CWMail结束.
Sue输入用户和口令点击login按扭,然后发送到你的WEB服务器进入cwmail.
CWMail连接到POP服务器进行用户认证,然后查找是否有新的邮件.
POP服务器验证用户数据确定口令正确性然后通过CWMail.
CWMail通过它返回到WEB服务器,对于WEB浏览器,Sue选择一条邮件,阅读并回复.(这些交互都是在浏览器之间,通过WEB服务器和CGI程序完成)
连接到你的smtp服务器和从john的回复寄到cwmail
你的smtp服务器用dns环回查找john地址,同时寄到你的smtp服务器.
这个简单交互描述了两个人邮件互递的过程.他们需要用户名及认证方式,下面是这些的安装文档.
安装目录:
1.总览
2.安装Dmail
3.安装CWMail /Dmailweb
4.安装Netauth
5.添加一个虚拟域名.
6.DNS,MX记录.
7.Telnet测试
8.Nslookup测试
为了安装一个最基本的系统,你至少需要2,3,4步.它装指导你安装DMail,CWMail,NetAuth,创建一个邮件服务器域名.完成以后,你可以从第五步开始设置一个虚拟添加到你的邮件系统.如果你的机器有注册的域名,如: myplace.com, 你只需在适应的DNS中检测MX记录确定邮件是发送到anyone@myplace.com.详细细节你可以参看第六步.测试你的系统是否安装完整,可以用telnet和nslookup进行调试.
--------------------------------------------------------------------------------
2. 安装DMail.
最简单的安装方式是第一次就连接到你的主机域,以后再添加一个虚拟的邮件域.安装完以后再解释如何用NetAuth进行认证,继而创建一个类hotmail的邮件系统.
第一步: 安装
到DMail的下载网址:http://netwinsite.com/dmail/download.htm下载到你的系统中.在NT系统中它自解压生成安装程序.在Unix中你需要展开压缩包,然后再安装. 安装完成后生成一个最基本的系统,没有外部认证及域.
第二步:添加外部认证
为了添加外部认证你必须编辑配置文件dmail.conf. 我将解释如何编辑这个文件,因为在UNIX系统中只有这种配置方法.
cd /etc
vi dmail.conf
找到有\"authent_method\"的行,将'nt_user'或'unix_user'改为'external'.
添加authent_process setting到/usr/local/dmail/nwauth,这个外部认证过程称为NWAuth,你可以在DMail的安装目录找到.
将authent_domain setting 设为'true'.这个设置命令的意思是Dmail查找你所用域名,及允许你以后添加虚拟域.如果没有设为TRUE值,添加虚拟域名时将产生警告.
第三步: 加载配置
你必须将新修改的配置文件加载到你的邮件服务器中.根据系统提示,敲入tellpop reload 和 tellsmtp reload,首先你可能要到DMail目录执行命令行.
在可用的邮件域中你已经安装完成DMail.接下来你需要安装CWMail和NetAuth.在此之前你可以看看\"添加一个虚拟域名\"章节.
--------------------------------------------------------------------------------
3.安装配置CWMail /Dmailweb
再到下载页:http://netwinsite.com/dmailweb/download.htm 下载到你的系统中.NT系统进行自解压,UNIX系统中你需要进行解压,然后运行WMSetup命令.当你安装完成后,可以键入: http://your.domain/scripts/cwmail.exe(dmailweb.exe... 或 http://your.domains/cgi-bin/cwmail.cgi(dmailweb.cg... 你可以看到一个注册页.
--------------------------------------------------------------------------------
4. 安装配置Netauth.
到下载页:http://netwinsite.com/netauth/download.htm 下载到你的系统中.NT系统进行自解压,UNIX系统中你需要进行解压,然后运行nasetup命令.如果没有问题,你可以连接到:http://your.domain/scripts/netauth.exe 或 http://your.domains/cgi-bin/netauth.cgi. 你可以看到验证用户页.
测试NetAuth,试着添加一个用户.你可以在username档中添加\"test\",点击\"check\".到添加页面,你要输入密码然后点击添加.然后进行确认.如果有提示错误,你可以看NetAuth的手册页.
当你有新用户时,你可以连接到:http://your.domain/scripts/cwmail.exe (dmailweb.exe) 或 http://your.domains/cgi-bin/cwmail.cgi (dmailweb.cgi). 你可以看到一个注册页.输入用户和密码,第一次可能会询问你一些更详细的资料.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
5.添加一个虚拟域名
一旦你用NetAuth创建了用户,而且这些用户正用CWMail注册,你将准备添加一个虚拟域名.因此你将需要设置dmail.conf,netauth.ini和cwmail.ini.当然为了安全你可能需要备份一下以防不测.NetAuth和CWMail在它们的临时目录已经创建了备份.配置有任何问题时你都可以更新这些备份.
记住,确定有备份时在WEB服务器目录修改.ini文件.
第一步:Dmail.conf
\"vdomain\" 假定是你所设置添加的虚拟邮件域名,当然它只是一种格式.
vdomain <prefix> <suffix or IP number / name> <domain name> <drop path>
当我们创建虚拟域名和进行域名认证(authent_domain),我们不必担心\"prefix\"设置, 重要是更改\"suffix/ IP number\"设置.
如果你有更多的IP并想让每个IP规划一个域,那你将创建\"基于虚拟域的IP\",否则将创建\"基于虚拟域的suffix\".
下面是基于vdomain行的后缀例子:
vdomain d2 /domain2 mail.domain2.com dmailin
vdomain d2 /dom2 mail.domain2.com /usr/local/dmail/in/2
下面是基于vdomain行的IP例子:
vdomain d2 1.2.3.4 mail.domain2.com dmailin
vdomain d2 2.3.4.5 mail.domain2.com /usr/local/dmail/in/2
当然,实际的后缀或是IP值将是不同的,它依赖于你的系统和你真实的IP.
现在你已经添加了vdomain行到dmain.conf,打开它并找到\"host_domain\"设置,输入自己的vdomain并在后面注释.这将有利于你以后阅读.如果你
需要的话可以添加更多的vdomain的行,但仅限于基于IP做域名的情况,并保证IP是可用的.你不能同一个IP添加两个vdomain.否则两个
vdomain都会是同一后缀.
现在添加了vdomain行,记住域名后缀或IP也是作为域名解析.如果你是用后缀的情况,建议你用分隔符作为后缀的起始符.在我的例子里有用'/'.
你也可以用'@'或是其它的字符.但是推荐使用'/'.
第二步:更新配置
为使新的配置起作用,你需要更新邮件服务器.在终端你输入:\"tellpop reload\"和\"tellsmtp reload\",第一次你可能需要到DMail目录执行命令.
第三步:Cwmail.ini
添加你的vdomain一行或是多行后,你必须申明关于域名的CWMail.为了这样做,在cwmail.ini文件中使用vhost行.CWMail处理虚拟邮件域名并能
够在URL地址中浏览. www.domain2.com地址是你所添加的第一个虚拟域.你必须添加vhost行像这样: \"vhost www.domain2.com\"
vhost作用于不同的区段,CWMmail首先匹配URL地址到vhost行,并加载所有行的设置,当访问vend行时会返回加载默认设置.
ini文件可能类似如下设置:
[cwmail.ini]
templates cwmail
pophost 1.2.3.4
smtphost 1.2.3.4
vhost www.domain2.com
pophost 2.3.4.5
vhost www.domain3.com
pophost 3.4.5.6
templates cwmail3
vend
nwimg /nwimg
实际上,ini文件有三种不同的方式加载.如果地址是\"www.domain2.com,那么pophost和smtphost模块会被加载,并且pophost并变成
\"2.3.4.5\".然后nwimg设置也被加载.如果地址是\"www.domain3.com\",那么加载的模块会是:\"cwmail3\",pophost值是\"3.4.5.6\",如果地址是其
它,vhost环境变量将会忽略.
CWMail从SERVER_NAME环境变量中获得URL地址.有时这个变量并不是预定值,如果你发现vhost段并没有加载,你可以试试别的环境变量.为
申明CWMail作用另一环境变量,设置vhost_match配置这个变量值.类似\"HTTP_HOST\"返回URL主机.
你想添加新的设置到vhost段,这些变量要么替代以前的配置或是添加到先前的配置后.当模块设置时,新值将会取代旧的设置,在body_add设置
的情况,新值将添加到所有值的最后列.
现在你必须添加新的vhost段匹配添加的新虚拟域名.如果你使用基于域的后缀,vhost段必须包含后缀值(在vdomain行需要相同的值).如果使
用基本IP的域,pophost,smtphost设置需要新的IP值.启动新虚拟域名时,记住在vhost段中包含域名设置.它应该和vdomain行中的域相匹配.
第4步: Netauth.ini
在安装虚拟域的情况下,NetAuth也使用vhost段.它的运行类似于CWMail.如果需要的话也用vhost_match设置.
你必须添加vhost段匹配新的虚拟域名.如果使用基于后缀的虚拟域,你需要进行后缀设置.不像CWMail的NetAuth早期版本(version 3.0e或更早)
用双字符.而且suffix_seperator使用默认的的隔离符'/'.除非你在vdomain行使用其它的字符,你不必更改设置.后期版本(Netauth 4.0+)的后
缀设置使用CWmail的后缀.如果你使用基于IP的虚拟域,你必须为新的IP设置详细的新pophost设置.记得开启新域名时在vhost段中包含域名设置
,在vdomain行中匹配新的域名.
--------------------------------------------------------------------------------
------------------------------------------------------- -------------------------
6. DNS,MX,A 记录
DNS管理需要一个主名称服务器和一个从名称服务器.因为InterNIC并不承认你的域名,除非因特网上的域名信息至少有两个DNS服务器.另一个原
因是如果你仅有一个域名,一但关闭,用户将会阻止浏览因特网.下面给出三项DNS管理:
1.用你的ISP提供的主从名称服务器.
2.用你自己的主从名称服务器.
3.用一个ISP提供的名称服务器,另一个由自己设置管理
1:
你必须通知你的ISP为你分配主从名称器.如果他们不能或是不愿意,你不得不使用第二项.第二步是公布你的ISP提供的DNS记录,允许交互你的网
络.附加的,如果你需要收到此域的邮件和你的ftp和www服务器的档案,你必须有MX记录.你也必须通知你的ISP商这些地址.
2:
下列理由是你使用自己的服务器名称,包括:
你的ISP商不允许你使用或不能为你提供合法的名称服务器.
你有因特网的一部分(名称空间)
如果你运行是基于IP的应用,你的内部网络用户如果通过名称访问外部网络,你并不想为名称或是地址做广告,或是受到外部攻击的话.
你想完全控制自己的DNS服务器,这意味着你可以直接修改,而不必等待你的ISP商去为你改变什么.
你必须购买DNS软件.像大多数运行于Unix机器的服务器一样,最流行的是BIND,找到它并学习如何运用DNS管理.
3:
很多部分都类似于2项,有两项选择:
你管理主名称服务器.
你管理从名称服务器.
如果你选择管理主名称服务器,那你应该记住自己不得不管理DNS记录.
如果你只是有一个从名称服务器,那么你的ISP提供商将会为你做任何事,你的服务器也只是从主服务器上周期性的简单下载一些数据.
DNS记录:
DNS记录,MX记录(邮件传递),A 记录号(用于解析机器名到IP)
MX记录:
MX记录,或是邮件传递记录,如下格式:
<domain_name> <machine_with_mail_server> <preference>
例如:一个MX记录可能包含:
netwinsite.com netwin.co.nz 0;
netwinsite.com mail.netwin.co.nz 1;
netwinsite.com mail3.netwin.co.nz 2;
在这个例子当中,邮件首先传递到netwin.co.nz,如果传递失败,将传送到mail.netwin.co.nz,最终到mail3.netwin.co.nz.
A 记录号
'A'记录联接计算机名和活动的IP地址,如下格式:
<computer_name> <address>
例如:一个A记录可能如下:
netwin.co.nz 1.2.3.4
这个例子里,DNS服务器将用netwin.co.nz和IP 1.2.3.4到本地机器.
你需要在MX记录里为所有的机器有A记录.所有的机器是指你希望运行ftp(文件传输协议)和运行www服务的机器.
--------------------------------------------------------------------------------
7. 用'Telnet'
7. Using 'Telnet'
Telnet命令适用于NT和Unix系统.它允许你测试IP地址的任何端口.
这里我们需要检测:
SMTP端口.
POP端口.
我将重点介绍Telnet在Unix系统下的测试方法.
Unix - Telnet
为了执行telnet,在命令提示符下健入:telnet,你会看到类似的界面:
telnet>
键入 ? ,你可以看到可用的命令参数列表.为连接到机器,键入:open <machine> <port>,<machine>是指你的IP或是你的计算机名.端口包括:
23:telnet端口.25:smtp端口.110:pop端口.还有一些其它端口.连接成功后,你可以看到此端口的回应.
为了测试你系统的这些端口,你应该知道每个端口是如何工作的.下面解释一下POP端口是如何工作的.
POP 端口
POP端口用于检测/接收/删除来自邮件服务器的邮件.端口号110.进入POP服务器后你会执行一系列的命令.当然首先你必须登入POP服务器.键入:
user <username>, 回车, pass <password>,回车.当然你必须有合法的用户和口令.
命令 例程 作用
list list list命令列出用户的邮件.
uidl uidl uidl命令通过UID号列出信息行.T
retr retr 1 retr命令是重新找回信息的内容.这个例程里是一条信息.
dele dele 1 删除记录.这个例程里是一条信息.
top top 1 10 top命令显示X条记录.这个例子里是10行.
quit quit 该命令是断开你的POP服务器连接.
--------------------------------------------------------------------------------
8. Using 'Nslookup'
Nslookup是一个命令行的实用程序.是一种简单的检测你的DNS解析是否正确的命令.
执行nslookup,你可以看到类似如下信息:
Default Server : ns-100Mb.webpros.com
Address : 206.127.192.1
>
这是nslookup命令的帮助文件列表.为了获得帮助,键入:\"?\",按回车.你也可以在命令后加你想查找的域名直接查找.
Default Server: ns-100Mb.webpros.com
Address: 206.127.192.1
>netwinsite.com
Server: ns-100Mb.webpros.com
Address: 206.127.192.1
Name: netwinsite.com
Address: 207.230.97.10
>
你也可以查找 MX 记录
Default Server: ns-100Mb.webpros.com
Address: 206.127.192.1
>set type=MX
> netwinsite.com
Server: ns-100Mb.webpros.com
Address: 206.127.192.1
netwinsite.com preference = 10, mail exchanger = eagle.webpros.com
netwinsite.com preference = 20, mail exchanger = falcon.webpros.com
netwinsite.com nameserver = ns.webpros.com
netwinsite.com nameserver = ns.professionals.com
eagle.webpros.com internet address = 206.127.192.10
falcon.webpros.com internet address = 206.127.192.2
ns.webpros.com internet address = 206.127.192.1
ns.professionals.com internet address = 207.230.127.126
时间:2003-12-19 10:47:39
来源:www.mailer.com.cn 作者:www.mailer.com.cn 票数:110等级:点击:469
这个指南将引导你从开始到完成安装\"hotmail\"系统.过程分为几个阶段,你可以获得更多的技术指导.附加,我们包括了在NT和UNIX系统上完成安装的过程,使你能把它们综合在一起能很好的运行.
1. hotmail 系统概况
Hotmail系统是人们通用WEB使用的邮件系统.
为了启动hotmail服务,你需要安装一些组件让它们一起运行.这些包括基本的邮件服务和WEB界面.你也可以允许用户在线创建它们的组,你应该提供一些域名或是虚拟域名,希望允许某些用户管理他们自己独有的域.这些全部通过NetWin组产品.你可能在一个完善的系统中已经有用一些组件,你只需要添加一个WEB界面.假设它们遵循相关标准,那们就是可行的.
首先,你的hotmail系统需要下列组件.
某种WEB服务.支持WEB接口CGI应用服务web页.(CGI = NetAuth,Cwmail,DmailWeb 或Webmail)
从其它系统接收和发送邮件.也就是SMTP服务.DSMTP是Dmail邮件服务的一部分.
Email到你的用户,也就是pop服务.DPOP也是Dmail邮件服务的一部分.
在网络中从其它到查找你的mail服务传递邮件.需要DNS.你需要安装一个已有的DNS或者你自己的DNS.你当然需要记录,MX(Mail Exchange)记录.
如果你让用户用类似NetAuth的WEB界面在线创建或是离线操作,你可以用unix或NT的用户/密码,或是用email数据库或是LDAP数据库.NetAuth能够配置创建任何类型的用户.
用户阅读和发送邮件,比如一个可以通过WEB的邮件客户端.CWMail/Dmailweb 或是第三方软件WEBmail,WebMail也会正常使用.
管理你的系统,NetAuth作为系统管理者管理用户帐户,管理特殊的域名,你也可以设置用户权限.
你可以在一个域名或是在更复杂的域名下创建一个hotmail系统.一个简单的系统如图:
左边是因特网和一个域名服务.在右边的大框里,是你的服务器.正常接收WEB邮件通用你的WEB服务器.通用连线连接到email服务也是通过传统的email客户端.你有一个WEB服务器.两个cgi(CWmail各netauth),POP和SMTP服务及一些用户和口令的数据库.
我们假设某人用你的hotmail系统在外网发送给你邮件,然后得到响应:
john,在其它的系统中正在发送信息给sue.使用者在你的WEB邮件系统中有一个记录:
john在你的邮箱客户端创建了一个短信发送到sue@yourplace.com地址.
他的客户端软件连接到你本地的SMTP服务器并收到此消息.通过域名解析发送到yourplace.com.域名服务器在你的机器上获得SMTP服务器的IP地址.两个SMTP服务器连接到25端口.你的SMTP服务器首先查找用户sue.为得到,它通用外部权限认证检测用户数据,然后从sue接收邮件并添加到sue的地址栏.
Sue用她朋友的计算机,打开浏览器并连接到:http://yourplace.com/scripts/cwmail.exe,然后在你的机器上查找域名解析.她的WEB浏览器连接到你的WEB服务器80端口.你的WEB服务器作为进程启动cwmail.exe程序,获得请求并等待返回一个web页面.
CWMail进入注册页请求用户和口令.用过WEB浏览器寄给WEB服务器.然后CWMail结束.
Sue输入用户和口令点击login按扭,然后发送到你的WEB服务器进入cwmail.
CWMail连接到POP服务器进行用户认证,然后查找是否有新的邮件.
POP服务器验证用户数据确定口令正确性然后通过CWMail.
CWMail通过它返回到WEB服务器,对于WEB浏览器,Sue选择一条邮件,阅读并回复.(这些交互都是在浏览器之间,通过WEB服务器和CGI程序完成)
连接到你的smtp服务器和从john的回复寄到cwmail
你的smtp服务器用dns环回查找john地址,同时寄到你的smtp服务器.
这个简单交互描述了两个人邮件互递的过程.他们需要用户名及认证方式,下面是这些的安装文档.
安装目录:
1.总览
2.安装Dmail
3.安装CWMail /Dmailweb
4.安装Netauth
5.添加一个虚拟域名.
6.DNS,MX记录.
7.Telnet测试
8.Nslookup测试
为了安装一个最基本的系统,你至少需要2,3,4步.它装指导你安装DMail,CWMail,NetAuth,创建一个邮件服务器域名.完成以后,你可以从第五步开始设置一个虚拟添加到你的邮件系统.如果你的机器有注册的域名,如: myplace.com, 你只需在适应的DNS中检测MX记录确定邮件是发送到anyone@myplace.com.详细细节你可以参看第六步.测试你的系统是否安装完整,可以用telnet和nslookup进行调试.
--------------------------------------------------------------------------------
2. 安装DMail.
最简单的安装方式是第一次就连接到你的主机域,以后再添加一个虚拟的邮件域.安装完以后再解释如何用NetAuth进行认证,继而创建一个类hotmail的邮件系统.
第一步: 安装
到DMail的下载网址:http://netwinsite.com/dmail/download.htm下载到你的系统中.在NT系统中它自解压生成安装程序.在Unix中你需要展开压缩包,然后再安装. 安装完成后生成一个最基本的系统,没有外部认证及域.
第二步:添加外部认证
为了添加外部认证你必须编辑配置文件dmail.conf. 我将解释如何编辑这个文件,因为在UNIX系统中只有这种配置方法.
cd /etc
vi dmail.conf
找到有\"authent_method\"的行,将'nt_user'或'unix_user'改为'external'.
添加authent_process setting到/usr/local/dmail/nwauth,这个外部认证过程称为NWAuth,你可以在DMail的安装目录找到.
将authent_domain setting 设为'true'.这个设置命令的意思是Dmail查找你所用域名,及允许你以后添加虚拟域.如果没有设为TRUE值,添加虚拟域名时将产生警告.
第三步: 加载配置
你必须将新修改的配置文件加载到你的邮件服务器中.根据系统提示,敲入tellpop reload 和 tellsmtp reload,首先你可能要到DMail目录执行命令行.
在可用的邮件域中你已经安装完成DMail.接下来你需要安装CWMail和NetAuth.在此之前你可以看看\"添加一个虚拟域名\"章节.
--------------------------------------------------------------------------------
3.安装配置CWMail /Dmailweb
再到下载页:http://netwinsite.com/dmailweb/download.htm 下载到你的系统中.NT系统进行自解压,UNIX系统中你需要进行解压,然后运行WMSetup命令.当你安装完成后,可以键入: http://your.domain/scripts/cwmail.exe(dmailweb.exe... 或 http://your.domains/cgi-bin/cwmail.cgi(dmailweb.cg... 你可以看到一个注册页.
--------------------------------------------------------------------------------
4. 安装配置Netauth.
到下载页:http://netwinsite.com/netauth/download.htm 下载到你的系统中.NT系统进行自解压,UNIX系统中你需要进行解压,然后运行nasetup命令.如果没有问题,你可以连接到:http://your.domain/scripts/netauth.exe 或 http://your.domains/cgi-bin/netauth.cgi. 你可以看到验证用户页.
测试NetAuth,试着添加一个用户.你可以在username档中添加\"test\",点击\"check\".到添加页面,你要输入密码然后点击添加.然后进行确认.如果有提示错误,你可以看NetAuth的手册页.
当你有新用户时,你可以连接到:http://your.domain/scripts/cwmail.exe (dmailweb.exe) 或 http://your.domains/cgi-bin/cwmail.cgi (dmailweb.cgi). 你可以看到一个注册页.输入用户和密码,第一次可能会询问你一些更详细的资料.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
5.添加一个虚拟域名
一旦你用NetAuth创建了用户,而且这些用户正用CWMail注册,你将准备添加一个虚拟域名.因此你将需要设置dmail.conf,netauth.ini和cwmail.ini.当然为了安全你可能需要备份一下以防不测.NetAuth和CWMail在它们的临时目录已经创建了备份.配置有任何问题时你都可以更新这些备份.
记住,确定有备份时在WEB服务器目录修改.ini文件.
第一步:Dmail.conf
\"vdomain\" 假定是你所设置添加的虚拟邮件域名,当然它只是一种格式.
vdomain <prefix> <suffix or IP number / name> <domain name> <drop path>
当我们创建虚拟域名和进行域名认证(authent_domain),我们不必担心\"prefix\"设置, 重要是更改\"suffix/ IP number\"设置.
如果你有更多的IP并想让每个IP规划一个域,那你将创建\"基于虚拟域的IP\",否则将创建\"基于虚拟域的suffix\".
下面是基于vdomain行的后缀例子:
vdomain d2 /domain2 mail.domain2.com dmailin
vdomain d2 /dom2 mail.domain2.com /usr/local/dmail/in/2
下面是基于vdomain行的IP例子:
vdomain d2 1.2.3.4 mail.domain2.com dmailin
vdomain d2 2.3.4.5 mail.domain2.com /usr/local/dmail/in/2
当然,实际的后缀或是IP值将是不同的,它依赖于你的系统和你真实的IP.
现在你已经添加了vdomain行到dmain.conf,打开它并找到\"host_domain\"设置,输入自己的vdomain并在后面注释.这将有利于你以后阅读.如果你
需要的话可以添加更多的vdomain的行,但仅限于基于IP做域名的情况,并保证IP是可用的.你不能同一个IP添加两个vdomain.否则两个
vdomain都会是同一后缀.
现在添加了vdomain行,记住域名后缀或IP也是作为域名解析.如果你是用后缀的情况,建议你用分隔符作为后缀的起始符.在我的例子里有用'/'.
你也可以用'@'或是其它的字符.但是推荐使用'/'.
第二步:更新配置
为使新的配置起作用,你需要更新邮件服务器.在终端你输入:\"tellpop reload\"和\"tellsmtp reload\",第一次你可能需要到DMail目录执行命令.
第三步:Cwmail.ini
添加你的vdomain一行或是多行后,你必须申明关于域名的CWMail.为了这样做,在cwmail.ini文件中使用vhost行.CWMail处理虚拟邮件域名并能
够在URL地址中浏览. www.domain2.com地址是你所添加的第一个虚拟域.你必须添加vhost行像这样: \"vhost www.domain2.com\"
vhost作用于不同的区段,CWMmail首先匹配URL地址到vhost行,并加载所有行的设置,当访问vend行时会返回加载默认设置.
ini文件可能类似如下设置:
[cwmail.ini]
templates cwmail
pophost 1.2.3.4
smtphost 1.2.3.4
vhost www.domain2.com
pophost 2.3.4.5
vhost www.domain3.com
pophost 3.4.5.6
templates cwmail3
vend
nwimg /nwimg
实际上,ini文件有三种不同的方式加载.如果地址是\"www.domain2.com,那么pophost和smtphost模块会被加载,并且pophost并变成
\"2.3.4.5\".然后nwimg设置也被加载.如果地址是\"www.domain3.com\",那么加载的模块会是:\"cwmail3\",pophost值是\"3.4.5.6\",如果地址是其
它,vhost环境变量将会忽略.
CWMail从SERVER_NAME环境变量中获得URL地址.有时这个变量并不是预定值,如果你发现vhost段并没有加载,你可以试试别的环境变量.为
申明CWMail作用另一环境变量,设置vhost_match配置这个变量值.类似\"HTTP_HOST\"返回URL主机.
你想添加新的设置到vhost段,这些变量要么替代以前的配置或是添加到先前的配置后.当模块设置时,新值将会取代旧的设置,在body_add设置
的情况,新值将添加到所有值的最后列.
现在你必须添加新的vhost段匹配添加的新虚拟域名.如果你使用基于域的后缀,vhost段必须包含后缀值(在vdomain行需要相同的值).如果使
用基本IP的域,pophost,smtphost设置需要新的IP值.启动新虚拟域名时,记住在vhost段中包含域名设置.它应该和vdomain行中的域相匹配.
第4步: Netauth.ini
在安装虚拟域的情况下,NetAuth也使用vhost段.它的运行类似于CWMail.如果需要的话也用vhost_match设置.
你必须添加vhost段匹配新的虚拟域名.如果使用基于后缀的虚拟域,你需要进行后缀设置.不像CWMail的NetAuth早期版本(version 3.0e或更早)
用双字符.而且suffix_seperator使用默认的的隔离符'/'.除非你在vdomain行使用其它的字符,你不必更改设置.后期版本(Netauth 4.0+)的后
缀设置使用CWmail的后缀.如果你使用基于IP的虚拟域,你必须为新的IP设置详细的新pophost设置.记得开启新域名时在vhost段中包含域名设置
,在vdomain行中匹配新的域名.
--------------------------------------------------------------------------------
------------------------------------------------------- -------------------------
6. DNS,MX,A 记录
DNS管理需要一个主名称服务器和一个从名称服务器.因为InterNIC并不承认你的域名,除非因特网上的域名信息至少有两个DNS服务器.另一个原
因是如果你仅有一个域名,一但关闭,用户将会阻止浏览因特网.下面给出三项DNS管理:
1.用你的ISP提供的主从名称服务器.
2.用你自己的主从名称服务器.
3.用一个ISP提供的名称服务器,另一个由自己设置管理
1:
你必须通知你的ISP为你分配主从名称器.如果他们不能或是不愿意,你不得不使用第二项.第二步是公布你的ISP提供的DNS记录,允许交互你的网
络.附加的,如果你需要收到此域的邮件和你的ftp和www服务器的档案,你必须有MX记录.你也必须通知你的ISP商这些地址.
2:
下列理由是你使用自己的服务器名称,包括:
你的ISP商不允许你使用或不能为你提供合法的名称服务器.
你有因特网的一部分(名称空间)
如果你运行是基于IP的应用,你的内部网络用户如果通过名称访问外部网络,你并不想为名称或是地址做广告,或是受到外部攻击的话.
你想完全控制自己的DNS服务器,这意味着你可以直接修改,而不必等待你的ISP商去为你改变什么.
你必须购买DNS软件.像大多数运行于Unix机器的服务器一样,最流行的是BIND,找到它并学习如何运用DNS管理.
3:
很多部分都类似于2项,有两项选择:
你管理主名称服务器.
你管理从名称服务器.
如果你选择管理主名称服务器,那你应该记住自己不得不管理DNS记录.
如果你只是有一个从名称服务器,那么你的ISP提供商将会为你做任何事,你的服务器也只是从主服务器上周期性的简单下载一些数据.
DNS记录:
DNS记录,MX记录(邮件传递),A 记录号(用于解析机器名到IP)
MX记录:
MX记录,或是邮件传递记录,如下格式:
<domain_name> <machine_with_mail_server> <preference>
例如:一个MX记录可能包含:
netwinsite.com netwin.co.nz 0;
netwinsite.com mail.netwin.co.nz 1;
netwinsite.com mail3.netwin.co.nz 2;
在这个例子当中,邮件首先传递到netwin.co.nz,如果传递失败,将传送到mail.netwin.co.nz,最终到mail3.netwin.co.nz.
A 记录号
'A'记录联接计算机名和活动的IP地址,如下格式:
<computer_name> <address>
例如:一个A记录可能如下:
netwin.co.nz 1.2.3.4
这个例子里,DNS服务器将用netwin.co.nz和IP 1.2.3.4到本地机器.
你需要在MX记录里为所有的机器有A记录.所有的机器是指你希望运行ftp(文件传输协议)和运行www服务的机器.
--------------------------------------------------------------------------------
7. 用'Telnet'
7. Using 'Telnet'
Telnet命令适用于NT和Unix系统.它允许你测试IP地址的任何端口.
这里我们需要检测:
SMTP端口.
POP端口.
我将重点介绍Telnet在Unix系统下的测试方法.
Unix - Telnet
为了执行telnet,在命令提示符下健入:telnet,你会看到类似的界面:
telnet>
键入 ? ,你可以看到可用的命令参数列表.为连接到机器,键入:open <machine> <port>,<machine>是指你的IP或是你的计算机名.端口包括:
23:telnet端口.25:smtp端口.110:pop端口.还有一些其它端口.连接成功后,你可以看到此端口的回应.
为了测试你系统的这些端口,你应该知道每个端口是如何工作的.下面解释一下POP端口是如何工作的.
POP 端口
POP端口用于检测/接收/删除来自邮件服务器的邮件.端口号110.进入POP服务器后你会执行一系列的命令.当然首先你必须登入POP服务器.键入:
user <username>, 回车, pass <password>,回车.当然你必须有合法的用户和口令.
命令 例程 作用
list list list命令列出用户的邮件.
uidl uidl uidl命令通过UID号列出信息行.T
retr retr 1 retr命令是重新找回信息的内容.这个例程里是一条信息.
dele dele 1 删除记录.这个例程里是一条信息.
top top 1 10 top命令显示X条记录.这个例子里是10行.
quit quit 该命令是断开你的POP服务器连接.
--------------------------------------------------------------------------------
8. Using 'Nslookup'
Nslookup是一个命令行的实用程序.是一种简单的检测你的DNS解析是否正确的命令.
执行nslookup,你可以看到类似如下信息:
Default Server : ns-100Mb.webpros.com
Address : 206.127.192.1
>
这是nslookup命令的帮助文件列表.为了获得帮助,键入:\"?\",按回车.你也可以在命令后加你想查找的域名直接查找.
Default Server: ns-100Mb.webpros.com
Address: 206.127.192.1
>netwinsite.com
Server: ns-100Mb.webpros.com
Address: 206.127.192.1
Name: netwinsite.com
Address: 207.230.97.10
>
你也可以查找 MX 记录
Default Server: ns-100Mb.webpros.com
Address: 206.127.192.1
>set type=MX
> netwinsite.com
Server: ns-100Mb.webpros.com
Address: 206.127.192.1
netwinsite.com preference = 10, mail exchanger = eagle.webpros.com
netwinsite.com preference = 20, mail exchanger = falcon.webpros.com
netwinsite.com nameserver = ns.webpros.com
netwinsite.com nameserver = ns.professionals.com
eagle.webpros.com internet address = 206.127.192.10
falcon.webpros.com internet address = 206.127.192.2
ns.webpros.com internet address = 206.127.192.1
ns.professionals.com internet address = 207.230.127.126
来源:www.root-core.com 作者:nolimit 票数:29等级:点击:192
也许国内的用户对hotmail的E-mail服务用的很少,毕竟大家都是中国人麻!又何况距离是如此的远,呵呵!
废话少说了,希望以下的应用对大家有用。请勿用于非法的事情噢!
(以下的试验在IE5.0中通过)
第一步:首先要作的是,你必须拥有一个Hotmail的用户ID,也就是,你去申请一个它的E-mail账号。
第二步:用以下的链接去察看特殊的用户的特殊的消息
1。http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d9702%26len%3d9687%26raw%3d0%26disk%3d64%2e4%2e36%2e68_
d1577%26login%3dusername%26domain%3dhotmail%2ecom&hm___fl=attrd&domain=hotmail.com
2。http://lw14fd.law14.hotmail.msn.com/cgi-bin/saferd...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d9702%26len%3d9687%26raw%3d0%26disk%3d64%2e4%2e36%2e68_
d1577%26login%3dusername%26domain%3dhotmail%2ecom&hm___fl=attrd&domain=hotmail.com
下面我就来解释一下上面链接中数字的含义
MSG943322803%2e16(消息的编号,它只不过是一个数字而已)
username (想看的Hotmail的账户名称)
(如果你想看'emailbox view'中的E-mail的话,你要去掉\"%26raw%3d0\" )
(如果你不喜欢hotmail的顶端的风格,你可以去掉\"&hm___fl=attrd&domain=hotmail.com\")
第三步:如果你可以输入正确的消息代码,你就可以看到你所要看到的E-mail了!:)
(在此之前你应该先用你的Hotmail的账号作一下试验,明白他的整个工作过程:))
(手工输入这些消息代码是一件痛苦的事情,你可以写一个程序来自动的扫描指定用户的消息代码范围。
你必须使它和IE一起工作,前提是你必须首先登陆系统,并且想看别人的消息的时候:))
它可以帮助你区别那些消息代码,在你自己的收信箱你,你可以知道那些消息代码的来源时间。比如:
MSG997936971.27<----------- 16.08.2001.到达
MSG996698372.27 <-----------01.08.2001.到达
MSG975960863.0 <-----------04.12.2000.到达
当你知道消息的范围时,你就不需要扫描太多的消息地址了!:)
登陆hotmail,然后用以下的链接看看吧!
未加工的格式:(你也可以拷贝base64 格式的文件)
http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d1%26len%3d99999999999%26raw%3d0%26login%3djokutesti99%26domain%3dhotmail%2ecom
加工后的格式:
http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d1%26len%3d99999999999%26login%3djokutesti99%26domain%3dhotmail%2ecom
也许国内的用户对hotmail的E-mail服务用的很少,毕竟大家都是中国人麻!又何况距离是如此的远,呵呵!
废话少说了,希望以下的应用对大家有用。请勿用于非法的事情噢!
(以下的试验在IE5.0中通过)
第一步:首先要作的是,你必须拥有一个Hotmail的用户ID,也就是,你去申请一个它的E-mail账号。
第二步:用以下的链接去察看特殊的用户的特殊的消息
1。http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d9702%26len%3d9687%26raw%3d0%26disk%3d64%2e4%2e36%2e68_
d1577%26login%3dusername%26domain%3dhotmail%2ecom&hm___fl=attrd&domain=hotmail.com
2。http://lw14fd.law14.hotmail.msn.com/cgi-bin/saferd...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d9702%26len%3d9687%26raw%3d0%26disk%3d64%2e4%2e36%2e68_
d1577%26login%3dusername%26domain%3dhotmail%2ecom&hm___fl=attrd&domain=hotmail.com
下面我就来解释一下上面链接中数字的含义
MSG943322803%2e16(消息的编号,它只不过是一个数字而已)
username (想看的Hotmail的账户名称)
(如果你想看'emailbox view'中的E-mail的话,你要去掉\"%26raw%3d0\" )
(如果你不喜欢hotmail的顶端的风格,你可以去掉\"&hm___fl=attrd&domain=hotmail.com\")
第三步:如果你可以输入正确的消息代码,你就可以看到你所要看到的E-mail了!:)
(在此之前你应该先用你的Hotmail的账号作一下试验,明白他的整个工作过程:))
(手工输入这些消息代码是一件痛苦的事情,你可以写一个程序来自动的扫描指定用户的消息代码范围。
你必须使它和IE一起工作,前提是你必须首先登陆系统,并且想看别人的消息的时候:))
它可以帮助你区别那些消息代码,在你自己的收信箱你,你可以知道那些消息代码的来源时间。比如:
MSG997936971.27<----------- 16.08.2001.到达
MSG996698372.27 <-----------01.08.2001.到达
MSG975960863.0 <-----------04.12.2000.到达
当你知道消息的范围时,你就不需要扫描太多的消息地址了!:)
登陆hotmail,然后用以下的链接看看吧!
未加工的格式:(你也可以拷贝base64 格式的文件)
http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d1%26len%3d99999999999%26raw%3d0%26login%3djokutesti99%26domain%3dhotmail%2ecom
加工后的格式:
http://pv2fd.pav2.hotmail.msn.com/cgi-bin/saferd?_...
tg=http%3a%2f%2f64%2e4%2e36%2e250%2fcgi%2dbin%2fgetmsg&hm___
qs=%26msg%3dMSG998047250%2e22%26start%3d1%26len%3d99999999999%26login%3djokutesti99%26domain%3dhotmail%2ecom
