istar UU100 使用手冊 Release 2.2 UUDynamics, Inc 年 7 月 copyright UUDynamics, Inc. All Rights Reserved

Transcription

1 istar Release 2.2 UUDynamics, Inc 年 7 月

2 本書約定 描述 : 文檔中對軟體中不同類型的元素, 使用不同的符號和樣式進行描述 ( 請參見下表 ) 請讀者使 用本手冊之前務必認真閱讀, 以便區分 元素 符號 & 字型樣式大小 舉例 按鈕 < > 五號 < 確定 > 功能表 快 " 五號 文件 " 顯功能表 超鏈結 帶下劃 五號 下一步 線 藍 色字體 參數 [] 小五 的 IP 位址 ]( 或 號 [uuswitch 的 DNS 名稱 ]) 螢幕回顯 斜體 小五 ErrorCode[11001]: 認證失敗 號 重要 説明 加粗 五號 重要 説明 備註 [] 符號外部的內容, 爲出錯提示, 供使用者參考 [] 內部的內容, 爲系統內部資訊, 供開放人員跟踪 使用者可以不予理會, 如有需要, 亦可將其告知我公司技術支援人員 解析度 : 運行本産品, 建議使用 或 解析度, 以獲得最佳視覺效果

3 UUDynamics, Inc. 目錄 第 1 章 概述 istar 産品功能特性 istar 産品系統架構... 2 第 2 章 系統安裝 移除及初次配置 安裝 UU 安裝 UU100 的伺服器及環境需求 安裝 UU100 軟體 安裝 UU100 的 USB Key 初次配置 UU 選擇配置方式 選擇連接方式 配置網路環境 啓動 UU 移除 UU 第 3 章 系統設置 熟悉介面操作 進入設置介面 介面間的轉換 退出設置介面 使設置生效 網路設置 改變網路環境 改變連接模式 安全管理 認證控制 設置加密演算法 設置本地 (/ 遠端 ) 管理員 系統參數管理 輸入 (/ 輸出 ) 系統配置...33 第 i 頁

4 UUDynamics, Inc 管理許可證 升版系統 故障檢修 顯示狀態 查看系統性能 日誌等級的設定 查看日誌 告警等級的設定 系統時間及 LOGO 設置 進階 選擇網路模式...42 第 4 章發佈應用 從預設應用程式列表中增加應用程式 定制預設應用程式列表以外的應用程式 第 5 章故障檢測和排除 第 6 章附錄 UUDynamics File Browser Express/ File Browser 使用説明 istar 支援的客戶 / 伺服器應用 用戶端到伺服器端 對網路資料包中的用戶端位址的敏感性 支援 IP 應用及特定的 NetBIOS 應用 NAT( 網路位址轉換 ) 的友好性 WinSock 應用 其他 第 ii 頁

5 第 1 章概述 第 1 章概述 感謝您使用 UUDynamics 公司 istar 系列產品 istar UU100 是 UUDynamics 公司的一種伺服器版本發佈單元 (Publisher) 本使用手冊將對 istar 産品的功能特性及系統架構進行簡要描述, 幷在後面章節詳細介紹 UU100 的安裝 設置與操作步驟 1.1 istar 産品功能特性 istar (Instant Secure Tunnel Architecture) 是 UUDynamics 公司首創的新一代安全 Instant Extranet 技術 istar 用於構建由 發佈單元 (Publisher)" 向 用戶端 (Subscriber)" 發佈應用程式的 Extranet, 這種方式能快速且安全地解決特定應用程式跨越企業網路和組織邊界的問題 istar 技術提供了基于 用戶端 (Subscriber)" 發佈單元 (Publisher)" 和 交換 單元 (UUSwitch/UUExchange) " 的安全資訊網路模型, 爲現代企業用戶和應用服務提供商 (ASP) 提供了應用程式或文件存取的發布 控制和管理平臺 同時, 它涵蓋了傳統 VPN 的 所有功能, 爲現代企業網的 Intranet Extranet Remote Access Application Export 等提供 了安全 高效的整體解决方案 ;istar 還能快速實現企業與其分支機搆和商業夥伴之間的 B2B 供應鏈 分散式 OA 等電子業務的需求 與其他 VPN 產品相比,iSTAR 具有更強大的功能和更具優勢的性價比 : 1. 安全性高 : istar 采用了 SSL(Secure Socket Layer) 協定, 從應用層面建立安全機制, 是 Application Sharing 的概念 通訊雙方在應用層建立通訊, 除了能確保雙方的安全 之外, 也大幅降低規劃 IP 網路的複雜工程 采用了 SSL(Secure Socket Layer) 協定 從應用層面建立安全機制, 是 Application Sharing 的概念 通訊雙方在應用層建立通訊, 實現應用層使用者訪問 管理 徹底執行基於使用者的安全政策 對應用程式透明 能夠保護企業網路免於遭受來自外部以及內部的威脅 可以選擇對應用程式進行加密 (Encryption & Hash) 支援 Radius Windows Domain 伺服器等多種使用者認證方式 2. 接入方式靈活 : 支援有公共靜態 IP 位址和沒有公共靜態 IP 位址的企業 能爲企業夥伴提供安全的, 彈性的外聯網 (Extranet) 接入方式 在任何時間, 地點都能提供出外人員或遠端使用者即時, 安全的接入 istar 獨特的對應用程式透明 (Application Transparent) 的特性, 無論是 Web client/server 應用程式, 或是 file sharing,istar 能够完全支援, 不需要加 裝軟體或對應用軟體作修改 支援 Web C/S 應用及 File Sharing 支援 LAN To LAN 功能 ( 僅 UU200 支援 ) 3. 提供路由功能 : UU200 和 UUSwitch/UUExchange 支援路由功能 交換單元網路可以提供優化路由的選擇 第 1 頁

6 第 1 章概述 具備爲遠端使用者提供優化路由的選擇 4. 經濟 : istar 的另一項獨特設計就是能夠同時適應有 Public IP 及僅具備 Private IP 的使用環境, 解决了部分企業 Public IP 資源不足帶來的問題, 也避免了使用 Public IP 而引發的安全性問題 由於可以使用 Private IP, 因此企業的應用軟體伺服器能夠被放置在內部網路的任何位置, 而保護這些伺服器的網路與防火墻也不需要做任何改變, 真正的作到了適應不同網路架構的需求 可以共用數位電子憑證 istar 還能夠將一張 SSL 數位電子憑證共用給多個使用 Private IP 的 Site 使用, 節省了企業重複申請 SSL 數位電子憑證的費用 充分利用互聯網以降低龐大的通訊成本采用了 SSL(Secure Socket Layer) 協定 通訊雙方在應用層建立通訊, 除了能確保雙方的安全之外, 也大幅降低規劃 IP 網路的複雜工程 控制網路建設 擴容 管理 使用及維護的整體成本 (TCO: Total Cost of Ownership) 5. 使用者介面友好 : 設備操作簡單, 安裝容易 用戶端使用 IE 瀏覽器, 各種應用都以圖示表示 提供多語言使用者介面支援 1.2 istar 産品系統架構 istar 的系統結構如下圖所示 : 第 2 頁

7 第 1 章概述 Share for A/C ERP Web Share for A/B File share CRM Share for C Headquarters UU1000 UURomote Mobile User E Computer UU100 Partner C UU200 UUSwitch/ UUExchange UUSoft computer computer Customer D Branch A computer computer 圖 1 如上圖所示, 公司總部 (headquarter) 合作夥伴 (Partner) 分支機搆 (Branch) 和移動客 戶 (Customer) 間建立 istar 系統結構, 分別以 UU200 UU100 UU1000 和中間的 UUSwitch/UUExchange 連接建立安全隧道 ; 公司總部發布共用的應用給特定使用者, 合作 夥伴 分支機構等使用該些應用, 從而實現了 Instant Extranet UU1000/UU200/UU100 均 具備發佈單元的功能 ; 用戶端通過 IE/HTTPS 與伺服器相連接 istar 技術中主要構成元 件簡要介紹如下 交換單元 (UUSwitch/UUExchange) UUSwitch/UUExchange 是 istar 系統結構的中心, 它類似于電話系統中的交換中 心, 是高效的 均衡負載的伺服器群集或群集組, 它負責維護著合法使用者資料庫, 具有 Public Static IP 位址, 在兩方進行應用資料交換之前提供 信令交換 " 的功能 ; UUSwitch/UUExchange 能物理上分佈在多個地點上, 透明地轉發應用資料 發佈單元 (Publisher) 發佈單元 (Publisher)UU100/UU200/UU1000 位於 istar 中發布應用的伺服器端, 它可以將伺服器提供的服務安全的發布 用戶端 (Subscriber) 用戶端通過 IE/HTTPS 與伺服器相連接 Registration (Logical Naming) 第 3 頁

8 第 1 章概述 每個發佈單元 Publisher 都必須配置成能夠到達 UUExchange, 並且都有一個唯一的邏 輯名稱 UUID, 在啓動時就用這個邏輯名稱註冊到 UUSwitch/UUExchange, 從而成爲整個 istar 的一部分 所以發佈單元本身不一定需要 Public Static IP 位元元址 End to End Security Connectivity 資訊安全的含義主要包含以下幾個方面 : 用戶端和伺服器端的認證 資訊的私密性 資 訊的完整性和授權 istar 結構中的發布單元和用戶端之間的隧道是基于 SSL 的安全連 接, 同時滿足以上幾個方面, 實現端到端的安全 第 4 頁

9 第 2 章系統安裝 移除及初次配置 第 2 章系統安裝 移除及初次配置 2.1 安裝 UU 安裝 UU100 的伺服器及環境需求 安裝 UU100 的伺服器必須符合以下的系統需求 : 配置項 要求 硬體 作業系統 CPU 記憶體 硬碟空間 10M/100M Ethernet 埠 USBPort Pentium III 以上 256MB 以上 50MB 以上的可使用空間 至少有一個 至少有一個 Microsoft Windows 2000 Professional, Microsoft Windows 2000 伺服器, Microsoft Windows 2000 Advance 伺服器, Microsoft Windows XP Home SP1( 或以上 ), Microsoft Windows XP Professional SP1( 或以上 ), Microsoft Windows 伺服器 2003 Internet 連接需要 ( 最好爲寬頻 ) 其他 如果選擇 Direct Access 連接方式 ( 參見本手冊 選擇連接方式 ), 則需要準備一個靜態 IP 位址 如果選擇 Private Access 連接方式 ( 參見本手冊 選擇連接方式 ), 則需要導入一個 UUID 數位證書檔 案, 並瞭解 UUExchange/UUSwitch 的 IP 位址或 DNS 名稱 這裏的 UUID 數位證書是用于辨認本台 UU100 的唯一 標識, 必需由本台 UU100 所要連接的 UUSwitch( 或 UUExchange) 所産生 安裝 UU100 軟體 UU100 安裝步驟如下 : 1. 關閉所有正在運行的應用程式, 然後啟動 UU100 安裝程式, 按照安裝精靈導引步 驟, 系統會自動執行 UU100 的安裝 2. 在安裝過程中, 系統會出現以下的資訊視窗 ( 圖 2), 顯示 UU100 軟體已經成功安 裝到您的電腦上, 並提示配置 UU100 前需要的準備工作 第 5 頁

10 第 2 章系統安裝 移除及初次配置 圖 2 3. 按下 < 確定 >, 系統自動開啓 IE, 進入 UU100 初次配置介面 安裝 UU100 的 USB Key 接下來需要將 UU100 的 USB Key 插在伺服器的 USB 埠上, 待 USB Key 上的 LED 被 點亮之後, 整個 UU100 的系統安裝才算完畢 説明 : 在 Windows 2000 伺服器 /Advance 伺服器上安裝 USB KEY 時, 系統會顯示不包含 證書的資訊, 請選擇繼續安裝 缺乏 UU100 的 USB Key, 將無法進行以下的 UU100 系統設置, 系統將不能正常工作 Demo 版 UU100 不需要 Key, 故不受此限 2.2 初次配置 UU100 安裝完成後, 安裝精靈將繼續引導您進行 UU100 的初次配置 選擇配置方式 首先選擇是否重載以前的配置檔案 ( 如圖 3) 點選下一步進入連接方式的配置 沒有備份的配置檔案 " 選項 : 初次安裝或者沒有 UU100 的配置備份檔案時選擇該選項 ; 用備份配置文件恢復系統 ": 要恢復以前備份的 UU100 的配置, 則選擇該選項 ; 第 6 頁

11 第 2 章系統安裝 移除及初次配置 圖 選擇連接方式 UU100 支援兩種連接方式 :Direct Access 方式和 Private Access 方式 Direct Access 方式該方式下, 遠端使用者可以通過 UU100 的公共 IP 位址直接訪問該台 UU100 所發布的應用或對它進行遠程管理 訪問應用時, 在用戶端的 IE 5.0( 或以上 ) 的地址欄輸入 的公共 IP 位址 ]" 如果要進行遠端管理, 則輸入 的公共 IP 位址 ]/rm" 這種連接方式通過在 UU100 中導入一個數位電子憑證, 驗證接入安全 UU100 中已經自帶一個由 UUDynamics 公司簽名的證書, 您可以使用預設的數位電子憑證, 也可以另行購買第三方證書 1. 在圖 4 所示介面上, 點選倒三角鍵下拉功能表, 選擇 Direct" 連接方式 2. 如果您需要導入準備好的第三方的證書 請點選 < 輸入 > 鍵, 輸入該證書對應的 Key 文件, 證書文件和 CA 的證書文件, 所有文件要求是 Base64 編碼方式, 如圖 5 所示 說明 : 第三方證書是用於該 UU100 和用戶端之間建立 https 安全連接時所需的標識該伺服器的數位證書 導入的第三方證書必須能被 Apache Web Server 所識別, 因此使用者在購買證書時, 請注意確認所購買的證書類型 3. 最後按 < 生效 > 鍵, 使當前的連接模式設置生效 Private Access 方式 該方式下, 發佈單元 (UU100) 與一台或多台交換單元 (UUSwitch/UUExchange) 相連, 並且配置成能夠到達交換單元 一台交換單元可接入多台 UU100, 每台 UU100 由 該交換單元分配一個唯一的有效邏輯標識 ( 即 UUID 檔案 ) UU100 在啓動時以這一標識 註冊到交換單元 用戶端經過交換單元定位幷連接該 UU100 因此,Private Access 優 於 Direct Access 之處在於 : 該方式下,UU100 本身可以沒有公共靜態 IP 位址 遠端使 用者只需通過交換單元的公共靜態 IP 位址和發布單元的 UUID 即可訪問連入它的各台 UU100 訪問應用時, 在用戶端的 IE 5.0( 或以上 ) 的地址欄輸入 或 uuexchange 的 DNS 名稱 /IP 位址 ]/[uu100 的 UUID]" 如果要進行遠端管理, 則輸入 或 第 7 頁

12 第 2 章系統安裝 移除及初次配置 uuexchange 的 DNS 名稱 /IP 位址 ]/[uu100 的 UUID]/rm" 這種連接方式通過在 UUSwitch/UUExchange 上使用數位電子憑證驗證接入安全 具體內容請參見 UUSwitch 使用手册 " 1. 在圖 4 所示介面上, 點選倒三角鍵下拉功能表, 選擇 UUSwitch/UUExchange" 2. 導入 UUID 檔案, 輸入 UUSwitch/UUExchange 的 IP 位址或 DNS 名稱 ( 這裏的 UUID 檔案由在這裏輸入的 UUSwitch/UUExchange 産生得到 ), 如圖 6 圖 7 3. 最後按 < 生效 > 鍵, 使當前的連接模式設置生效 圖 4 圖 5 第 8 頁

13 第 2 章系統安裝 移除及初次配置 圖 6 圖 7 第 9 頁

14 第 2 章系統安裝 移除及初次配置 配置網路環境 圖 8 圖 9 第 10 頁

15 第 2 章系統安裝 移除及初次配置 接下來配置 UU100 的網路環境 ( 圖 8) 1 點選 步驟 1 進入圖 9 所示介面 其中, 訪問類型 表示 UU100 接入網路的類型 : 選 STATIC" 時, 選擇本台電腦的 轉接器名稱 " UU100 的 IP 位址 對應 的子網掩碼 閘道及 DNS 等參數會自動從系統讀取 按 < 保存 > 如圖 10 所示 圖 10 選 DHCP" 時 ( 當需要對本台機器動態分配 IP 時適用 ), 點選 < 保存 > 此類型只在 Private Access 方式下出現 選 STATIC/PORT FORWARDING" 時 ( 當從防火牆上 port forwarding 到該台 UU100 時使用 ), 選擇本台電腦的 轉接器名稱 ", 系統讀取本台 UU100 的私有 IP 位址 對應的子網掩碼 閘道及 DNS 等參數, 此外還要輸入 DNAT IP( 如圖 11 所示 ), 即配置 NAT 的源位元元址 請參考下例 此類型只在 Direct" 方式下出現 例如 : UU100 在局域網內 防火牆的 PUBLIC IP:61.***.**.1 防火牆裏的埠映射設置爲 :61.***.**.2( 另一可用 PUBLIC IP) (UU200 內網地址 ) 則 DNAT IP 應設置爲 61.***.**.2 第 11 頁

16 第 2 章系統安裝 移除及初次配置 圖 11 2 點選 步驟 2" 進行 Cluster 的設置 勾選 啓用 Cluster" 表示啓用 Cluster 3 點選 步驟 3" 進入圖 12 所示介面, 進行 Proxy 的設置 系統預設無 Proxy; 這裏的 Proxy 設置和 IE 的 Proxy 設置相似, 支援的 Proxy 的選 項有 No Proxy( 表示沒有 Proxy, 使用 NAT 或 Public IP 直接上網 ) Web( 表示有 Web Proxy) SOCK4( 表示有 SOCK4 Proxy) SOCK5( 表示有 SOCK5 Proxy) AutoDetect ( 表示自動查找 Proxy 設置 ) 和 config Script( 根據 config Script 來設定 Proxy) 圖 12 4 完成以上操作後按 < 生效 >, 使當前的網路設置生效 系統會出現如下資訊提示框 ( 圖 13), 表示初次配置已經完成 第 12 頁

17 第 2 章系統安裝 移除及初次配置 圖 啓動 UU100 完成了 UU100 軟體的安裝和初次配置之後, 在伺服器 Windows 桌面的右下角會有一個 UU100 顯示圖示, 該圖示的顔色表示了 UU100 的狀態 ( 見圖 14): 紅色表示 UU100 處於停止狀態 黃色表示 UU100 正處於被啓動 ( 或被停止 ) 之中 綠色表示 UU100 已經啟動, 處於運行正常狀態 圖 14 將遊標移到 Windows 桌面右下角的 UU100 圖示, 按滑鼠右鍵選擇 Start", 可以啓動 UU100 當圖示變爲綠色則表示 UU100 啓動成功 2.4 移除 UU100 移除 UU100 的步驟 : 1. 首先停止 UU100 的運行 ; 2. 拔下 USB Key; 3. 移除 USB Key 的驅動程式 : 選擇伺服器 Windows 桌面的 啓動 -> 設置 -> 控制面板 -> 增加 / 移除應用程式 ", 選擇 USB Key 的驅動程式幷按 修改 / 移除 " 鍵移除 USB Key 的驅動程式 ; 選擇伺服器 Windows 桌面的 啓動 -> 應用程式 -> UUDynamics -> UU100 -> Uninstall UU100", 系統會出現移除確認視窗 ; 按下確認鍵進行確認, 系統便會自動移除 UU100 程式 4. 移除完畢之後, 請按系統要求重新啓動您的伺服器 第 13 頁

18 第 3 章系統設置 第 3 章系統設置 完成上述 UU100 的系統安裝和初次配置之後, 您可以隨時進行 UU100 的系統設置 3.1 熟悉介面操作 進入設置介面 配置介面采用 WEB 方式, 進入配置介面前需要登錄 可以通過本地和遠端兩種方式進入設置介面 : 1. 在裝有 UU100 的機器上, 將遊標移到伺服器 Windows 桌面右下角的 UU100 圖示, 按下滑鼠右鍵, 選擇 Configuration" 功能表, 輸入預設的使用者名稱和密碼 (admin/admin) 後, 將會出現如圖 16 所示的系統主介面 2. 遠端系統管理員可以在任何一台聯機到網際網路的電腦上通過 rm 方式打開遠端使用者應用列表介面, 即 : 在瀏覽器地址欄輸入 或 uuexchange 的 DNS 名稱 /IP 位址 ]/[uu100 名稱 ]/rm"(switch 模式 ) 或 的 IP 位址 ]/rm"(direct 模式 ), 輸入使用者名稱 密碼 打開遠端使用者應用列表介面 在該介面中雙點擊 Admin" 圖示, 幷在彈出的視窗中輸入預設的使用者名稱和密碼 (admin/admin) 後, 也將出現如圖 16 所示的系統主介面 如果使用者超過 10 分鐘後需要對系統繼續進行操作, 系統會彈出圖 15 提示資訊, 要求使用者重新登錄 圖 15 原因是系統處于安全考慮, 設置了 Session Timeout"( 會話超時 ) Timeout 的時間為 10 分鐘 第 14 頁

19 第 3 章系統設置 重要 : 爲了保障系統及內部資料安全, 首次進入配置介面後, 請務必修改 Admin 的密碼 修改 Admin 和其他用戶密碼的方法有以下兩種 : 在圖 16 所示的系統主介面中, 點選 安全管理 " 下的認證控制 選中某一使用者, 點選 < 編輯 >, 即可在打開的介面中修改該使用者的密碼 通過 IE 瀏覽器, 遠端系統管理員可以在任何一台聯機到網際網路的電腦上通過 rm 方式打開遠端使用者應用列表介面, 在打開的介面中雙擊 更改密碼 " 圖示, 即可在打開的介面中修改該使用者的密碼 圖 16 介面中各配置項功能介紹如下 具體説明及操作步驟將在下文相應章節中詳細描述 : 發布 發布應用 : 設置 Publisher 要發佈的應用, 包括增加 刪除和編輯相關應用的功能, 對於 每個應用可以設置授權使用者和指定限制該應用訪問的地址和埠 具體配置步驟請參見第 4 章 安全管理 認證控制 : 設置系統的認證類型, 幷根據系統的認證類型, 進行相關配置 加密管理 : 可以用于選擇資料安全傳輸的加密演算法和 Hash 演算法 第 15 頁

20 第 3 章系統設置 本地管理 : 對本地管理進行授權, 授權使用者可以對系統進行本地管理 遠端管理 : 對遠端管理進行授權, 授權使用者可以對系統進行遠端管理 進階 選擇模式 : 模式選擇, 包括單模式 透明模式和路由模式 根據系統在實際網路中的位置選擇具體的模式 網路設置 網路設置 : 該模組用以設置系統所在的內部網路和 UUExchange/UUSwitch 的相關資訊 ( 包括 IP 位址 子網路遮罩 閘道 代理伺服器 Internet 的接入方式等 ) istar 設置 : 改變當前的連接方式 系統管理 輸入配置 : 將原來保存好的配置文件導入到系統中 輸出配置 : 將系統中已配置的配置文件導出到指定的文件夾保存 管理許可證 : 輸入新的 License 檔案, 更新當前 License 升版系統 : 導入升版文件, 升版當前的版本 鼓掌檢修 : 選擇 Ping TraceRoute Netstat 命令檢測系統的網路運行狀况 顯示狀態 : 查看系統的狀况, 包括 UUServer 的類型 系統的模式 系統的當前運行狀態等, 以及當前系統的模式等 查看系統性能 : 查看系統的各種的統計資訊 顯示日志 : 查看日誌 包括查看系統每天指定時間段中, 由重點到詳細的日志情况, 幷可隨時保存日志, 以便隨時審閱 日志控制 : 系統日志的設置 告警設置 : 系統報警級別的設置 系統管理 : 系統伺服器的時間設置和 LOGO 的設置 介面間的轉換 IE 瀏覽器上自帶的 Forward( 前進 )" Back( 後退 )" 等按鈕及 文件 " 編輯 " 等功能表均不再出現在介面上 返回上一級介面, 請點選 < 返回 > 或 < 取消 > 鍵 保存配置的修改, 請點選 < 確認 > 或 < 保存 > 鍵 退出設置介面 退出配置介面前, 請退回到圖 16 所示配置介面, 點擊注销退出 否則, 再次 ( 或用同樣的 username 從其他機器 ) 登錄時, 系統將提示以下資訊 : User username logined on this system currently" 此時, 相同使用者或者管理權限更高的使用者可以勾選 中斷用戶 [username]", 重新登錄系統 第 16 頁

21 第 3 章系統設置 説明 : 如果勾選 中斷用戶 [username]" 時出錯 ( 如圖 17), 有可能是因爲您沒有許可權使該 使用者失效 如果仍要登錄, 請聯繫系統管理員 圖 使設置生效 生效 " 表示使您的配置生效 修改配置後, 點選 < 確認 > 或 < 保存 > 鍵進行保存, 但此時僅是臨時性保存 一旦點選 < 取消 > 這些配置資訊有可能丟失 因此保存成功後, 還必須點選 < 生效 >, 配置方可永久保存幷生效 ( 圖 18) 重要 : 以下七項設置完成後, 點選 < 生效 > 會中斷會話, 同時系統會提示使用者重新登錄 因此, 建議您 : 避免在系統繁忙時改變這幾項設置 網路設置 ;istar 設置 ; 認證控制 ; 選擇模式 ; 管理許可證 ; 升版系統 ; 日志控制 ; 點選 < 生效 > 後有時會重新啓動系統的服務, 這時介面上可能會出現 非法 IP" 等資訊, 這時需要稍等片刻, 重新進入配置介面 第 17 頁

22 第 3 章系統設置 圖 網路設置 改變網路環境 章節 如圖 16, 點選 網路設置 " 下的網路設置, 進入圖 8 的介面, 其配置方法詳見手册 改變連接模式 在圖 16 所示介面中, 點選 網路設置 " 下的 istar 設置, 進入上圖 4 所示介面, 其配 置方法詳見手册 安全管理 認證控制 相關概念 : 第 18 頁

23 第 3 章系統設置 UU100 允許管理員使用嚴密的安全控制方式, 層層驗證接入安全 包括登入身份驗證 授權和應用級驗證策略等, 杜絕了各種未經認證和授權的非法連接 爲了實現這種安全控制思想, 伺服器端 (UU100) 需要完成相關的設置 以下對介面中涉及到的各種概念進行說明和舉例 認證 : 身份驗證 認證伺服器用於驗證 Client 傳來的使用者名稱 證書等代表身份的資訊 身份驗證有以下幾種途徑 : 1. Client 端輸入的使用者名稱 / 密碼 如果使用者名稱和密碼不符, 則驗證失敗 2. Client 端導入的證書的 CN 等屬性驗證 證書的可信任性由簽發的根證書負責 3. 認證伺服器上該使用者相應的屬性 使用者屬性需要根據使用者名稱在指定的認證伺服器檢索和匹配 4. 一次性有效的密碼 例如 RSA 的 token code 這種一次性有效的密碼通常用于雙因數身份認證 這種方式的認證要求用戶輸入使用者名稱 passcode(pin+ Token code) 授權 : 應用授權 發布應用時通常將應用授權給已通過身份驗證的使用者 授權依據通常是以下一種或多種資訊 : 1. 代表使用者身份的使用者名稱 2. 使用者隸屬的組列表 3. 使用者對應的角色 ( 從證書中的屬性以及使用者在認證伺服器上對應的屬性映射而來 ) 規定 : 安全管理綜合策略 管理員可以根據安全級別組合各種包括身份驗證 授權在內的所有的安全管理方法 例如, 當安全需求極高時, 可以設置一種較嚴密的規定 : 使用雙因數身份認證 ( 使用者名稱 + 證書 ) 和通過另一張證書授權, 即 :Client 端必須同時提供使用者名稱和證書, 幷通過驗證另一張證書是否給該用戶授權或授權該用戶使用何種應用 Certificate/PKI( 根證書 ): 證書 由 CA 簽發, 包含使用者 CN 或其他屬性等安全資訊 通常用於驗證使用者的身份或對通過身份驗證的使用者進行應用授權 角色 : 角色定義 Radius 類型的伺服器和 PKI 中, 通常將一組相同屬性定義爲一個角色 使用者屬於某一角色意味著他 (/ 她 ) 具有相應的所有屬性 UU100 在 PKI 和 Radius 兩種類型的安全域中引入了角色這一概念, 目的是方便將某一應用授權給某一角色 ( 即具有某些相同屬性的使用者 ) 角色通常在驗證證書和 Radius 伺服器上的使用者身份和應用授權時作爲主要依據 安全域 : 每一個使用者隸屬於一個或多個安全域 安全域涵蓋了上文提及的一個或多個方面, 包括認證 授權 規定 Certificate/PKI 角色 使用者隸屬于某個安全域, 意味著該使用者將使用該域中指定的綜合安全管理策略, 包括 : 在指定的認證伺服器或 (/ 和 ) 證書進行身份驗證, 驗證通過後,UU100 將根據指定的授權策略或 (/ 和 ) 證書對使用者進行應用授權 安全域的使用可以參考以下例子 第 19 頁

24 第 3 章系統設置 說明 : 本系統中有一個預設的安全域 :LocalAdmin LocalAdmin 中設置了一個預設的伺服器 LocalUsers, 該伺服器中有預設的使用者名稱 / 密碼 :admin/admin 預設的使用者 admin 伺服器和安全域不能被刪除 這樣可以保證至少有一位具有 唯讀 / 更改 " 許可權的使用者存在 LocalAdmin 中不允許設置 Certificate/PKI 例一 : 背景某企業爲大型銀行 使用者類型包括 : 局域網使用者 Radius 遠端存取使用者 其中 : User1: 本地使用者, 安全需求一般 在 LocalSever 中驗證使用者身份 企業的合作夥伴或代理商適合使用這種使用者身份連入企業的內部網 User2: 本地使用者, 沒有使用者名稱 / 密碼, 但持有某一 CA 簽發的證書 User3:Radius 使用者 安全需求高, 在 Radius 伺服器上有使用者名稱 / 密碼, 屬於某一角色 User4: 遠端使用者, 安全需求極高, 需要使用者名稱 /passcode(pin + Token code) 在 ACE 伺服器上驗證身份進行雙重身份認證 Group1: 成員包括 User1 身份驗證設置 1. 預置以下幾個伺服器 RadiusUsers: 類型爲 Radius; ACEUsers: 類型爲 ACE 伺服器 ; 2. 預置以下幾個安全域 LocalAdmin: 預設 不需增刪也不能更改 PKIRealm: 新增 僅需要驗證證書 設置項 值 說明 供認證 / 規定使用 None 類型 : 無 經由證書 /PKI 認證 True 選中該選項, 並點選 < 管理證書 > 選擇信任的根證書 RadiusRealm : 新增 用於驗證 Radius 域的使用者 選擇 MyRadius 作爲 authentication/authorization/policies server 設置項 值 說明 供認證 / 規定使用 RadiusUsers 類型 :Radius 經由證書 /PKI 認證 False 不選中該選項 角色 點單擊 < 添加 / 修改映射規則 >, 可以增加 / 修改映射規則. ACERealm: 新增 用于驗證遠端使用者 第 20 頁

25 第 3 章系統設置 設置項值說明 供認證 / 規定使用 ACEUsers 類型 :ACE 經由證書 /PKI 認證 False 不選中該選項 3. 將 Users/Groups 按安全需求加入到相應的安全域中 User1/Group1: 加入 LocalAdmin 使用使用者名稱/ 密碼在 LocalServer 上認證身份 User2: 加入 PKIRealm, 沒有使用者名稱 / 密碼, 但持有某 CA 簽發的證書 通過證書中 CN 或其他屬性驗證使用者身份 驗證通過後, 從證書中獲取該使用者的屬性, 進行應用授權 User3: 加入 RadiusRealm, 在 Radius 伺服器上驗證使用者名稱 / 密碼, 驗證通過後, 從 Radius 伺服器上獲取該使用者的屬性, 進行應用授權 User4: 加入 ACERealm, 使用使用者名稱 /passcode(pin+token code) 在 ACE 伺服器上驗證身份 例二 : 背景某企業爲中小型企業 使用者類型包括 : 局域網使用者 遠端存取使用者 其中 : User1: 遠端存取使用者, 安全需求一般 在 LocalSever 中有使用者名稱 / 密碼 企業的合作夥伴或代理商可使用這種使用者身份連入企業的內部網 User2:Windows NT 域使用者 安全需求較高, 在 Windows NT 伺服器上有使用者名稱 / 密碼 需要 Windows NT 域使用者名稱進行身份認證 Group1: 成員包括 User1 群組的設置可參考使用者的設置 身份驗證設置 1. 預置以下幾個伺服器 LocalUsers: 預設 不需增刪也不能更改 類型爲本地 ; NTUsers: 類型爲 Windows NT 2. 預置以下幾個安全域 LocalAdmin: 預設 不需增刪也不能更改 NTRealm: 新增 需要驗證 NT domain 的使用者名稱 / 密碼 設置項 值 說明 供認證 / 規定使用 NTUsers 類型 :Windows NT 經由證書 /PKI 認證 True 選中該選項, 並點選 < 管理證書 > 選擇信任的根證書 3. 將 Users/Groups 按安全需求加入到相應的安全域中 User1/Group1: 加入 LocalAdmin 使用使用者名稱/ 密碼在 LocalServer 上認證身份 驗證通過後, 進行應用授權 User2: 加入 NTRealm, 通過企業的 Windows NT 伺服器驗證使用者身份 驗證通過後, 進行應用授權 步驟 : 1 在系統主介面中 ( 如圖 16) 的 安全管理 " 下, 點選認證控制 第 21 頁

26 第 3 章系統設置 圖 19 圖 20 2 在圖 19 所示介面上點選 < 增加 >, 可以增加新的安全域 選中列表中某個安全域, 點選 < 編輯 >, 可以修改該安全域的屬性 3 如圖 20, 輸入或修改安全域的名稱 如果需要對該安全域進行描述, 請在描述欄內 第 22 頁

27 第 3 章系統設置 輸入說明性文字 4 在 伺服器 " 欄指明需要在哪個伺服器上進行使用者身份驗證 如果需要增加列表中沒有的伺服器, 請點選圖 19 中的 < 增加 / 編輯伺服器 >, 進入下圖 21 所示介面 圖 21 5 點選 < 增加 >, 進入圖 22 所示介面 從 伺服器類型 " 列表中選擇類型, 選擇不同的 類型後, 會出現不同的介面, 填入相應的資料 各輸入項的填寫說明請參見下表 第 23 頁

28 第 3 章系統設置 圖 22 伺服器 Type 輸入項說明 Window AD/LDAP (Window AD/NTLM) Local 名稱 輸入伺服器名稱 描述輸入對該伺服器的描述 ( 可選 ) 功能變數名稱 AD 位址 管理員名稱 / 管理員密碼 連接 ( 僅 Window AD/LDAP 類 型 ) 名稱 解密 LDAPS 輸入對應的 DNS 名稱 輸入該域服務器的 IP 位址或 DNS 名稱 (Window AD/LDAP 類型中如果下面的 Connections 選項爲 LDAPS 時, 必須輸 入 DNS 名稱 ) 輸入登錄該域的管理員使用者名稱 密碼 連接過程不加密 驗證伺服器端證書 : 選中該選項後, 連接 不但被加密, 還需要驗證伺服器提供的證 書 輸入根 CA: 導入簽發 Certificate 的 Root CA 輸入伺服器名稱 描述輸入對該伺服器的描述 ( 可選 ) 使用者 在該伺服器中增加使用者 第 24 頁

29 第 3 章系統設置 Radius ACE/Server 群組 在該伺服器中增加群組 名稱 輸入伺服器名稱 描述 輸入對該伺服器的描述 ( 可選 ) Radius 伺服器 輸入 Radius 伺服器的 IP 位址 Radius 埠 輸入 Radius 伺服器的埠 Shared Key 輸入 Shared Key 名稱 輸入伺服器名稱 描述 輸入對該伺服器的描述 ( 可選 ) 導入至 導入.REC 文件後, 系統自動記錄幷回顯 導入的時間 導入新的配置文件 將相應的.REC 文件導入 該文件由 ACE 伺服器分配 删除節點 Secret 用於和 ACE/Server 端的同步 如果在某一端删除了節點 Secret, 必須在另一端也相應删除 說明 : Windows AD/LDAP 伺服器與 Windows AD/NTLM 伺服器比較 前者有三條限制 : 1. Windows AD/LDAP 方式下, Windows 活動目錄 名稱 欄內填入的名稱必須與 下一欄所指定 IP 的伺服器中存在的 AD 名稱一致 2. Windows AD/LDAP 方式下, 僅能搜索出 1000 條以下的 遠端管理員 " 記錄 ( 有 關搜索遠端管理員記錄的內容請參考 設置本地 (/ 遠端 ) 管理員 ") 3. Windows AD/LDAP 方式下, 在對應的 Windows 活動目錄名稱中增加的組可能 需要 20 分鐘後才能生效 增加的組包括 新增的新組 " 和 刪除後增加的同名 稱組 " 該組中的使用者如果無法登錄 UU100, 請稍候再試 Local server Local 是預設的伺服器類型 如果選擇本地類型的伺服器, 則表示選擇在 UU100 中 單獨建立一個使用者認證檔案 這個檔案是經過加密保護的 換言之, 使用者應使 用本系統定義的帳戶和密碼連入 該伺服器中有預設的使用者名稱 / 密碼 : admin/admin 預設的用戶 admin 伺服器和安全域不能被刪除 這樣可以保證至 少有一位具有 唯讀 / 更改 " 許可權的用戶存在 當選擇該認證類型時, 每台 UU100 可管理 1000 個使用者帳號或組 6 如果需要驗證 Client 端使用者提供的證書, 請勾選 經由 Certificate/PKI 認證 " 否則, 直接跳轉至下一步 ( 步驟 7) 點選 < 管理證書 >, 可以選擇已有的證書 如果要增加新的證書, 請在圖 19 所示介 面中點選 < 增加 / 編輯根證書 > 在介面中點選 < 增加 >, 在下圖所示介面中輸入相應的 證書資訊 Certificate Restrictions" 欄用于輸入證書的限制規則, 其語法結構爲 : [ 系統變數名稱 ].[ 屬性名稱 ]+[ 操作符 ]+[ 屬性值 ]( 或另一 [ 系統變數名稱 ].[ 屬性名 稱 ]) 舉例 : 第 25 頁

30 第 3 章系統設置 1Certattr.CN = Zhang san 含義爲 : 證書中 CN 必須爲 Zhang san 2Certattr.CN =User.name 含義爲 : 證書中 CN 必須和登錄時所用的使用者名稱一 致 說明 : istar 定義了三類系統變數 :User 類 Userattr 類 Certattr 類 其中, User 類包括 name groupname 屬性 User.name 表示登錄時所用的使用者名稱, User.groupname 表示該使用者名稱所屬的群組 Userattr 類包括 :Service-Type Framed-IP-Address Framed-IP-Netmask 等用戶屬性 Certattr 類包括 :C,CN,L,O,OU, 等證書的屬性 操作符是 sql 的操作符, 如 =,!=,>,<,like,in 等 7 如果認證伺服器指定的是 Radius 類型的伺服器, 則還需要爲角色設置相應的規則 否則, 點單擊 < 確認 > 保存設置 在圖 20 所示介面中點單擊 < 增加 / 編輯映射規則 >, 進入所示圖 23 介面 如果要增加 / 修改角色, 請在圖 19 中點單擊 < 增加 / 編輯角色 > 圖 23 8 點單擊圖 23 介面上的 < 增加 >, 進入圖 24 所示介面增加新的規則 增加規則的內容包括 : 根據 Radius 伺服器中的使用者屬性, 設置過濾條件, 篩選 出所有的符合條件的使用者, 然後將這些使用者歸入某一角色中 這樣, 當對某個 角色進行授權或其他操作時, 實際上是對所有符合規則中過濾條件的使用者同時進 行操作 其語法結構爲 : [ 系統變數名稱 ].[ 屬性名稱 ]+[ 操作符 ]+[ 屬性值 ]( 或另一 [ 系統變數名稱 ].[ 屬性名 稱 ]) 舉例 : 第 26 頁

31 第 3 章系統設置 1 圖 24 中的規則含義爲 :Radius 伺服器中所有属性 service-type 取值爲 framed-user 的使用者都屬於角色 admin 2Certattr.CN =User.name 含義爲 : 證書中 CN 必須和登錄時所用的使用者名稱一致 說明 : istar 定義了三類系統變數 :User 類 Userattr 類 Certattr 類 其中, User 類包括 name groupname 屬性 User.name 表示登錄時所用的使用者名稱, User.groupname 表示該使用者名稱所屬的群組 Userattr 類包括 :Service-Type Framed-IP-Address Framed-IP-Netmask 等用戶屬性 Certattr 類包括 :C,CN,L,O,OU, 等證書的屬性 操作符是 sql 的操作符, 如 =,!=,>,<,like,in 等 圖 設置加密演算法 在系統主介面中 ( 圖 16) 的 安全管理 " 下, 按下加密管理, 會出現如圖 25 的窗口 ; 用來選擇對資料的加密演算法和哈希演算法, 以確保資料傳輸的安全 第 27 頁

32 第 3 章系統設置 圖 25 右邊 已選定 列表內的是當前被啟動且使用中的加密和哈希演算法 ; 如果使用者想要停止其中任何一種或多種的加密和哈希演算法, 可以使用, 將其移至左邊的 可選擇 列表內 ; 反之可以使用, 將其再加回到右邊的 已選定 " 列表內 在 已選定 " 列表右側的 < 上移 > 以及 < 下移 >, 用於調整各種加密和哈希演算法的協商優先等級 ; 在上端的優先等級較高, 在下端的優先等級較低, 使用者可以根據實際狀况自行調整 設置本地 (/ 遠端 ) 管理員 在系統主介面中 ( 如圖 16) 的 安全管理 " 之下, 按下本地管理會出現如圖 26 的窗口 ; 用以增加或移除本地系統管理員 按下遠端管理會出現如圖 27 的窗口 ; 用以增加或移除遠 端系統管理員 注意 : 在 本地管理 " 窗口中被加入的使用者能且僅能從本機登錄 UU100 系統管理介面 以 遠端管理 " 為例 : 1. 如圖 27 所示, 將遠端管理員所屬的安全域從 可選擇 " 列表框中移至 已選定 " 列 表框 ( 設置本地管理員時, 該步驟不需要 ) 如果選擇的是包含有角色角色資訊的 第 28 頁

33 第 3 章系統設置 Radius 或 PKI 類型的安全域, 會顯示圖 28 所示的操作介面 2. 設置該管理員對 UU100 的訪問策略, 系統預設的是 拒絕 ", 意即所有的管理員都不能訪問 3. 在 用戶列表 " 中指定排除在訪問策略之外的方式 在其下的 用戶列表 " 列表中勾選使用者 (/ 組 / 角色 ) 方式, 並按 < 增加 > 將其加入下方的 除了以下列出的 " 目錄中 ; 重復在 用戶列表 " 中勾選, 並按 < 增加 >, 可以繼續加入多個使用者 (/ 組 / 角色 ) 通過這一步驟結合設置訪問策略步驟相結合, 管理員可以靈活的設置訪問許可權, 即 : 僅允許某一些管理員訪問, 或者允許除某一些管理員外的所有管理員訪問 4. 如果在圖 27 的視窗中的空白欄輸入要搜索的字串幷點選 < 搜索 / 開始 >, 介面上將返回模糊查詢後的結果 圖中顯示了對 test" 搜索的結果 ( 是否有搜索功能與伺服器的類型有關 ) 5. 在 訪問類型 中設置該管理員的權限 各種許可權的含義分別爲 : 唯讀 : 表示該使用者對系統管理介面有 唯讀 " 許可權 更改 : 表示該使用者對系統管理介面有 唯讀 " 修改 " 和 使更改生效 " 的許可權 6. 以上步驟完成後, 保存設置結果, 幷返回到圖 16 系統主介面中, 點單擊本地管理, 增加與遠端管理員相同的本地管理員帳號 ( 設置本地管理員時, 該步驟不需要 ) 圖 26 第 29 頁

34 第 3 章系統設置 圖 27 圖 28 第 30 頁

35 第 3 章系統設置 説明 : 通過 IE 瀏覽器, 遠端系統管理員可以在任何一台聯機到網際網路的電腦上輸入 : 或 uuexchange 的 DNS 名稱 /IP 位址 ]/[uu100 名稱 ]/rm"(private Access 模式 ) 或 的 IP 位址 ]/rm"(direct Access 模式 ), 該台電腦會顯示以下的視窗 圖 29 在圖 29 所示介面中輸入身份認證所需要素, 點單擊 < 確定 > 之後, 出現如圖 30 視窗, 遠端系統管理員啓動 Admin 圖示, 輸入對應的本地管理員帳號和密碼, 便可以對 UU100 進行遠端管理 說明 : 如果身份認證在 LocalRealm 上進行, 則僅需要輸入 LocalRealm 中的使用者名稱及密碼 如果認證需要核實 Certificate/PKI, 則需要勾選 高級 ", 並在 證書 " 欄選擇證書 如果認證在 ACE 伺服器上進行, 則請輸入 ACE 伺服器上的使用者名稱及密碼, 並在密碼後接著輸入 Token code ( 當 Token 的顯示幕顯示的六格短橫杠僅剩一格時, 說明該 token code 即將失效, 此時請等待 ACE 伺服器分配下一個 code, 並輸入這個新的 code 如果認證在其他類型的安全域中進行, 則需要輸入相應認證伺服器中的使用者名稱及密碼 第 31 頁

36 第 3 章系統設置 圖 30 在圖 29 所示介面中, 勾選 Session 清理 " 將會將電腦中的各種與該使用者相關的暫存檔案 cookies 等資訊刪除 點單擊 < 配置 > 可以指定要清理的專案 系統將在 Session 結束後立即清空, 並且不能撤銷, 請謹慎操作 說明 使用者使用共用電腦 ( 如網吧電腦 ) 連入 UU100 時, 可以考慮此功能, 以保護個人資訊安 全 設置項說明位置 Internet 瀏覽緩存 Internet 瀏覽歷史 記錄 清除 Cache 中該用戶的所有臨時的 Internet 文件 清除 IE 中所有的瀏覽頁面的歷史記錄 [ 系統盤符 ]:\Documents and Settings\[username]\Temporar y Internet Files Internet Cookies 清除 IE 中的所有 Cookies [ 系統盤符 ]:\Documents and 鍵入的 URL 自動填充表格 自動填充密碼 清除 IE 位址欄裏的所有的 URL 記錄 清除 IE 上所有表單中自動填充部分的 內容 清除所有自動填充的密碼 Settings\[username]\Cookies Internet 收藏清除該用戶在 IE 收藏夾裏的所有內容 [ 系統盤符 ]:\Documents and 暫存檔案 清除所有的暫存檔案 Settings\[username]\Favorites 第 32 頁

37 第 3 章系統設置 Telnet 歷史記錄 清除該用戶在本機上所有的 Telnet 記錄 垃圾箱 清空系統盤符下的垃圾箱 運行歷史記錄 清除 Windows 開始 -> 程式 " 功能表中的最近運行程式的記錄列表 [ 系統盤符 ]:\Documents and Settings\[username]\Start Menu\Programs 最近的文檔 開始 -> 文檔 " 功能表中的最近打開文檔的記錄列表 [ 系統盤符 ]:\Documents and Settings\[username]\Recent 最後登錄用戶 清除上一次登錄的使用者名稱 查找文件歷史記錄 清除上一次查找文件的搜索結果 查找電腦歷史記錄 清除上一次查找電腦的搜索結果 網路歷史記錄 清除 網路芳鄰 " 中所有的映射目錄 [ 系統盤符 ]:\Documents and Settings\[username]\NetHood 3.4 系統參數管理 UU100 爲系統管理員提供以下系統管理功能 : 輸入和輸出系統配置, 察看日志以及日志 和報警等級的設定等 輸入 (/ 輸出 ) 系統配置 在圖 16 的視窗中, 選擇在 安全管理 " 之下的输入配置, 會顯示如圖 31 所示的視窗, 將原來保存好的配置檔案輸入到系統中 圖 31 按 < 瀏覽 >, 選擇你原先輸出的系統配置檔案 ( 參見本節 輸出配置 的內容 ), 然後按 下面的 < 輸入 >, 系統會提示下列資訊 ( 圖 32), 第 33 頁

38 第 3 章系統設置 圖 32 按 < 確認 > 鍵, 配置輸入完成 在圖 16 的視窗中, 選擇在 系統管理 " 下的輸出配置, 會顯示如圖 33 所示的視窗, 可以將配置檔案輸出到一個指定的檔案路徑, 以複製檔案的形式保存起來 您可以選擇輸出基本配置, 輸出有關服務器資訊的配置, 或是輸出整個系統配置 圖 33 初次進入這個介面, 會顯示如圖 34 所示的安裝 ActiveX 的提示介面 您必須按 < 是 >, 才能繼續完成輸出配置檔案 ( 這是一個資料下載的控制項, 不會對您的系統造成影響 ) 第 34 頁

39 第 3 章系統設置 圖 管理許可證 許可證用來控制可以連接到 UU100 的最大同時上線人數 UU100 出廠時預設一個允許 10 個併發使用者的許可證 我們額外提供允許 25 個同時上線人數和 50 個同時上綫人數的許可證, 如果需要可以向我們購買這兩種額外的許可證 如果您已購買額外的許可證, 可以通過以下步驟昇版許可證 : 1. 點選 安全管理 " 下的管理許可證, 進入下圖所示介面 ( 圖 35) 圖 點選 < 上傳 >, 在圖 36 所示介面中點選 < 瀏覽 >, 選擇要替換的證書的完整路徑和 檔案名稱, 點選 < 確認 > 第 35 頁

40 第 3 章系統設置 圖 最後按 < 生效 >, 使當前的設置生效 升版系統 您可以在本機或者通過遠端按照以下操作步驟升版系統版本 : 1. 點選 安全管理 " 下的升版系統, 進入圖 37 所示介面 圖 點選 < 瀏覽 >, 選擇新版本的安裝程式的完整路徑和檔案名稱, 點選 < 更新 > 系統將自動完成版本升版 第 36 頁

41 第 3 章系統設置 故障檢修 我們為您提供了三種常用的網路檢測工具 :ping( 檢測遠端主機或本地主機的連通性 ), traceroute( 檢測從本地主機到遠端主機的路由 ),netstat( 顯示網路連接 路由表和網路介面資訊 ) 您可以方便得在 UU100 的管理介面下使用這三種標準的檢測工具, 監視和分析現有網路狀態, 檢測網路連接性 ( 圖 38) 圖 顯示狀態 點選 安全管理 " 下的顯示狀態, 可進入圖 39 所示介面察看系統當前的狀態, 包括 : UUID 運行狀態 路由表 當前版本等資訊 第 37 頁

42 第 3 章系統設置 圖 查看系統性能 在圖 16 的視窗中, 選擇在 安全管理 " 之下的查看系統性能, 可以查看連入 UU100 的連接數 (Remote-desktops) 或者使用者訂閱應用時 UU100 所使用的 data tunnels 如圖 40 中所示, 座標圖中的橫軸爲時間點, 縱軸爲數量 紅色曲綫代表 Remote-desktops 的數量, 綠色曲綫代表 Remote-data tunnels 的數量 如果近期 Remote-desktops 的數量持續逼近 Licence 數值, 則說明該 UU100 的使用者數量已趨近最大值, 此時應該考慮購買更多許可證以滿足日漸增長的需求 點單擊 < 顯示 >, 靜態顯示選定時間段的統計資訊 ; 點單擊 < 現今 >, 動態顯示即時的統計資訊 ; 第 38 頁

43 第 3 章系統設置 圖 日誌等級的設定 在圖 16 的視窗中, 選擇在 安全管理 " 之下的日志控制, 會顯示如圖 41 所示的視窗, 系統管理員可以進行系統日志的設置 圖 41 其中, 日志類型 是指定日誌保存的地方 有 本地 " 和 遠端 " 兩種 : 本地 " 是指 將 UU100 的日誌保存在本機上, 而 遠端 " 可以將 UU100 的日志保存在遠端的 syslog 日誌 伺服器上 日志等級 " 是指顯示和保存的日誌詳細程度, 總共有 0~6 級, 等級越高, 日誌越詳細, 第 39 頁

44 第 3 章系統設置 系統管理員可以根據實際需要來設定 以下是每一級別所代表的含義 : 級別含義 0 No log( 不作日志 ) 1 any condition that demand immediate attention( 應該立即被糾正的情況 ) 2 critical conditions like hardware problems( 嚴重情況 ) 3 any errors( 一般性錯誤 ) 4 any warnings( 警告 ) 5 conditions that may require attention( 要注意的消息 ) 6 informational messages( 資訊消息 ) 勾選選中 收集調試資訊 核取方塊後, 系統會將 debug 資訊寫入 Log 文件 查看日誌 在圖 16 的視窗中, 選擇在 安全管理 " 之下的顯示日志, 會顯示如圖 42 所示的視窗 系統管理員可以自行選擇查看特定時間段間的系統日志 ; 系統管理員還可以自行選擇查看由 Level 0 到 Level 6 不同等級的日誌情況, 越高的等級表示日志的記錄越爲詳細 等級 0~ 6 的含義請參見 日誌等級的設定 " 系統管理員可以選擇保存日志, 以便日後使用 在設定了要查看的日志時間範圍以及等級之後, 按下 < 顯示 >, 可以顯示在設定條件下的全部日誌 ; 按 < 保存顯示日志 >, 則可以將螢幕上顯示的日誌保存到指定檔案路徑 ; 如果在設定日志等級時已勾選了 收集調試資訊 " 核取方塊, 按下 < 全部保存 >, 則保存的 Log 文件中不僅包括螢幕上顯示的日志而且包含系統的 debug 資訊 注意 : 1. UU100 日誌中所紀錄的日期及時間, 是根據 UU100 伺服器作業系統的設置日期及時間進行紀錄 ; 您必需確定 Windows 伺服器的日期及時間設置正確, 才能獲得正確的日誌紀錄 2. 日誌資訊 [ ] 符號外部的內容, 爲出錯提示, 供使用者參考 [] 內部的內容, 爲系統內部資訊, 供開放人員跟踪 使用者可以不予理會, 如有需要, 亦可將其告知我公司技術支援人員 第 40 頁

45 第 3 章系統設置 圖 告警等級的設定 在圖 16 的視窗中, 選擇在 安全管理 " 之下的告警設置, 會顯示如圖 43 所示的視窗 告警等級 是指發出警告資訊的日志級別, 例如, 設定告警等級爲 5, 則表示如果有 5 級及以下的日志産生的話, 就以警告的形式通知系統管理員 系統管理員可以設置報警等級, 幷發往指定的電子郵件地址 圖 43 第 41 頁

46 第 3 章系統設置 系統時間及 LOGO 設置 在圖 16 的視窗中, 選擇在 安全管理 " 之下的系統管理, 您可以修改 UU100 的系統時間 ( 圖 44), 或是修改顯示在左上角的 LOGO 文件 ( 圖 45), 您可以使用您公司的 LOGO 替換 它, 但必須是 gif 文件格式,Size 小於 5KB 圖 44 圖 進階 選擇網路模式 如圖 46 所示,UU100 只支援 單模式, 這種模式允許 UU100 被安裝于內部網路中的 第 42 頁

47 第 3 章系統設置 任意位置的一種模式, 其特點是無需改變原網路中任何設備的配置, 隨意 隨時插到企業任 何可上廣域網的網路上就可工作, 非常簡單 便捷 説明 : 選擇 預設出廠 ( 重設 )" 模式, 可以將已有的配置清除掉, 幷將 UU100 恢復到出廠設 置 圖 46 第 43 頁

48 第 4 章發佈應用 第 4 章發佈應用 每個 UU100 能發佈不超過 100 個應用 每個應用允許設置總數不超過 100 個的接入規則, 其中包括 : 需要接入的機器 需要接入的使用者或者需要接入的埠 在發布應用程式設置視窗介面中 ( 如圖 47), 按下 < 增加 >; 您會看到一些預設的應用程式選擇專案 ( 如圖 48), 它們計有 :Internet Explorer,CVS, Outlook, Telnet, Ftp, Netmeeting, pcanywhere 等等常用的應用程式 ; 此外還有一個 Custom" 選擇專案, 當您要發佈的應用程式不存在於預設的應用程式選擇專案之中, 您便可以使用 Custom" 來設置該應用程式的發佈 另外, 由 UUDynamics 所提供的遠端檔案瀏覽程式 UUDynamics File Browser" 和 UUDynamics File Browser Express" 也在選擇專案中 有關 UUDynamics File Browser" 和 UUDynamics File Browser Express" 的相關配置及使用方法, 詳見本使用手冊的附錄部分 " 有關 istar 支援的客戶 / 伺服器應用及其所受限制, 請參考本使用手册的附錄部分 " 4.1 從預設應用程式列表中增加應用程式 以發佈 Internet Explorer" 爲例 : 1. 如圖 47, 按下 < 增加 >, 進入圖 48 的窗口 ; 2. 選擇 Internet Explorer", 按 < 確認 >, 進入圖 49 的窗口 ; 3. 在 名稱 :" 欄中, 您可以輸入您爲這個 Internet Explorer 應用所取的名稱 ; 4. 勾選 啓用加密 " 會啓動系統設定的加密演算法 ; 5. 勾選 啓用 Hash" 會啓動系統設定的 Hash 演算法 ; 6. 勾選 啓用壓縮 " 會啓動系統設定的壓縮演算法 ; 7. 如果 Internet Explorer 應用所對應的伺服器和 UU100 是同一台伺服器, 則可以 勾選 本端伺服器站點 ", 出現如圖 50 所示的介面 ; 此時不需要爲 Internet Explorer 應用特別填寫 IP 位址 ; 如果 Internet Explorer 應用所對應的伺服器和 UU100 不是同一台伺服器, 就不 能勾選 本端伺服器站點 ", 而必需在 IP 位址 :" 欄中輸入該應用所對應的 伺服器 IP 位址 ; 如果您的 Internet Explorer 應用所對應的伺服器具備 DNS 名 稱, 也可以在 域名 :" 欄中輸入這個 Internet Explorer 應用所對應的伺服器 DNS 名稱 ; 而按 <-DNS 查找 ->" 鍵可以自動將伺服器的 DNS 名稱轉換爲 IP 位址, 或是將伺服器的 IP 位址轉換爲 DNS 名稱 8. 勾選 啓動公共站點訪問 " 表示遠端使用者不僅可以通過 IE 訪問上述指定 IP 位址的 Web 應用, 而且還可以訪問該地址以外的站點頁面 這對于使用了外部 鏈結的 Web 應用尤其適用, 如果沒有勾選這個選項, 則所有超鏈結都無法使用 9. 在 該應用在用戶端機器上的默認路徑 :" 欄中所顯示的, 是指遠端使用者在 使用這個應用程式時 ( 此處是 Internet Explorer), 遠端使用者電腦中的客戶端 應用軟體路徑的預設位置 ; 因爲本例中的應用爲 Internet Explorer, 所以客戶 端軟體爲 IE 瀏覽器, 預設路徑爲 %ProgramFiles%\Internet Explorer\iexplorer.exe"; 10. 在 用戶端機器運行該應用時所需的參數 :" 欄中所顯示的, 是指遠端使用者 在使用這個應用程式時, 遠端使用者電腦中的客戶端應用軟體預設的運行參 第 44 頁

49 第 4 章發佈應用 數 ; 在本例中運行的是 Internet Explorer, 參數的設置即是您允許遠端使用者訪問的 URL 11. 點選 < 規定 >, 進入圖 51 所示的窗口 輸入您爲這個策略所取的名稱 ; 目前 UU100 僅能提供驗證證書這一發佈策略, 更多策略方案將陸續提供 12. 點選 < 使用者 >, 根據需要增加使用者 (/ 組 / 角色 ) 進入圖 52 所示的窗口 ; 將使用者所屬的安全域從 可選擇 " 列表框中移至 已選定 " 列表框 如果選擇的是包含有角色角色資訊的 Radius 或 PKI 類型的安全域, 會顯示圖 53 所示的操作介面 13. 設置該應用的訂閱策略, 系統預設的是 拒絕 ", 意即所有的使用者都不能訂閱該應用 14. 在 用戶列表 " 中指定排除在訂閱策略之外方式 在其下的 用戶列表 " 列表中勾選使用者 (/ 組 / 角色 ), 並按 < 增加 > 將其加入下方的 除了以下列出的 " 目錄中 ; 重復在 用戶列表 " 中勾選, 並按 < 增加 >, 可以繼續加入多個使用者 (/ 組 / 角色 ) 通過這一步驟結合設置訂閱策略步驟相結合, 管理員可以靈活的設置應用的使用範圍, 即 : 僅允許某一些使用者訂閱所發佈應用, 或者允許除某一些使用者外的所有使用者訂閱 15. 按下 < 返回 > 返回圖 49 的窗口 ; 16. 按下 < 埠範圍 >, 進入圖 54 的窗口 ; 17. 本例爲 Internet Explorer 應用, 因此系統預設的埠範圍爲 80 您可以按 < 增加 > 增加新的埠範圍 ( 如圖 55), 使用 < 編輯 > 鍵對既有的埠範圍進行編輯, 或使用 < 移除 > 移除既有的埠範圍 ; 18. 按下 < 返回 > 返回圖 49 的窗口 ; 19. 按下 < 確認 > 完成對發佈 Internet Explorer 的設置對於其他預設應用程式選擇專案內已有的應用程式發佈方法, 都和以上發佈 Internet Explorer 應用的程式的方法類似, 您可以參照以上方法發布其他各種應用程式 第 45 頁

50 第 4 章發佈應用 圖 47 第 46 頁

51 第 4 章發佈應用 圖 48 第 47 頁

52 第 4 章發佈應用 圖 49 第 48 頁

53 第 4 章發佈應用 名称 啓用加密 圖 50 參數 / 控鍵含義備註 啓用 Hash 指共用應用程式的 名稱 表示該共用的應用 程式通過 Encrypt 演算法 啓用壓縮系統將對資料包進 Encrypt 演算法 : 是指對傳輸資料進行加密的 策略, 通常標準的演算法有 :AES 3DES DES 等 istar 系列產品采用的就是以上 這三種演算法, 幷可以任意選擇 NULL 表 示不加密, 用明文傳輸 Hash 演算法 : 表示該共用的應用程式通過演 算法 Hash 演算法是指把資訊進行混雜, 使 得它不可能恢復原狀的策略 這種形式的加 密將産生一個 HASH 值, 這個值帶有某種資 訊, 幷且具有一個長度固定的表示形式 istar 系列產品采用的是 MD5 SHA1 這 兩種 hash 演算法, 可以任意選擇 第 49 頁

54 第 4 章發佈應用 行壓縮 IP 位址 指該應用所在的伺 服器的 IP 地址 DNS 查找 表 示 可 將 IP Address 轉換成 DNS 名稱 該應用在用戶端機器上的默認路徑 指共用的應用程式指在使用者端電腦 上的預設路徑 用戶端機器運行該 指共用的應用程式 應用時所需的參數 在使用者端上運行 的參數 規定 進入設定允許存取 該共用應用程式的 策略介面 使用者 進入設定允許 (/ 禁 止 ) 存取該共用應用 程式的使用者介面 埠範圍 進入設定開放的埠 介面 雖然系統裏發佈的是指定伺服器上的相關應用, 但是在使用者端電腦上一定要安裝有該應用 如果增加的是 Custom Roaming application" 應用, 則不需要指定埠範圍 圖 51 第 50 頁

55 第 4 章發佈應用 圖 52 第 51 頁

56 第 4 章發佈應用 圖 53 圖 54 圖 定制預設應用程式列表以外的應用程式 您可以增加 Custom" 類應用以定制自己的服務 目前 UU100 中提供兩種 Custom" 應用 : Custom Multi-station application: 允許訪問一台或多台相同伺服器的應用程式 遠端使用者可以通過此應用服務訪問多台機器中的一台, 且訪問的埠號是統一的 例如, 需要訪問多個 Web 伺服器的 Internet Explorer, 就是這樣的應用 Custom Roaming application: 需要訪問一台或多台不同伺服器的應用程式 遠端使用者可以通過此應用服務訪問多台機器, 可以指定每台被訪問的機器的埠號 例如, 需要訪問多個伺服器的 ERP 軟體, 需要同時訪問資料庫伺服器 應用伺服器等, 這時便可使用這一應用 第 52 頁

57 第 4 章發佈應用 Custom Network drive based C/S: 該應用支援遠端 Client 端使用者訪問 UU100 所在 內部網的共用資源 (Client 端運行的應用程式已將此共用資源映射爲指定的網路映射盤 ) 例 如 : 現有一個 MIS 系統, 已將 Database 的完整路徑映射到網路映射盤 N:", 幷且管理 員在 UU100 中將該 Database 發佈 這樣, 多個 Client 端使用者便可同時對該 Database 進 行操作 例一 : 以發佈 Custom Multi-station application" 爲例 : 1. 如圖 47, 按下 < 增加 >, 進入圖 48 的窗口 ; 2. 選擇 Custom Multi-station application", 按 < 確認 >, 進入圖 56 的窗口 ; 3. 在 名稱 :" 欄中, 您可以輸入您爲這個 Custom 應用所取的名稱 ; 4. 勾選 啓用加密 " 會啓動系統設定的加密演算法 ;( 詳見本手冊 4.1 的表格中的 說明 ) 5. 勾選 啓用 Hash" 會啓動系統設定的 Hash 演算法 ;( 詳見本手冊 4.1 的表格中 的說明 ) 6. 勾選 啓用壓縮 " 會啓動系統設定的壓縮演算法 ; 7. 在 該應用在用戶端機器上的默認路徑 " 欄中所顯示的, 是指遠端使用者在使 用這個應用程式時, 遠端使用者電腦中的客戶端應用軟體路徑的預設位置 ; 8. 在 用戶端機器運行該應用時所需的參數 " 欄中所顯示的, 是指遠端使用者在 使用這個應用程式時, 遠端使用者電腦中的客戶端應用軟體預設的運行參數 ; 9. 點選 < 規定 >, 進入圖 51 所示的窗口 輸入您爲這個策略所取的名稱 ; 目前 UU100 僅能提供驗證證書這一發佈策略, 更多策略方案將陸續提供 10. 點選 < 使用者 >, 根據需要增加使用者 (/ 組 / 角色 ) 進入圖 52 所示的窗口 ; 將使用者所屬的安全域從 Available 列表框中移至 已選定 列表框 如果選擇的 是包含有角色角色資訊的 Radius 或 PKI 類型的安全域, 會顯示圖 53 所示的 操作介面 11. 設置該應用的訂閱策略, 系統預設的是 拒絕 ", 意即所有的使用者都不能訂 閱該應用 12. 在 用戶列表 " 中指定排除在訂閱策略之外方式 在其下的 用戶列表 " 列表 中勾選使用者 (/ 組 / 角色 ), 並按 < 增加 > 將其加入下方的 已選定的用戶 " 目錄 中 ; 重復在 用戶列表 " 中勾選, 並按 < 增加 >, 可以繼續加入多個使用者 (/ 組 / 角色 ) 通過這一步驟結合設置訂閱策略步驟相結合, 管理員可以靈活的設置應用的使 用範圍, 即 : 僅允許某一些使用者訂閱所發佈應用, 或者允許除某一些使用者 外的所有使用者訂閱 13. 按下 < 返回 > 返回圖 56 的窗口 ; 14. 按下 < 電腦 >, 進入圖 57 的視窗, 選擇這個 Custom 應用所對應的伺服器 ( 組 ); 可以選擇 所有電腦 " 或 無電腦 ", 然後按下 < 增加 >, 進入圖 58 的 窗口 ; 15. 根據 Custom 應用所對應的伺服器 ( 組 ) 的實際情況, 勾選 單個電腦 ", 電 腦組 " 或者 域名 "; 如果是 單個電腦 ", 可以填寫伺服器的 IP 位址或是 DNS 名稱 ; 如果是 電腦組 " 可以填寫伺服器組的網路位址和子網路遮罩, 如圖 59; 如果是 域名 " 可以填寫伺服器 ( 組 )DNS 名稱, 如圖 60; 按下 < 確認 > 進行確認 ; 鍵返回圖 58 的窗口, 您將會在窗口中的 除了以下列出的 " 內看見被新加入的伺服器 ( 組 ) 的資訊 ; 按 < 返回 > 返回圖 56 的窗口 ; 第 53 頁

58 第 4 章發佈應用 16. 按下 < 埠範圍 >, 進入圖 62 的窗口 ; 如果增加的是 Custom Roaming application" 應用, 則不需要指定埠範圍 17. 按 < 增加 > 增加新的埠範圍, 填寫起始埠和終止埠 ; 18. 按下 < 返回 > 返回圖 56 的窗口 ; 19. 按下 < 確認 > 完成對發佈 Custom 應用的設置, 並點選 < 生效 > 使設置生效 圖 56 第 54 頁

59 第 4 章發佈應用 圖 57 圖 58 第 55 頁

60 第 4 章發佈應用 圖 59 圖 60 第 56 頁

61 第 4 章發佈應用 圖 61 圖 62 例二 : 以發佈 Custom Network drive based C/S" 爲例 : 1. 如圖 47, 按下 < 增加 >, 進入圖 48 的窗口 ; 2. 選擇 Custom Network drive based C/S", 按 < 確認 >, 進入圖 63 的窗口 ; 第 57 頁

62 第 4 章發佈應用 圖 在 名稱 :" 欄中, 輸入您爲這個應用所取的名稱 ; 4. 在 共用目錄 :" 欄中, 輸入您要作映射的 Folder 名稱, 並請確保輸入正確 ; 5. 勾選 啓用加密 " 會啓動系統設定的加密演算法 ;( 詳見本手冊 4.1 的表格中的 說明 ) 6. 勾選 啓用 Hash" 會啓動系統設定的 Hash 演算法 ;( 詳見本手冊 4.1 的表格中 的說明 ) 7. 勾選 啓用壓縮 " 會啓動系統設定的壓縮演算法 ; 8. 如果該應用要映射的盤符在本機, 則可以勾選 本端伺服器站點 ", 此時不需 要爲 Internet Explorer 應用特別填寫 IP 位址 ; 如果該應用要映射的盤符不在本 機, 就不能勾選 本端伺服器站點 ", 而必需在 IP 位址 :" 欄中輸入該盤符 所在的伺服器 IP 位址 ; 或在 Netbios 名稱 " 欄中輸入該盤符所在的伺服器的 Netbios 名稱 按鍵可以將伺服器的 IP 位址自動轉換爲 Netbios 名稱 ; 按 可以將伺服器的 Netbios 名稱自動轉換爲 IP 位址 9. 在 該應用在用戶端機器上的默認路徑 " 欄中所顯示的, 是指遠端使用者在使 用這個應用時, 遠端使用者電腦中的客戶端應用軟體路徑的預設位置 ; 第 58 頁

63 第 4 章發佈應用 10. 在 用戶端機器運行該應用時所需的參數 " 欄中所顯示的, 是指遠端使用者在使用這個應用時, 遠端使用者電腦中的客戶端應用軟體預設的運行參數 11. 點選 < 規定 >, 進入圖 51 所示的窗口 輸入您爲這個策略所取的名稱 ; 目前 UU100 僅能提供驗證證書這一發佈策略, 更多策略方案將陸續提供 12. 點選 < 使用者 >, 根據需要增加使用者 (/ 組 / 角色 ) 進入圖 52 所示的窗口 ; 將使用者所屬的安全域從 可選擇 " 列表框中移至 已選定 " 列表框 如果選擇的是包含有角色角色資訊的 Radius 或 PKI 類型的安全域, 會顯示圖 53 所示的操作介面 13. 設置該應用的訂閱策略, 系統預設的是 拒絕 ", 意即所有的使用者都不能訂閱該應用 14. 在 用戶列表 " 中指定排除在訂閱策略之外方式 在其下的 用戶列表 " 列表中勾選使用者 (/ 組 / 角色 ), 並按 < 增加 > 將其加入下方的 已選定的用戶 " 目錄中 ; 重復在 用戶列表 " 中勾選, 並按 < 增加 >, 可以繼續加入多個使用者 (/ 組 / 角色 ) 通過這一步驟結合設置訂閱策略步驟相結合, 管理員可以靈活的設置應用的使用範圍, 即 : 僅允許某一些使用者訂閱所發佈應用, 或者允許除某一些使用者外的所有使用者訂閱 15. 按下 < 返回 > 返回圖 63 的窗口 ; 16. 按下 < 確認 > 完成對發佈 Network drive based C/S 的設置, 並點選 < 生效 > 使設置生效 對于其他預設應用程式選擇專案內已有的應用程式發布方法, 都和以上發布的兩種應用的方法類似, 您可以參照以上方法發布其他各種應用程式 第 59 頁

64 第 5 章故障檢測和排除 第 5 章故障檢測和排除 (1) 完成基礎設置後, 結果連接或註冊 UUExchange 失敗, 爲什麽? a) 網路設置不正確, 請檢查路由 使用 ping 工具檢查是否能夠 ping 通 UUExchange b) 運行 Telnet uuswitch 443 檢查是否能夠連接到 UUSwitch/UUExchange 檢查 網路設置是否正確,UUExchange/UUSwitch 是否已經啓動 c) 如果連接成功, 註冊不成功, 檢查 UUID File 是否正確 ; d) 如果證書正確, 應確保 UUExchange/UUSwitch 上確有此 UUID, 沒有被 Disable 或删除, 也沒有被 Renew, UUID 也沒有過期 (2) 發布應用程式 發布子網或遠端管理時, 遠端使用者無法訂閱相關內容, 爲什麽? istar 處理的連接和加密針對的是通信雙方的應用通道, 而非雙方主機間的整個通 道 因此, 首先應確保所有應用在局域網裏能够正常使用, 以排除 Internet 連接等外 部因素引起的故障 有些應用的配置複雜, 部署時牽涉多項事件, 稍有差錯便無法運 行, 如 MS Outlook 等便是較典型的例子 此外還需檢查這些應用是否屬於 istar 支援的客戶 / 伺服器應用 ( 請參閱附錄 ) 如以上要求均已滿足, 而在遠端的使用者仍無法訂閱, 則請逐一排除以下可能原因 : a) 未選擇正確的認證方式 : 如果使用伺服器認證, 請先確保此域存在, 且可訪問 如果切換了認證方式, 所有應用中的使用者設置將刪除 此時, 應該爲每個應 用程式重新配置使用者 如果安全域 LocalAdmin 或其他認證伺服器中使用者有 改變, 也應檢查應用中的使用者設置是否正確 b) DNS 服務未能正確解析該 DNS 名稱 : 如果在電腦設置中, 使用 DNS 名稱配置, 請應確保 Publisher 的 DNS 能解析 該 DNS 名稱 如果配置的是域, 應確保能够反向解析 否則, 如果設置爲 除 了配置的機器, 其他的機器都不能訪問 " 時, 將會發生錯誤 (3) 訂閱不到已發佈的應用程式, 問題在哪? a) 訂閱者和發佈者是否都已連接上同一個 UUExchange, 並且均註冊成功 b) 使用者名稱, 密碼, 域是否填寫正確 (4) 選擇網路模式時應注意哪些問題? 根據 UUExchange 所在網路中的實際情况, 選擇正確的模式 ; a) 檢查網口是否插正確 b) 對於靜態 IP, 要設置正確, 否則網路將不通 c) 對於 DHCP, 應確保 DHCP 伺服器工作 (5) 登錄時, 系統將提示資訊 : 使用者 [username] 目前已登錄本系統 " 同時, 勾選 停止使用者 [username]" 時出錯 因爲您沒有許可權使該使用者失效 如果仍要登錄, 請聯繫系統管理員 (6) 不能訪問 UU100/UU200 如果您通過 Direct Access 或 Private Access 連接模式不能訪問 UU100/UU200, 原因 之一可能是 UU100/UU200 或 UUSwitch/UUExchange DNS 名稱解析失敗 請先確認 DNS 名稱解析服務能正確執行 以下幾種方式會影響 DNS 名稱解析服務 第 60 頁

65 第 5 章故障檢測和排除 1. DNS 伺服器指向非預期的地方 2. DNS 名稱被固化在 hosts" 文件中 在 Windows XP/2000 中, 該文件被保存在 \windows\system32\drivers\etc" 目錄下 3. IE 代理伺服器設置指向一個已有的 WEB 代理伺服器 ( 無論通過自動檢測還是通過直接分配 ), 該 WEB 代理伺服器可能會將名稱直接指向其他非預期的地方 4. 啓用了 DNS 客戶端服務, 幷且可能包含了一個舊的緩存的值 解決辦法 : 請檢測每種可能的情況並確保這些設置均正確 1. 確認 DNS 伺服器確實爲需要使用的伺服器 2. 確認您的 hosts" 文件沒有被修改, 而且設置正確 3. 確認您的代理伺服器已被正確指定 有時,IE 局域網設置 " 代理伺服器一項中的一些核取方塊會無意地被選中 4. 如果啓用了客戶端服務, 電腦中會在緩存中保存以前解析過的主機名稱 該項服務在本系統中作用不大, 反而可能會因爲緩存了舊的解析名稱而導致無法正確訪問 UU100/UU200 您可以臨時停用該服務以查看這些問題是否已被解決 (7) 無法通過 IE 下載客戶端軟體, 原因何在, 如何解决? 當使用者無法遠端下載客戶端軟體時, 請考慮以下兩種可能的原因 : a) 使用者許可權不足 ; 該使用者可能不具備下載或安裝 ActiveX 元件的許可權, 請聯繫管理員確認 b) 系統是否不支援 ActiveX 元件的下載 ; 和其他大多數 SSL VPN 産品一樣,UU100 用戶端機器對 IE 的安全設置有以下要求 : ActiveX 元件和插件 " 設置項對已標誌爲可安全執行腳本的 ActiveX 元件執行腳本下載已簽名的 ActiveX 元件運行 ActiveX 元件和插件 啓用 / 提示 啓用 / 提示 啓用 / 提示 設置值 否則 IE 將拒絕下載 UU100 的客戶端軟體, 使用者介面也不會顯示在螢幕上 您可以訪問網頁 ( 該網頁有一些 ActiveX 元件 ) 通過查看是否所有的圖片都能在該網頁正確顯示, 由此可驗證是否能排除這種可能 如果這些圖片確實不能在該網頁正確顯示, 請修改您機器上的安全設置 第 61 頁

66 第 6 章附錄 第 6 章附錄 6.1 UUDynamics File Browser Express/ File Browser 使用説明 UUDynamics File Browser Express " 和 UUDynamics File Browser " 是 UUDynamics 公司為客戶提供的兩種遠端檔案訪問服務機制 通過配置 istar 系統架構中 UU100/UU200/UU1000, 可以將檔伺服器上的共用檔案安全簡便的發布給遠端的使用者使用 只需簡單的配置, UUDynamics File Browser Express" 就可以將伺服器端的 Windows Share 顯示在用戶端, 通過命令按鈕的使用者介面提供上傳 下載 删除 更改名稱等操作功能 ; 而 UUDynamics File Browser" 則在伺服器端和 IIS/FTP 集成, 在用戶端和 Windows Explorer 集成, 能提供 Windows 平臺上標準的文件 drag/drop, copy/paste 等完整的文件管理功能, 爲了使用此功能, 使用者必須瞭解 IIS/FTP 的配置方法 使用者可以根據不同的情況, 選用 UUDynamics File Browser Express " 或 UUDynamics File Browser" UUDynamics File Browser Express NetBIOS 目錄共用是基於 NetBIOS 協定, 訪問某台伺服器上所有的共用檔案夾 ; 但由于它是基于局域網的設計, 所以在進行跨地域的遠端檔案訪問時, 如果從使用者端到遠端伺服器端的網路延遲超過 ms 時, 那 NetBIOS 目錄共用就無法工作 UUDynamics File Browser Express 目錄共用在網路的一邊使用 NetBIOS, 因此檔伺服器端無需任何修改就能在 UU100/UU200/UU1000 上發佈共用檔案 ; 而在網路的另一邊使用了 HTTP 傳輸機制, 使得跨地域傳輸檔案時, 既提供易用性又能够避免 NetBIOS 在遠端服務時網路延遲的問題, 在廣域網上提供非常好的訪問性能 UUDynamics File Browser Express 用 Internet Explorer, 檔伺服器端無需任何修改就能在 UU100/UU200/UU1000 上發佈共用檔夾 同時,UUDynamics File Browser Express 整合了許可權訪問機制, 保護檔案不被未經授權的使用者訪問 目前 UUDynamics File Browser Express 只支援單個的檔案上傳, 簡單的檔案管理 配置 UUDynamics File Browser Express 服務 : 1. 配置檔伺服器端 : 發佈 UUDynamics File Browser Express 服務, 實際上在檔伺服器端無需額外安裝配置, 只需要按照常規共用一個或多個檔夾, 為共用的檔案夾設置合適的訪問許可權 如果需要允許匿名訪問, 則需要開啟 Guest 使用者 對於 Linux 的 File Server, 需要將 Linux 機器配置成 SMB Server 或者 NFS Server( 只在 UU200 上支援 ) 第 62 頁

67 第 6 章附錄 注意 : 在發佈 UUDynamics File Browser Express 服務之前, 請先驗證共用的檔案夾的設置 您可以通過局域網訪問某台已共用檔夾的伺服器, 驗證是否能够正確訪問這個共用檔夾, 訪問許可權設置的是否正確 Windows 2000/XP/2003 的檔伺服器, 請檢查域或本地安全策略的設置, 以保證授權使用者可以訪問共用檔夾 如果訪問能夠正確執行, 就可以正確發佈 UUDynamics File Browser Express 服務 2. 配置 UU100/UU200/UU1000: 在 UU100/UU200/UU1000 上發佈 UUDynamics File Browser Express 服務與發佈其他應用程式類似 發佈應用的詳細方法請參閱 UU100/UU200/UU1000 使用者手冊 " 中的發佈應用程式 (Shared Application Service) 部分 發佈 UUDynamics File Browser Express 服務的介面如附圖 1 所示 : 附圖 1 名稱 參數名稱 説明為這個應用服務取一個名稱, 這個名稱將顯示在使用者端的視窗中 如果有多個 UUDynamics File Browser Express 服 第 63 頁

68 第 6 章附錄 類型名稱啓用加密 /Hash/ 壓縮 IP 位址 / 域名使用者 務, 則必須為每一個服務取不同的名稱 選擇檔伺服器的類型 預設為 SMB, 我們在將來會提供更多的可用類型 共用檔夾名稱 設置成伺服器上共用名稱, 以訪問特定的共用檔夾 [ 目前不支援中文或其他含特殊字元的共用名稱 ] 選擇加密 /Hash 演演算法或壓縮方法 檔伺服器的位址或 DNS 名稱 DNS Lookup 的結果依賴於本地 DNS 的配置 選擇可以使用這個服務的使用者 例如, 一台地址為 (DNS 名稱 :file.test.uud), 共用了名稱為 share 的檔夾, 則共用名稱輸入 share, IP Address 輸入 ", 或者 DNS 輸入 file.test.uud" 3. 配置使用者端 : UUDynamics File Browser Expres 的使用方法與其他被發佈的應用程式的使用方法完全相同 雙點擊視窗中的 UUDynamics File Browser Expres 的圖表, 在新視窗中輸入認證資訊, 通過認證就可以進入共用檔夾, 使用者可以按照所擁有的許可權, 執行標準的檔案操作 File Browser Express 的介面如附圖 2 所示 : 其中 : Upload New Folder Delete 按鈕名稱 附圖 2 説明 表示文檔上傳到遠端文件伺服器上的 Windows share 中 表示在遠端伺服器上的 Windows share 中新建一個子目錄 用于删除一個文件或子目錄 第 64 頁

69 第 6 章附錄 Download Rename 用于將遠端文件伺服器上的 Windows share 中的文件下載到用戶端 用于對文件或子目錄的更改名稱 UUDynamics File Browser Ftp 是常用的一個 C/S( 客戶 / 伺服器 ) 架構的檔案傳輸工具, 它在廣域網上有很好的性 能 Microsoft IIS 中的 FTP 服務整合 Windows 的認證和訪問控制機制 UUDynamics File Browser" 就是利用 Microsoft IIS 中的 FTP 服務, 可以與 Windows 平臺完全整合, 在廣域網 上提供很好的性能的文檔訪問服務 ; 同時, UUDynamics File Browser" 也可以通過一般的 FTP 伺服器來提供 Linux/UNIX 伺服器上的遠端檔案訪問 由於 UUDynamics File Browser 結合了 IIS 服務, 與 UUDynamics File Browser Express 相比提供了完整的檔案操作, 使用者 可以執行標準的檔案建立 複製 移動和移除等操作 ; 而 UUDynamics File Browser Express 只能做基于按鈕的操作 配置 UUDynamics File Browser 服務 : 1. 配置檔伺服器端 : 在 Linux/UNIX 上的配置很簡單, 就是一個一般的 FTP 伺服器的配置, 這裏不再敍述 以下介紹在 Windows 平臺上配置和使用 UUDynamics File Browser 的方法 Windows 平臺上的 IIS/FTP 組合不僅提供對本地電腦上的虛擬目錄的存取, 還提供通過 FTP 伺服器實現對局域網上共用資源的存取 有關 IIS/FTP 的配置, 本手册中只做簡單介紹, 詳細操作指南請用戶參考 Windows 的相關幫助資訊 要使用 UUDynamics File Browser 存取遠端檔案, 除了部署 istar 產品之外, 還要完 成以下步驟 : a) 首先要安裝和配置 IIS; b) 然後在 UU100/UU200/UU1000 上發佈 UUDynamics File Browser 給遠端使用者 1.1 IIS 的安裝 : 根據您使用的作業系統不同, 你可能需要安裝 IIS (1)Microsoft Windows 2000 伺服器 / Microsoft Windows 2000 Advance 伺服器 Microsoft Windows 2000 伺服器 / Microsoft Windows 2000 Advance 伺服器上已經 預設安裝幷啓動了 Microsoft IIS( 如果您的 IIS 沒有啟動, 請參考 Microsoft Windows 2000 伺服器 / Microsoft Windows 2000 Advance 伺服器幫助系統, 啓動 IIS) ( 2)Microsoft Windows 2000 Professional/ Microsoft Windows XP Professional/ Microsoft Windows 伺服器 2003 Microsoft Windows 2000 Professional/ Microsoft Windows XP Professional/ Windows 伺服器 2003 的預設安裝不包括 Microsoft IIS 的安裝, 但系統盤包括該軟體, 使用者必須手動安裝 安裝 IIS 的方法如下 : 打開控制面板中的 增加或移除程式 ", 在 增加或移除程式 " 視窗中選擇 增加 / 移除 Windows 組件 " 後, 彈出如附圖 3 所示窗口 : 第 65 頁

70 第 6 章附錄 附圖 3 如圖所示, 選擇 Internet 資訊服務 (IIS)" 後, 按 下一步 " 就可以安裝 IIS, 您只要根據提示進行操作即可 1.2 IIS 的配置 : 安裝好 IIS 後, 您還需配置 IIS 中的 FTP 來指定被遠端存取的 folder 和訪問許可權 (1) 創建 Virtual Directory 首先確定需要被遠端存取的本地目錄, 在 FTP 伺服器上創建虛擬目錄, 與該物理目錄連接 具體操作方法如下 : 打開控制面板中的 管理工具 ", 運行 Internet 服務 " 管理器 ( 如附圖 4 所示 ); 配製 預設 FTP 站點 " 的屬性, 選中 預設 FTP 站點 ", 點選滑鼠右鍵, 選擇 新建 " -> 虛擬目錄 ", 出現如附圖 5 所示的介面, 輸入別名 虛擬目錄名稱 "; 然後 Browse 或輸入物理錄 ; 如附圖 6, 設置該目錄得的訪問許可權 ; 最後按 完成 " 就創建好了虛擬目錄 附圖 4 第 66 頁

71 第 6 章附錄 附圖 5 附圖 6 (2) 建立連接網路中電腦的共用位置的虛擬目錄 視窗 : 選中某個建好的虛擬目錄, 點選滑鼠右鍵, 選擇 屬性 ", 可以看到如附圖 7 所示的 附圖 7 連接此資源時, 內容應該來自於 : 選擇 另一台電腦上的共用位置 ", 然後再下面的 網路共用中按照 \\ 伺服器 \ 共用 " 的格式填入局域網中的共用位置, 再按 連接爲 " 輸入 對此資源訪問的使用者名稱和密碼 ; 最後選擇遠端客戶的訪問許可權 (3) 設置訪問許可權 可以從以下四個方面來設置訪問許可權 :FTP 站點許可權設置 NTFS 許可權設置 第 67 頁

72 第 6 章附錄 允許以匿名訪問 啟用 FTP 基本驗證方式 FTP 站點許可權設置 : IIS 的 FTP 服務器具有靈活的目錄訪問控制, 它可限制使用者對站點或目錄的讀 寫許可權, 此外它還可根據用戶端 IP 位址進行訪問控制 具體方法如下 : 打開 IIS 管理控制臺 : 開始 -> 程式 -> 管理工具 ->Internet 服務管理器 ; 右鍵選擇 FTP 站點或虛擬目錄屬性, 在主目錄或虛擬目錄屬性頁中, 選擇讀取及寫入選項 NTFS 許可權設置 : FTP 伺服器可以利用 Windows 作業系統中的檔或檔夾的 NTFS 許可權屬性來控制使用者訪問, 因此一個使用者若需訪問某個 FTP 站點或目錄, 則其必須對該物理目錄有至少讀的許可權 檔或檔夾的 NTFS 許可權屬性具體的設置方法為 : 打開 Windows 資源管理器, 找到 FTP 站點或虛擬目錄所對應的物理目錄, 右鍵點 擊屬性, 選擇安全性, 賦給該 FTP 使用者相應的 NTFS 許可權 ( 讀取, 寫入 ) 允許以匿名或指定使用者身份訪問 : 打開 IIS 管理控制臺 : 開始 -> 程式 -> 管理工具 ->Internet 服務管理器 ; 右鍵選擇 FTP 站點屬性, 如附圖 8, 選擇安全帳號, 勾選 允許匿名連接 " 這樣, 遠端客戶訪問時就有系統預設使用者 IUSR_ 的許可權, 您也可以指定一個使用者 啟用 FTP 驗證 : 附圖 8 如果您想讓每一個來訪問的使用者輸入自己的使用者名稱和密碼, 擁有自己的許可 權, 則不要勾選 允許匿名連接 ", 這樣就起用了 FTP 基本驗證方式 對於利用 FTP 基本驗證方式訪問的使用者, 其訪問權利除了前面叙述的 FTP 站點許 可權和 NTFS 許可權外, 還需要使用者許可權設置 第 68 頁

73 第 6 章附錄 因 FTP 採用基本驗證方式, 所以基本驗證的使用者權利要求也適用於 FTP 驗證 基本驗證方式要求訪問的使用者對目標主機具有從網路訪問此電腦和在本地登錄兩種許可權 這兩種許可權需要在安全策略中設置 在 Windows2000 中, 存在三種安全策略 : 域安全策略, 本地安全策略, 網網網域控制器安全策略, 它們的優先順序為 : 網網網域控制器安全策略 域安全策略 本地安全策略 在設置安全策略時需注意有效的策略中允許使用者從網路訪問此電腦和在本地登錄兩種許可權 配置方法為 : 如果 FTP 伺服器安裝在網網網域控制器上, 則由于網網網域控制器安全策略的策略設置優先順序最高, 因此我們在網網網域控制器安全策略中進行策略更改 ( 為减少安全隱患, 强烈建議使用者不要在網網網域控制器上建立 FTP 站點 ): 開始 -> 程式 -> 管理工具 -> 網網網域控制器安全策略如果 FTP 伺服器不是網網網域控制器 (DC), 則由于一般域安全策略中不會對使用者許可權進行設置, 因此本地安全策略中的設置也可生效 : 開始 -> 程式 -> 管理工具 -> 本地安全策略雙點擊展開本地策略, 雙點擊展開使用者權利指派, 在從網路訪問此電腦和在本地登錄中檢查該 FTP 使用者是否已具有該許可權, 否則, 增加該 FTP 使用者 如果安全策略配置有改動, 可用以下命令手動刷新策略配置, 使其立即失效 : secedit /refreshpolicy machine_policy /enforce 注意 : IIS/FTP 的配置正確與否, 可以先在局域網中進行測試, 即在局域網中選擇一台電腦, 啓動 IE, 通過 FTP 連接到 FTP 伺服器, 執行所需的操作 我們建議只有在局域網測試成功後, 才將它配置到 istar 上實現遠端操作 2.UU100/UU200/UU1000 端配置在 UU100/UU200/UU1000 上發佈 UUDynamics File Browser 的方法請參見 UU100/UU200/UU1000 使用手冊 " 中的發佈應用程式 (Shared Application Service) 部分 發佈 UUDynamics File Browser" 的介面如附圖 9 所示, 除了和其他應用一樣需要填寫共用應用名稱及所在伺服器位址或名稱外, 還需填寫 Virtual Directory 名稱, 即 IIS 伺服器端設置的別名 第 69 頁

74 第 6 章附錄 附圖 9 其他有關設置請參見本手冊第 4 章 3. 配置使用者端 : UUDynamics File Browser 在使用者端的使用和其他被發布的應用程式沒有任何區別, 雙點擊視窗中 UUDynamics File Browser 的圖示 ( 即 IE 的圖示 ), 我們的軟體會自動將 FTP 設置成 Passive 模式, 使用者可以執行標準的檔案建立 複製 移動和移除等操作 6.2 istar 支援的客戶 / 伺服器應用 市場上不同的 SSL VPN 産品所支援的應用屬於以下幾種情況 : 1. 基於 Web 的應用的逆向代理 : 這種方法僅僅支援那些被 Web 化的應用, 就是用 Web 工具開發且客戶端是 Internet 瀏覽器的應用 2. 傳統應用的客戶 / 伺服器工具 : 由於大量應用是在 Web 時代前開發的, 這種類型已經變成任何 SSL VPN 的必備功能 大多數廠商用 ALG( 應用層閘道 ) 來支援這類應用, 即爲一些流行的應用 ( 如 Outlook, Lotus Notes, Telnet 等 ) 提供專門的或特定的支援 這種方法需要在用戶端安裝專門的客戶端軟體 3. 遠端虛擬接入 : 這一種全能的方法, 它可以解决前面兩種方法解决不了的問題 所有的廠商都採用傳統的 VA( 虛擬網卡 ) 機制來將一個本地電腦虛擬接入遠端網路 由于這種機制建立 第 70 頁

75 第 6 章附錄 在第三層網路結構上的, 用戶端和伺服器端必須解决好可能的 IP 位址不相容的問題 在不同 Microsoft 平臺上的 istar 用戶端是 istar 體系結構中最重要的元件之一, istar 支援所有三類應用, 但和我們的競爭者不同的是,iSTAR 用一個通用的工具來支援客戶 / 伺服器軟體, 包括幾乎所有的傳統客戶 / 伺服器應用軟體 儘管爲了確認對客戶應用的支援,iSTAR 還是需要 應用認證 ", 但提交到我們驗證中心的應用軟體中還沒有不被 istar 支援的 借助于這個强大的用戶端軟體工具,iSTAR 在一個統一 通用的框架下支援上述的 1,2 項, 基于這個統一的框架, 伺服器的管理也被大大簡化了 本文檔試圖要定義由 istar 的通用客戶工具支援的這類客戶 / 伺服器應用 下列的條件只適用于第 1 和 2 類 用戶端到伺服器端 istar 是通過 虛擬化 " 用戶端應用來實現對客戶 / 伺服器應用的支援的 所有的網路環境和操作被 istar 的客戶軟體截獲並隨即被 istar 發布單元代理傳輸到伺服器端 這種虛擬化的運行對於特定啓動的應用是透明的 注意, 只有用戶端的網路操作被代理了,TCP/IP 的操作必須從用戶端發起 ; 伺服器邏輯獨立於 istar 而運行, 所以不允許發起對用戶端的網路操作 對網路資料包中的用戶端位址的敏感性 由於 istar 虛擬化用戶端應用, 所以那些發出包含用戶端的網路環境裏的 IP 位址的網 路包的應用不能被支援 支援 IP 應用及特定的 NetBIOS 應用 istar 客戶軟體僅支援 TCP/IP 應用 原始的 NetBIOS 不能支援, 但有一類 NetBIOS 除外, 即由 UUDynamics 提供了的 Custom Network drive based C/S" 應用 ( 詳細內 容請參考 4.2" 中的例二 ) NAT( 網路位址轉換 ) 的友好性 伺服器不能發起對用戶端網路操作, 而且網路資料包不能包含用戶端的 IP 位址資訊, 有 一個簡單的測試可以來判斷應用是否滿足這個規則 應用必須能從 NAT 後面運行, 去訪問 NAT 外的伺服器 換句話說, 滿足條件的應用必須是 NAT 友好的 1 2 NAT Service 1 Internet 2 Clients Servers 第 71 頁

76 第 6 章附錄 附圖 10 Passive 應用 : 如果是這種應用, 由 Client 端發起的 TCP 連接請求經過 NAT 伺服器到達伺服器端 ( 如連接 1 所示 ), 伺服器端僅利用原有連接將資料包返回 Client 端 ( 如連接 1 所示 ) 這種應用由於使用的是已有的連接通道, 因而可以真正送達 Client 端 這種應用的典型例子有 Data 模式的 Netmeeting 應用及 FTP 服務等 istar 支援這類應用 Active 應用 : 如果是這種應用, 由 Client 端發起的 TCP 連接請求經由連接穿越 NAT 伺服器到達伺服器端 ( 如連接 1 所示 ), 伺服器端會將許多其他控制資訊 ( 如 IP 位址 埠等 ) 連同資料包一起打包, 沿著新建的連接 ( 連接 2) 返回 Client 端 由於這種資料包無法穿透 NAT 伺服器, 因而不能真正送達 Client 端 這種應用的典型例子有語音模式的 Netmeeting 應用 對於這類應用,iSTAR 暫不支援 WinSock 應用 支援的應用必須基於 Windows WinSock 6.3 其他 0 如想得到其他相關的産品訊息, 請訪問 1 在使用 UUDynamics 公司的産品時, 如果有特殊疑難問題, 歡迎發送電子郵件到 tech_support@uudynamics.com 2 UUDynamics 公司對手冊中所有的內容擁有最終解釋權 第 72 頁