H3CSecPath运维审计系统配置指南-2024

H3CSecPath运维审计系统配置指南_new前言H3CSecPath运维审计系统典型配置案例集共包括10个文档，介绍了运维审计系统常用的典型配置举例，包含组网需求、配置步骤等内容。前言部分包含如下内容：读者对象本书约定资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师：网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定命令行格式约定格 式意 义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。[]表示用“[]”括起来的部分在命令配置时是可选的。{x|y|...}表示从多个选项中仅选取一个。[x|y|...]表示从多个选项中选取一个或者不选。{x|y|...}*表示从多个选项中至少选取一个。[x|y|...]*表示从多个选项中选取一个、多个或者不选。&<1-n>表示符号&前面的参数可以重复输入1～n次。#由“#”号开始的行表示为注释行。图形界面格式约定格 式意 义<>带尖括号“<>”表示按钮名，如“单击<确定>按钮”。[]带方括号“[]”表示窗口名、菜单名和数据表，如“弹出[新建用户]窗口”。多级菜单用“/”隔开。如多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。/各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。为确保设备配置成功或者正常工作而需要特别关注的操作或信息。对操作内容的描述进行必要的补充和说明。配置、操作、或使用设备的技巧、小窍门。图标约定本书使用的图标及其含义如下：该图标及其相关描述文字代表一般网络设备，如路由器、交换机、防火墙等。该图标及其相关描述文字代表一般意义下的路由器，以及其他运行了路由协议的设备。该图标及其相关描述文字代表二、三层以太网交换机，以及运行了二层协议的设备。该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备。该图标及其相关描述文字代表无线接入点设备。T该图标及其相关描述文字代表无线终结单元。T该图标及其相关描述文字代表无线终结者。该图标及其相关描述文字代表无线Mesh设备。该图标代表发散的无线射频信号。该图标代表点到点的无线射频信号。该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备。该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡。端口编号示例约定本手册中出现的端口编号仅作示例，并不代表设备上实际具有此编号的端口，实际使用中请以设备上存在的端口编号为准。目录AD域认证典型配置举例 1简介 1配置前提 1注意事项 1OU模式的认证典型配置举例 6适用产品和版本 6配置思路 6配置步骤 6验证配置 8CN模式的认证典型配置举例 12适用产品和版本 12配置思路 13配置步骤 13验证配置 15PAGEPAGE4AD域认证典型配置举例简介本章介绍运维审计系统的AD域认证配置。ADAtieDirector（活动目录）的简称，也叫域服务（S。ADDSADDS将网络元素，如用户、计算机和其他设备整理到层次内嵌结构，内嵌层次D林、林中的域以及每个域中的组织单位（）和容器（。运行ADDS的服务器称为域控制器，在服务器中可以创建用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序。配置前提准备配置环境：AD域服务器。AD域信息：域名、域账户和密码、端口、IP、OU/CN等。AD域服务器协议可达。OUCN。在AD域服务器中，单击域名即可显示“类型”。图1AD域管理界面示意图注意事项2种原因造成的：1OUOU设置不对，2AD域服务器只允许1000个用户以下。1000AD域用户？步骤1进入AD域服务中。步骤2在[开始/运行中输入“lD界面。图2CMD示意图步骤3输入“ldappolicies”后，回车。图图3CMD示意图步骤4输入“connections”后，回车。步骤5再次输入“connecttodomain”之后，回车。图4CMD示意图步骤6提示连接成功之后，输入“quit”后，回车。步骤7再输入“showvalues”回车之后，可以查看AD域的策略信息。可以看到maxpagesize显示的数量默认是1000个。图5CMD示意图步骤8输入“setmaxpagesizeto2000”回车后，即可将同步用户的数量进行修改。然后使用showvalues查看即将修改的数量。PAGEPAGE5图6CMD示意图步骤9输入“commitchanges”回车后即可生效。再使用showvalues查看已修改的数量。图7CMD示意图PAGEPAGE6步骤10输入“quit”退出配置界面。图8CMD示意图OU模式的认证典型配置举例适用产品和版本适用于运维审计系统所有型号。配置思路DNS；AD认证；AD域用户；AD域用户、AD域密码、验证码登录。配置步骤准备OU信息#准备需要同步OU及OU里的用户。basedn信息中心,ou=北京分公司,ou=XX集团,dc=baoleijiyu,dc=comPAGEPAGE7OUDC可以是大写，也可以是小写。逗号必须为英文逗号。AD域中的名称编写，大写就是大写，小写就是小写。图9示例图配置DNS进入[系统/系统配置/网络配置/DNS信息]DNSIP为ADIP。图10DNS配置页面示意图PAGEPAGE13DNSIPADIP。用于解析域名。配置AD认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置AD域服务器的IP、端口、BaseDN、域名、账户和密码。#单击<保存>后即可。图11AD域认证配置页面示意图验证配置测试是否配置成功#配置完成AD域认证之后，可以单击<测试连接>可以验证堡垒机能连通AD域服务器。图图12AD域认证配置页面示意图同步AD域用户#进入[用户/用户管理/更多操作/同步用户]页面中。图图13同步用户页面示意图#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图图14同步用户页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图图15用户管理页面示意图使用AD域用户、AD域密码、验证码登录#使用AD域用户名和密码登录运维审计系统。图16系统登录页面示意图CN模式的认证典型配置举例适用产品和版本适用于运维审计系统所有型号。配置思路DNS；AD认证；AD域用户；AD域用户、AD域密码、验证码登录。配置步骤准备CN信息#准备CN的目的是为例确定客户想要同步哪个CN里的用户。UsersbasednCNDC可以是大写，也可以是小写。逗号必须为英文逗号。AD域中的名称编写，大写就是大写，小写就是小写。图17示例图PAGEPAGE16配置DNS进入[系统/系统配置/网络配置/DNS配置]DNSIP为ADIP。图18DNS配置页面示意图DNSIPADIP。用于解析域名。配置AD认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置AD域服务器的IP、端口、BaseDN、域名、账户和密码。#单击<保存>后即可。图图19AD域认证配置页面示意图验证配置测试是否配置成功#配置完成AD域认证之后，可以单击<测试连接>可以验证设备能连通AD域服务器。图图20AD域认证配置页面示意图同步AD域用户#进入[用户/用户管理/更多操作/同步用户]页面中。图图21同步用户页面示意图#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图图22同步用户页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图图23用户管理页面示意图使用AD域用户、AD域密码、验证码登录#使用AD域用户名和密码登录运维审计系统。图24系统登录页面示意图目录简介 1配置前提 1注意事项 2配置举例 6适用产品和版本 6配置思路 6配置步骤 6准备LDAP信息 6配置DNS 7配置LDAP认证 8验证配置 9测试是否配置成功 9同步LDAP用户 10使用LDAP用户、LDAP用户的密码、验证码登录 12PAGEPAGE13简介本章介绍运维审计系统的LDAP认证配置。LDAP是轻量\h目录访问协议，英文全称是LightweightDirectoryAccessProtocol，一般都简称为LDAP。配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。准备配置环境：LDAP服务器。LDAP信息：域名、用户名、密码、端口、IP、OU/O/DC、过滤器等。LDAP服务器的端口可达。LDAP用户属性是“OU”还是“O”？可以利用一些LDAP管理工具，管理LDAP信息。在管理工具的界面中显示LDAP及用户信息。图图1LDAP管理工具界面示意图注意事项如果同步失败，则有2种原因造成的：1、OU或O设置不对；2、一般专业的LDAP服务器都带有objectClass对象类，objectClassLDAP用户信息。LDAPobjectClass对象类呢？（s）步骤1LDAPLDAP服务器。步骤2进入工具界面中。图图2LDAP管理工具示意图步骤3找到objectClass对象类。图图3LDAP管理工具示意图步骤4找到LDAP用户所属的objectClass对象类中的子类。图图4LDAP管理工具示意图步骤5在运维审计系统中配置LDAP认证信息时，需要配置过滤器：(&(objectClass=account))。图图5LDAP认证配置示意图配置举例适用产品和版本适用于运维审计系统所有型号。配置思路DNS；LDAP认证服务器信息；LDAP用户；LDAP用户、LDAP用户的密码、验证码登录运维审计系统。配置步骤准备LDAP信息#准备需要同步LDAP服务器信息。#例如：客户有个LDAP服务器，如下图。#那么应该准备的basedn是：ou=People,dc=example,dc=comOUDC不区分大小写。逗号必须为英文逗号。LDAP中的名称信息，大写就是大写，小写就是小写。图6示例图配置DNS#进入[系统/系统配置/网络配置/DNS信息]页面，编辑DNS的IP为LDAP服务器的IP。图图7DNS配置页面示意图DNSIPLDAPIP。用于解析域名。配置LDAP认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置LDAP服务器的IP、端口、BaseDN、域名、账户、密码、过滤器。#单击<保存>后即可。图图8远程认证配置页面示意图验证配置测试是否配置成功#配置完成LDAP认证之后，可以单击<测试连接>可以验证堡垒机能连通LDAP服务器。图图9AD域认证配置页面示意图同步LDAP用户#进入[用户/用户管理/更多操作/同步用户]页面中。#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图图10同步用户页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图图11用户管理页面示意图使用LDAP用户、LDAP用户的密码、验证码登录#使用LDAP服务器的用户名和密码登录运维审计系统。图图12系统登录页面示意图目录简介 1配置前提 1已将主机添加至运维审计系统中 1支持字符客户端环境 1仅支持以下协议的主机 1注意事项 1配置举例 1场景说明 1适用产品和版本 1配置思路 1配置步骤 2验证配置 7PAGEPAGE1简介本章介绍运维审计系统的SSH网关透明登录运维配置。SSHopenSSH环境可以通过常用的字符工具实现直接登录目标字符主机，并且运维审计系统可以进行管理和审计。配置前提已将主机添加至运维审计系统中IP及账户添加至运维审计系统中确保主机已授权给运维用户支持字符客户端环境OpenSSH环境支持苹果、安卓、linux、unix作为字符终端仅支持以下协议的主机SSH，如：linux/unix、交换机、路由器。注意事项SSH协议的主机；SSH60022端口可达。配置举例场景说明运维环境：苹果系统（Linux/unix系统）目标主机：linux运维审计系统。适用产品和版本适用于运维审计系统所有型号。配置思路SSH公私钥。key。PAGEPAGE2在运维审计系统中给当前用户添加公钥内容。在运维审计系统中下载“openssh将运维代理配置文件下载至苹果系统中，并执行代理配置文件。ssh命令登录目标主机。检查是否被审计。配置步骤在苹果电脑中生成SSH公私钥对（如果本地已有SSH公私钥，则跳过此步骤）#在苹果电脑字符终端界面中，进入~/.ssh/目录下。#执行“ssh-keygen-tdsa”命令生成公私钥对，默认回车即可。图1ssh公私钥对示例图PAGEPAGE8将Linux主机中添加公钥key（如果主机中已有公钥或者不想在主机放公钥，则跳过此步骤）将公钥文件(id_dsa.pub)~/.ssh/目录下的authorized_keys（如没有该目录名和文件名，必须手工线创建好。#ontes&tbaes#d0auts在运维审计系统中当前用户添加公钥内容#把公钥key的内容复制-粘贴至运维审计系统的用户中。图2运维审计系统的用户添加公钥内容页面示例图下载“代理配置文件”#进入[运维/主机运维/运维下载]中，下载“openssh代理配置下载”文件。图3主机运维页面示例图#下载完成之后，将脚本放至苹果系统中。图图4苹果系统的终端界面示例图执行“代理配置文件”#在苹果系统字符终端界面中，执行命令“shusmssh_insll.s#然后按照提示输入对应的运维审计系统的用户名、IP:端口号。SSH图图5苹果系统的终端界面示意图登录目标主机#在终端界面中，执行命令：~/.ssh/usm/usmssh进去bash环境。图6苹果系统的终端界面示意图#在终端界面中，执行命令格式：ssh主机账户@主机IP-p端口图图7苹果系统的终端界面示意图使用SCP命令传输文件#进入运维审计系统的bash环境，在终端界面中，执行命令格式：scp文件路径主机账户@主机IP-p端口:目标目录路径图图8苹果系统的终端界面示意图验证配置#进入[运维/实时监控]页面中，可以看到正在运维中的主机。图9实时监控页面示意图#进入[审计/会话审计]页面中，可以看到已传输的会话日志，单击“播放”即可查看。图图10SCP会话审计页面示意图PAGE\*romanPAGE\*romani目录应用中心介绍 1-1支持Windowsserver2008的版本 1-1RemoteApp应用发布介绍 1-1RemoteApp对终端的要求 1-1应用中心授权许可介绍 1-1安装前的准备 2-1注意事项 2-1RDS授权码 2-1应用中心安装步骤 3-1安装远程桌面服务（必须步骤） 3-1应用中心激活授权（如果是测试客户，可忽略此操作） 3-17激活应用中心 3-17安装应用中心授权许可证 3-28调整应用中心的策略（必须步骤） 3-39调整本地组策略 3-39设置RD授权模式 3-45允许用户在初始连接时启动列出和未列出的程序 3-49关闭windows防火墙 3-51关闭IE增强的安全配置 3-52开启远程桌面 3-54关闭屏幕保护 3-56启用屏幕保护程序超时 3-59运维审计系统与应用中心结合使用 4-60在应用中心中安装相关的工具 4-60安装客户端工具 4-60安装应用加载器 4-60RemoteApp管理器中发布“应用加载器” 4-61添加“应用中心” 4-1在主机管理中添加“应用中心” 4-1在应用管理中添加“应用中心” 4-3在运维审计系统中使用应用发布 4-5PAGE\*romanPAGE\*romanii发布plsql 4-5发布IE代填 4-7将应用授权给运维员 4-9运维员对应用运维 4-9PAGE1应用中心介绍应用中心由windowsserver2008服务器平台搭建的。应用中心用于安装应用程序，并能通过RemoteApp服务发布应用程序。支持Windowsserver2008的版本WindowsServer2008StandardWindowsServer2008EnterpriseWindowsServer2008DatacenterRemoteApp应用发布介绍RemoteAppWindowsServer2008之后，在其系统中集成的一项服务功能，使用户可以RemoteApp对终端的要求由于是采用RDP协议访问应用中心提供的应用程序，所以对终端平台有以下要求：windows操作系统。windowsRDP6.1版本。windowsXPwindowsserver2003RDP版本，如果版本过RDP版本。应用中心授权许可介绍windowsserver2008的远程桌面服务（RDS）进行授权许可，只有RDS授权许可成功之后，运维审计系统访问应用中心的远程桌面服务就没有时间限制；未进RDS120天的使用有效期。PAGE1安装前的准备安装应用中心需要准备的工作。注意事项为了确保应用中心配置成功，请遵从以下的注意事项：Windowsserver2008RemoteApp服务。Windowsserver2008可以安装在物理设备里，也可以安装在虚拟机里。windowsserver2008操作系统，使用正确的产品IDwindowsserver2008；否则会影响应用中心的正常使用。RDS授权码想要长期使用应用中心，须配备一套RDS授权码。如下图：图1RDS授权码示意图示意图中的“父级计划”号码和“开放式许可证详细信息”号码是一组无效的示例号码；请勿使用！否则应用中心授权失败。RDS授权码可以向运维审计系统供应商采购，也可以直接向微软销售渠道采购。2-22-2默认windows的RDS安装好之后，有120天的有效试用期，足以满足测试试用。在章节的RDS授权码会在第“3.2应用中心授权”中使用到。3-3-PAGE67应用中心安装步骤本章节以WindowsServer2008R2Enterprise的配置为例。安装远程桌面服务（必须步骤）步骤1在windowsserver2008系统中，进入[服务器管理器/角色]窗口。图2服务器管理器示意图步骤2单击<添加角色>，进入添加角色向导窗口。图图3添加角色向导示意图步骤3单击<下一步>进入选择服务器角色窗口，勾选“远程桌面服务”。图图4选择服务器角色示意图步骤4单击<下一步>进入远程桌面服务窗口。图图5远程桌面服务简介示意图步骤5单击<下一步>进入选择角色服务窗口，勾选“远程桌面会话主机”和“远程桌面授权”服务。图图6选择角色服务示意图步骤6单击<下一步>进入应用程序兼容性窗口。图图7应用程序兼容性提示示意图步骤7单击<下一步>进入身份验证方法窗口，选择“不需要使用网络级别身份验证”。图图8选择身份验证方法示意图步骤8单击<下一步>进入授权模式窗口，选择“以后配置”。图图9选择授权模式示意图步骤9单击<下一步>进入用户组窗口，可在“用户或用户组”框添加允许远程访问的用户或用户组。图图10添加用户组示意图步骤10单击<下一步>进入客户端体验窗口，不选择任何功能项。图图11选择客户端体验示意图步骤11单击<下一步>进入RD授权配置窗口，不选择任何功能项。图图12RD授权配置界面示意图步骤12单击<下一步>进入确认窗口图图13确认安装选择示意图步骤13单击<安装>进入安装进度窗口。图图14安装进度示意图步骤14等待安装进度完成后，自动进入安装结果窗口，并提示需要重启服务器才能完成安装过程。图图15安装结果示意图步骤15单击<关闭>后自动提示“是否希望立即重新启动”。图图16是否需要重启提示示意图步骤16单击<是>后，系统自动重新启动。步骤17登录系统后，系统自动继续执行配置进度。图图17安装进度示意图步骤18自动完成安装结果，单击<关闭>即可。图图18安装成功提示示意图应用中心激活授权（如果是测试客户，可忽略此操作）激活应用中心步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面中。图图19远程桌面服务管理界面示意图步骤2双击<远程桌面授权管理器>进入RD授权管理器界面，右击计算机名称。图图20RD授权管理器示意图步骤3单击<激活服务器>进入服务器激活向导界面。图图21服务器激活向导示意图步骤4单击<下一步>进入连接方法界面，本手册以“Web浏览器”的连接方法为例。图图22选择连接方法示意图表1连接方法说明连接方法描述自动连接（推荐）使用此方法的前提是要确保应用中心能连通互联网，否则无法进行授权许可。Web浏览器此方法适用于应用中心无法连通互联网，但需要进行授权许可。找一台能连通互联网的windows电脑，在浏览器中输入\h，进入远程桌面服务器授权页面进行授权许可。电话此方法适用于通过微软的服务热线进行电话授权许可，此方法比较繁琐，需要提供各种详细信息。步骤5单击<下一步>进入许可证服务器激活界面。图图23许可证服务器激活示意图表2服务器激活条件说明激活条件描述远程桌面授权网站\h产品ID操作系统的产品ID，服务器激活向导界面会自动识别本操作系统的产品ID。许可证服务器ID许可证服务器ID是由产品ID生成的，有了许可证服务器ID才能许可证服务器激活成功。步骤6使用一台可以连通互联网的电脑，在浏览器中输入\h进入RDS授权页面，选择“启用许可证服务器”。图图24RDS授权页面示意图步骤7单击<下一步>进入RDS信息填写页面，输入应用中心的产品ID、公司名称、国家(地区)。图图25RDS授权页面示意图表3RDS授权信息说明填写项描述产品ID将服务器激活向导界面的产品ID填写进去。如需查看产品<属性>进入系统属性界面查看。公司填写使用用户单位的名称。国家(地区)选择应用中心所在国家或地区。步骤8单击<下一步>进入RDS授权信息确认页面。图图26RDS授权页面示意图步骤9单击<下一步>RDS授权一个许可证服务器ID，将其复制并保存好。图图27RDS授权页面示意图步骤10返回到应用中心里的[服务器激活向导]界面，输入RDS授权页面生成的许可证服务器ID。图图28许可证服务器激活示意图步骤11单击<下一步>进入正在完成服务器激活向导界面。图图29完成服务器激活向导示意图步骤12如果单击<下一步>3.2.231。如果单击<取消>则直接退出服务器激活向导界面。安装应用中心授权许可证步骤1在[RD授权管理器]中右击计算机名称。图图30RD授权管理器示意图步骤2单击<安装许可证>进入许可证安装向导界面。图图31许可证安装向导示意图步骤3单击<下一步>进入获取客户端许可证密钥包界面。图图32获取客户端许可证密钥包界面示意图表4获取客户端许可证密钥包条件说明获取条件描述远程桌面授权网站\h许可证服务器ID许可证安装向导界面会自动识别本操作系统的许可证服务器ID。许可证密钥包ID许可证密钥包ID是由许可证服务器ID、父级计划和开放式许可证详细信息的号码共同生成的。在步骤6中会用到应用中心授权许可证中的父级计划和开放式许可证详细信息的号码。步骤4使用一台可以连通互联网的电脑，在浏览器中输入\h进入RDS授权页面，选择“安装客户端访问许可证”。图图33RDS授权页面示意图步骤5单击<下一步>进入RDS授权信息填写页面，输入正确的许可证服务器ID，在许可证程序里选择地区。图图34RDS授权页面示意图表5RDS授权信息说明填写项描述许可证服务器ID将获取客户端许可证密钥包界面的许可证服务器ID填写进去。许可证程序选择“开放式许可证”。公司填写使用用户单位的名称。国家(地区)选择应用中心所在国家或地区。步骤6单击<下一步>进入RDS授权许可证信息填写页面，选择“windowsserver2008R2每设备CALissr008TSALRDS授权数量、授权号码、许可证号码。图图35RDS授权页面示意图表6RDS授权信息说明填写项描述许可证服务器ID将获取客户端许可证密钥包界面的许可证服务器ID，此处不需要填写。产品类型请选择“windowsserver2008R2每设备CAL或windwosserver2008TS每设备CAL”的RD授权模式。数量填写RDS对应的数量，数量自定义，可以根据堡垒机的资产数量填写数量。许可证程序开放式许可证授权号码根据应用中心授权许可证中提供的“父级计划”号码填写。许可证号码根据应用中心授权许可证中提供的“开放式许可证详细信息”号码填写。步骤7单击<下一步>进入RDS授权信息确认页面。图图36RDS授权页面示意图步骤8单击<下一步>RDS授权一个许可证密钥包ID号，将其复制并保存好。图图37RDS授权页面示意图步骤9返回至获取客户端许可证密钥包界面，输入RDS授权页面生成的许可证密钥包ID。图图38服务器激活向导示意图步骤10单击<下一步>进入正常完成许可证安装向导界面。图图39完成许可证安装向导示意图步骤11单击<完成>后即可在RD授权管理器界面中看到已成功授权，并且已经变成绿色的勾勾。图图40RD授权管理器示意图调整应用中心的策略（必须步骤）调整本地组策略步骤1在运行窗口中输入“ec图41运行窗口示意图步骤2单击<确定>进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/连接]界面。图图42本地组策略示意图步骤3双击<将远程桌面服务用户限制到单独的远程桌面服务会话>，在配置界面中选择“已禁用”。图图43策略配置示意图步骤4单击<确定>即可。步骤5双击限制连接的数量D图图44策略配置示意图步骤6单击<确定>即可。步骤7双击<允许用户使用远程桌面服务进行远程连接>，在配置界面中选择“已启用”。图图45策略配置示意图步骤8单击<确定>即可。步骤9进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/会话时间限制]界面。图图46本地组策略示意图步骤0双击图图47策略配置示意图步骤11单击<确定>即可。设置RD授权模式步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图图48远程桌面服务项示意图步骤2双击<远程桌面会话主机配置>进入配置界面。图49授权诊断示意图步骤3双击<远程桌面授权服务器>进入配置属性界面，选择“每设备”模式。图图50授权属性示意图步骤4单击<添加>进入添加许可证服务器界面，将本地服务器添加到指定的许可证服务器中。图51添加许可证服务器示意图步骤5单击<确定>即可返回配置属性界面。图52授权属性示意图步骤6单击<确定>后提示已更改系统注册表的配置。图53远程桌面会话主机配置提示示意图步骤7单击<确定>接口生效，并可以查到配置界面已指定。图图54授权诊断示意图步骤8单击<授权诊断>可以看到“授权诊断信息-警告”中为空，表示授权设置正常。图55授权诊断示意图允许用户在初始连接时启动列出和未列出的程序步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图图56远程桌面服务项示意图步骤2双击<RemoteApp管理器>进入配置界面。图57RemoteApp管理器示意图步骤3单击<RD会话主机服务器配置更改>图图58RemoteApp部署设置示意图步骤4单击<确定>即可。关闭windows防火墙步骤1进入[控制面板/系统和安全/windows防火墙/自定义设置]界面，关闭windows防火墙。图图59Windows防火墙设置示意图步骤2单击<确定>即可。关闭IE增强的安全配置步骤1进入[服务器管理器]界面。图图60服务器管理器示意图步骤2单击<配置IESEC>进入IE增强的安全配置界面，将管理员和用户禁用。图图61IE增强的安全配置示意图开启远程桌面步骤1右击计算机，单击<属性>进入系统属性界面。图图62系统属性示意图步骤2单击<远程设置>(较不安全图图63远程桌面设置示意图步骤3单击<确定>即可。关闭屏幕保护步骤1进入“控制面板”中，找到“个性化”。图图64控制面板示意图步骤2双击<个性化>后，进入管理界面，找到“屏幕保护程序”。图图65个性化设置示意图步骤3双击屏幕保护程序后，弹出设置窗口，在“屏幕保护程序”下拉框中选择“无图图66屏幕保护程序设置示意图步骤4单击<确定>即可。步骤5最后，重启应用中心！启用屏幕保护程序超时步骤1在运行窗口中输入“ec步骤2在本地组策略中，进入[用户配置/管理模板/控制面板/个性化]菜单管理页面。如果没有[个性化]菜单项，那就找[显示]菜单项。步骤3图图67屏幕保护程序超时设置示意图运维审计系统与应用中心结合使用用于统一对应用程序进行管理和审计。在应用中心中安装相关的工具安装客户端工具在应用中心中安装需要使用的客户端工具。如：plsql、sqlplus、SQLservermanagementstudio、MySQLQueryBrowser、VMwarevSphereClient等。安装好之后，确保能找到可执行程序的绝对路径，在发布应用的时候，需要填写这些客户端工具的路径。安装应用加载器步骤1进入运维审计系统的管理界面，在界面右上角单击>按钮，进入“工具下载”页面。图图68工具下载页面示意图步骤2在“应用加载器”后面，双击<本地下载>将应用加载器下载下来，并上传至应用中心中。步骤3然后在应用中心中默认安装即可。图69应用加载器安装过程示意图RemoteApp管理器中发布“应用加载器”步骤1在应用中心中打开RemoteApp管理器，在窗口中添加RemoteApp程序。图图70RemoteApp管理器界面示意图步骤2单击<添加RemoteApp程序>进入RemoteApp向导界面。图图71RemoteApp向导示意图步骤3单击<下一步>进入应用选择界面，通过“浏览”进行查找到“应用加载器”。图图72RemoteApp向导示意图步骤4单击<下一步>提示正在添加此应用程序。图图73RemoteApp管理器示意图步骤5单击<完成>后即可发布成功。图图74RemoteApp管理器示意图步骤6右击已发布的“应用加载器”的属性。步骤7单击<属性>进入属性配置界面，选择“允许任何命令行参数”。图图75RemoteApp属性示意图步骤8单击<确定>后弹出提示窗口。图76RemoteApp向导示意图步骤9单击<是>返回管理器界面。4-4-PAGE10添加“应用中心”在主机管理中添加“应用中心”步骤1进入运维审计系统中的[资产/主机管理]页面。图77主机管理页面示意图步骤2单击<添加主机>进入配置页面，填写应用中心的IP和名称、选择所属部门。图78添加主机页面示意图步骤3单击<创建主机>后提示主机已创建。图图79成功添加主机示意图步骤4单击提示信息页面里的IP地址，进入主机帐户管理页面。图80主机账户管理页面示意图步骤5单击<添加主机帐户>弹出新建主机帐户窗口，添加RDP协议、自动登录、帐户和密码。图图81新建主机帐户页面示意图步骤6单击<创建主机账户>即可。在应用管理中添加“应用中心”步骤1进入[资产/应用管理]页面中。图1应用管理页面示意图如果首次使用该功能，则须先添加应用中心。在页面中会提示“还没有应用中心，请先在应用中心管理页面添加一台应用中心”，否则无法进行应用发布。步骤步骤2单击<应用服务器>进入配置页面。图2应用中心管理页面示意图步骤3单击<添加应用服务器>进入选择主机列表，勾选已经安装好remoteapp的应用中心。图3主机列表页面示意图步骤4单击<确定>后即可添加成功，并自动返回应用中心管理页面。图图4应用中心管理页面示意图在运维审计系统中使用应用发布以下以发布plsql和IE代填为例。发布plsql步骤1进入[资产/应用管理]页面中图5应用管理页面示意图已经添加了应用中心之后，在页面中就不会提示：“还没有应用中心，请先在应用管理页面添加一台应用中心”。步骤2单击页面右上角的<新建应用>，进入新建应用页面，选择应用中心账户、添加应用名称、选择应用类型、添加应用路径、数据库名、数据库账户、数据库密码等。图图6应用中心管理页面示意图表7功能选项说明选项说明应用加载器用于运维人员能正常调用应用发布程序。应用中心账户选择已经添加好的应用中心及账户。应用名称填写应用发布的名称，用于运维人员能辨别目标对象。应用类型选择需要发布的应用类型，如果无法找到对应的应用程序，则请自定义。路径填写应用中心中对应的应用程序的绝对路径。目标地址目标资产的管理IP。数据库名如果是数据库服务器有库名，则需要填写对应的库名。例如oracle的实例名登录账户目标资产的管理账户。登录密码目标资产账户的密码。图标可以选择对应的程序图标。步骤3单击<创建应用>即可添加成功。发布IE代填步骤1进入[资产/应用管理]页面中。图7应用中心管理页面示意图已经添加了应用中心之后，在页面中就不会提示：“还没有应用中心，请先在应用中心管理页面添加一台应用中心”。步骤2单击页面右上角的<新建应用>，进入新建应用页面，选择应用中心账户、添加应用名称、选择应用类型、目标地址、登录账户、登录密码。图图8应用中心管理页面示意图表8功能选项说明选项说明应用加载器用于确保运维人员能正常调用应用发布程序。应用中心账户选择已经添加好的应用中心及账户。应用名称填写应用发布的名称，用于运维人员能辨别目标对象。应用类型选择需要发布的应用类型，如果无法找到对应的应用程序，则请自定义。目标地址目标资产的管理IP。登录账户目标资产的管理账户。登录密码目标资产账户的密码。步骤3单击<创建应用>即可添加成功，返回应用管理页面中可以看到已经创建好的应用。图图9应用中心管理页面示意图将应用授权给运维员管理员在[授权/运维授权]页面中将应用授权给相关的运维员。图10运维授权页面示意图运维员对应用运维步骤1进入[运维/主机管理/应用运维]页面中，在运维之前，请确保本地PC安装好了单点登录器。图11图11应用运维页面示意图步骤2在plsql工具后面，单击<登录>即可登录成功。图12应用运维页面示意图步骤3在web系统后面，单击<登录>即可登录成功。图13应用运维页面示意图ii目录应用服务器介绍 1-1支持Windowsserver2012的版本 1-1RemoteApp应用发布介绍 1-1RemoteApp对终端的要求 1-1安装前的准备 2-1注意事项 2-1关于RDS授权许可证 2-1Windowsserver2012的RemoteApp安装步骤 3-1Windowsserver2012加入AD域 3-1安装远程桌面服务 3-4远程桌面授权 3-17调整应用服务器的策略 3-38调整本地组策略 3-38关闭windows防火墙 3-43关闭IE增强的安全配置 3-44设置RD授权模式 3-45开启远程桌面 3-49安装RemoteApp服务 3-51发布RemoteApp程序 3-60PAGE1应用服务器介绍应用服务器由windowsserver2012服务器平台搭建的。应用服务器用于安装应用程序，并能通过RemoteApp服务发布应用程序。支持Windowsserver2012的版本WindowsServer2012StandardWindowsServer2012R2StandardRemoteApp应用发布介绍RemoteAppWindowsServer2008之后，在其系统中集成的一项服务功能，使用户可以Windows2012RemoteApp已经成为微软桌面虚拟化架构的重要组成部分之一。RemoteApp对终端的要求由于是采用RDP协议访问应用服务器提供的应用程序，所以对终端平台有以下要求：windows操作系统。windowsRDP6.1版本。windowsXPwindowsserver2003RDP版本，如果版本过RDP版本。PAGE1安装前的准备Windowsserver2012和Windowsserver2008的安装步骤不同。注意事项为了确保配置RDS和RemoteApp服务安装成功，请遵从以下的注意事项：Windowsserver2012ADRemoteApp服务，否则无法安装RemoteApp服务。（表示客户环境里必须有AD域服务器！）Windowsserver2012RemoteAppAD域服务器。Windowsserver2000/2003RemoteApp服务。Windowsserver服务器可以是物理设备，也可以是虚拟机。windowsserver2012ID激活成正版。关于RDS授权许可证RDS授权许可证。RDS授权许可证类型分多种，得到许可证号码后，请确认许可证的类型。在本手册的“远程桌面授权”章节中会用到许可证类型和号码。PAGE1Windowsserver2012的RemoteApp安装步骤本章节以WindowsServer2012R2Standard的配置为例。客户环境里必须有自己的AD域服务器，否则无法安装remoteapp服务，以下图中的AD域是测试环境的，仅供参考！Windowsserver2012加入AD域步骤1属性进入[系统]管理界面。图1系统管理界面步骤2单击<更改配置>进入[系统属性]界面。图图2系统属性界面3-3-PAGE67步骤3单击<更改>进入[计算机名/域更改]界面，修改计算机名称、域名。图图3计算机名/域更改界面步骤4单击<确定>后，提示输入域帐户和密码。图图4Windows安全界面步骤5单击<确定>后，提示加入域成功。图5域更改成功界面步骤6单击<确定>后重启计算机即可。安装远程桌面服务步骤1重启系统后，请使用AD域帐户和密码登录系统。图图6AD域帐户和密码登录系统步骤2进入[服务器管理器/仪表板]界面。图7服务器管理器/仪表板界面步骤3单击<添加角色和功能>进入“添加角色和功能向导”界面。图图8添加角色和功能向导界面步骤4单击<下一步>进入安装类型界面，选择“基于角色或基于功能的安装”。图图9基于角色或基于功能的安装界面步骤5单击<下一步>进入服务器选择界面，选择“从服务器池中选择服务器”。图图10从服务器池中选择服务器界面步骤6单击<下一步>进入服务器角色界面，勾选“远程桌面服务”。图图11选择远程桌面服务步骤7单击<下一步>进入功能界面，不选择任何功能项。图图12功能界面步骤8单击<下一步>进入远程桌面服务界面。图图13远程桌面服务界面步骤9单击<下一步>进入角色服务界面，选择“远程桌面会话主机”和“远程桌面授权”。图图14角色服务界面步骤10单击<下一步>进入确认界面。图图15确认界面步骤1图图16提示窗口界面步骤12单击<是>即可。图图17确认界面步骤13单击<安装>进入安装进度界面。图图18安装界面步骤14等待安装完成后，系统自动重新启动，并重新使用AD域帐户和密码登录系统。步骤15进入系统后，自动自动弹出安装进度，安装完成后，单击<关闭>即可。图图19安装完成远程桌面授权步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图图20远程桌面服务界面步骤2双击<远程桌面授权管理器>进入RD授权管理器界面。图图21RD授权管理器界面步骤3右击计算机名称，显示可选项。图22可选项界面步骤4单击<激活服务器>进入服务器激活向导界面。图图23服务器激活向导界面步骤5单击<下一步>进入连接方法选择界面。图图24连接方法选择界面步骤6单击<下一步>进入许可证服务器激活界面。图图25许可证服务器激活界面步骤7使用一台可以上网的电脑，在浏览器中输入\h进入RDS授权页面，选择“启用许可证服务器”。图图26RDS授权页面步骤8单击<下一步>进入RDS授权信息填写页面，输入windwosserver2012的正确产品ID号、公司名称、国家(地区)。图27RDS授权信息填写页面步骤9单击<下一步>进入信息确认页面。图图28信息确认页面步骤10单击<下一步>RDS授权一个许可证服务器ID号，将此ID号复制并保存好。图29ID号界面步骤11返回许可证服务器激活界面，将许可证服务器ID号填写进去。图图30许可证服务器激活界面步骤12单击<下一步>进入正在完成服务器激活向导。图图31完成服务器激活向导步骤13单击<下一步>进入许可证安装向导界面。图图32许可证安装向导界面步骤14单击<下一步>进入获取客户端许可证密钥包界面。图图33获取客户端许可证密钥包界面步骤15使用一台可以上网的电脑，在浏览器中输入\h进入RDS授权页面，选择“安装客户端许可证”。图图34安装客户端许可证界面步骤16单击<下一步>RDSID号、选择许可证程序、公司名称、国家(地区)。图35RDS授权信息填写页面步骤17单击<下一步>进入RDS授权许可证填写页面：选择“windowsserver2012远程桌面服务每设备客户端访问许可证”，填写正确的许可证号码的数量，填写微软授权正确的授权号码。图36RDS授权许可证填写页面步骤18单击<下一步>进入RDS授权信息确认页面。图图37RDS授权信息确认页面步骤19单击<下一步>RDS授权一个许可证密钥包ID号，将其复制并保存好。图图38ID号界面步骤20返回获取客户端许可证密钥包界面，填写正确的许可证密钥包ID号。图图39填写正确的许可证密钥包ID号步骤21单击<下一步>进入正在完成许可证安装向导界面。图图40许可证安装向导界面步骤22单击<完成>后，可以在RD授权管理器窗口中看到已进行了授权。图图41RD授权管理器窗口步骤23右击计算机名称，选择“复查配置”。图42复查配置界面步骤24单击<复查配置>进入配置界面。图图43Windows2012配置界面步骤25单击<添加到组>后弹出RD授权管理器窗口。图图44RD授权管理器窗口步骤26单击<确定>后即可成功。图45确定成功步骤27单击<确定>后，在RD授权管理器中可以看到打上了绿色的勾勾。图图46RD授权管理器界面调整应用服务器的策略调整本地组策略步骤1图47运行窗口步骤2单击<确定>进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/连接]界面。图图48本地组策略编辑器界面步骤3双击<将远程桌面服务用户限制到单独的远程桌面服务会话>，在配置界面中设置为“已禁用”。图49将远程桌面服务用户限制到单独的远程桌面服务会话界面步骤4单击<确定>即可。步骤5双击<允许远程启动未列出的程序>，在配置界面中选择“已启用”。图50允许远程启动未列出的程序步骤6单击<确定>即可。步骤7双击<限制连接的数量>RD最大连接数“999999图图51限制连接的数量界面步骤8单击<确定>后即可。步骤9双击<允许用户通过远程桌面服务进行远程连接>，在配置界面中选择“已启用”。图图52允许用户通过远程桌面服务进行远程连接界面步骤10单击<确定>即可。步骤11再进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/会话时间限制]界面图53本地组策略编辑器步骤2双击1图图54设置已中断会话的时间限制步骤13单击<确定>即可。关闭windows防火墙步骤1进入[控制面板/系统和安全/windows防火墙/自定义设置]界面中，将防火墙关闭。图图55自定义设置步骤2单击<确定>即可。关闭IE增强的安全配置步骤1进入[服务器管理器/本地服务器]界面中，找到右侧的“IE增强的安全配置”。图56服务器管理器步骤2单击<启用>进入IE增强的安全配置界面，选择“关闭”。图图57IE增强的安全配置界面步骤3单击<确定>即可。设置RD授权模式步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图图58远程桌面服务界面步骤2双击<RD授权诊断程序>进入界面，看到“RD授权诊断程序信息-警告”中有警告信息，表示RD授权未配置完成。图59RD授权诊断程序步骤3进入[服务器管理器/远程桌面服务/概述]界面。图图60服务器管理器步骤4单击<任务>中的<编辑部署属性>RD图图61编辑部署属性步骤5单击<确定>后即可。步骤6返回RD授权诊断程序界面，可以看到警告信息已为空，表示RD授权正常。图图62RD授权诊断程序界面开启远程桌面步骤1右击计算机，单击<属性>进入系统属性界面。图图63系统属性界面步骤2单击远程设置建议)图图64远程桌面配置窗口步骤3单击<确定>即可。安装RemoteApp服务步骤1进入[服务器管理器/远程桌面服务/概述]界面中，可以看到说明需要安装“远程桌面服务”。图图65服务器管理器界面步骤2进入[服务器管理器/仪表板]界面。图66服务器管理器/仪表板界面步骤3单击<添加角色和功能>进入添加角色和功能向导界面。图图67添加角色和功能向导界面步骤4单击<下一步>进入安装类型界面，选择“远程桌面服务安装”。图图68远程桌面服务安装界面步骤5单击<下一步>进入部署类型界面，选择“快速启动”。图图69快速启动界面步骤6单击<下一步>进入部署方案，选择“基于会话的桌面部署”。图图70基于会话的桌面部署界面步骤7单击<下一步>进入服务器选择界面，将本地服务器移至右侧。图图71服务器选择界面步骤8单击<下一步>进入确认界面。图图72确认界面步骤9单击<部署>进入安装进度界面。图图73安装进度界面步骤10等待自动安装完成后，单击<关闭>即可。图图74关闭界面发布RemoteApp程序步骤1进入[服务器管理器/远程桌面服务/集合/QuickSessionCollection]界面。图图75QuickSessionCollection界面步骤2单击<任务>。图76任务界面步骤3单击<发布RemoteApp程序>进入选择RemoteApp程序界面，选择需要发布的应用程序。图图77RemoteApp程序界面步骤4单击<下一步>进入确认界面。图图78确认界面步骤5单击<发布>进入发布完成界面。图图79发布完成界面步骤6单击<关闭>即可。步骤7右击已发布的应用程序。图80已发布的应用程序界面步骤8单击<编辑属性>进入应用程序的属性界面，在“参数”中选择“允许任何命令行参数”。图图81参数界面步骤9单击<确定>即可。步骤10在可以访问windowsserver2012的电脑中，请使用浏览器登录\hhttps://应用服务器的IP/RDWeb，并输入正确的域帐户和密码。图图82浏览器登录步骤11登录成功后可以看到已发布的RemoteApp程序。图图83RemoteApp程序界面ii目录双机热备典型配置举例 1简介 1配置前提 1使用限制 1HA口直连网线模式配置举例 1组网需求 1配置思路 2配置注意事项 2配置步骤 2验证配置 6HA口不连网线模式配置举例 7组网需求 7配置思路 8配置注意事项 8配置步骤 8验证配置 10PAGEPAGE1双机热备典型配置举例简介本文档介绍两台运维审计系统的双机热备模式，实现运维审计系统的系统配置实时同步，并且提高运维的高可用。配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。本文档假设您已了解双机热备模式的特性。使用限制必须是两台运维审计系统的硬件设备。两台运维审计系统的软件版本必须相同。如果两台运维审计系统的软件版本不同，那必须先把低版本升级到相同版本。必须使用业务数据口作为管理口。HA口直连网线模式配置举例组网需求1IP虚拟一个IPHA口直连用于系统配置信息实时同步。具体应用需求如下：IPIPIP；IPIP；当主机恢复故障之后，主机和备机则重新启用双机热备模式；HAIP之后，直连。PAGEPAGE2图1双机热备（HA）配置组网图配置思路AdminIP，必须是同一网关；HAIP，并且直连；然后将一台设备启用为主机模式，另外一台设备启用为备机模式；配置之后，设备即可变成双机热备（HA）的工作模式。配置注意事项为了确保双机热备配置成功，需要注意以下几方面：两台运维审计系统的软件版本必须相同。IPIP必须是同一网关。HAIP必须直连和互通。先配置主机，再配置备机。100%之后，再进行主备切换重启检测。配置步骤先配置主机HAIPPAGEPAGE10#进入[系统/系统配置/网络配置/物理端口信息]页面。#给HA口设置一个IP及掩码，本案例中以“/24”为例。图1HA口配置示意图配置主机模式#进入[系统/系统配置/HA配置]页面。#选择：热备模式-主机、HA接口设备。#设置：备机HA接口的IP、服务/虚拟IP。#注意/IP/备份IA模式的接口不冲突的IP！#编辑完成之后，单击<保存>后即可生效。图图2主机配置示意图再配置备机HAIP#进入[系统/系统配置/网络配置/物理端口信息]页面。#给HA口设置一个IP及掩码，本案例中以“/24”为例。图图3HA口配置示意图配置备机模式#进入[系统/系统配置/HA配置]页面。#选择热备模式-备机。#将主机上的HA群组验证密钥复制-粘贴至备机上。#选择：HA口接口设备#配置：主机HA接口的IP、服务/虚拟IP。因为在配置备机时，“服务/虚拟IP”项会变成灰色，无法配置，可以先切换为“热备模式-HA主机”模式，就可以修改灰色部分；修改完成之后，无需点保存，直接切换“热备模式-HA备机”模式即可。#编辑完成之后，单击<保存>即可生效。图图4备机配置示意图验证配置IP登录运维审计系统#如果使用虚拟IP地址能成功登录运维审计系统，那说明HA启用了。HA配置页面显示是否正常#检查HA配置页面中显示的信息是否正常。#检查连接状态（t（%。图图5HA配置示意图HA口不连网线模式配置举例组网需求6IP虚拟一个IPHA口直连用于系统配置信息实时同步。具体应用需求如下：IPIPIP；IPIP；当主机恢复故障之后，主机和备机则重新启用双机热备模式；HAIPHA口之间不接网线。图图6双机热备（HA）配置组网图配置思路AdminIP，必须是同一网关；然后将一台设备启用为主机模式，另外一台设备启用为备机模式；配置之后，设备即可变成双机热备（HA）的工作模式。配置注意事项为了确保双机热备配置成功，需要注意以下几方面：两台运维审计系统的软件版本必须相同。IPIP必须是同一网关。先配置主机，再配置备机。100%之后，再进行主备切换重启检测。配置步骤先配置主机#进入[系统/系统配置/HA配置]页面。#选择：热备模式-主机、HA接口设备为bond0。#设置：备机HA接口的IP、服务/虚拟IP。灾备灾备/IP和灾备/IPHAIP！#编辑完成之后，单击<保存>后即可生效。图7主机配置示意图再配置备机#进入[系统/系统配置/HA配置]页面。#选择热备模式-备机。#将主机上的HA群组验证密钥复制-粘贴至备机上。#选择：HA口接口设备为bond0。#配置：主机HA接口的IP、服务/虚拟IP。因为在配置备机时，“服务/虚拟IP”项会变成灰色，无法配置，可以先切换为“热备模式-HA主机”模式，就可以修改灰色部分；修改完成之后，无需点保存，直接切换“热备模式-HA备机”模式即可。#编辑完成之后，单击<保存>即可生效。图8备机配置示意图验证配置IP登录运维审计系统#如果使用虚拟IP地址能成功登录运维审计系统，那说明HA启用了。HA配置页面显示是否正常#检查HA配置页面中显示的信息是否正常。#检查连接状态（t（%。PAGEPAGE11图9HA配置示意图ii目录双因素认证典型配置举例 1简介 1配置前提 1动态令牌认证典型配置举例 1适用产品和版本 1注意事项 1配置思路 1配置步骤 2验证配置 4USBKEY认证典型配置举例 5适用产品和版本 5注意事项 5配置思路 6配置步骤 6验证配置 8短信网关认证典型配置举例 9适用产品和版本 9注意事项 9配置思路 10配置步骤 10验证配置 13谷歌认证典型配置举例 15适用产品和版本 15注意事项 15配置思路 16配置步骤 16验证配置 23PAGEPAGE1双因素认证典型配置举例简介本章介绍运维审计系统的动态令牌、USBKEY、短信网关、谷歌认证的身份认证配置。配置前提动态令牌认证：准备至少一个动态令牌及对应的种子文件。USBKEYUSBKEY。API参数。GoogleAuthenticatorAPP、阿里身份宝等）。动态令牌认证典型配置举例适用产品和版本适用于运维审计系统所有型号。注意事项配置前，请准备以下资料：动态令牌卡图1动态令牌硬件示意图动态令牌须向运维审计系统供应商采购，每个动态令牌卡都有一个序列号。动态令牌的种子文件图2动态令牌的种子文件示意图配置思路导入动态令牌的种子文件到运维审计系统中；admin；PAGEPAGE2启用动态令牌认证模式；admin、密码、动态密码登陆。配置步骤导入动态令牌的种子文件#进入[用户/动态令牌]页面。图3动态令牌管理页面示意图#单击<导入令牌>选择种子文件，将其导入到运维审计系统中。图4动态令牌管理页面示意图#导入成功之后，就会列出相应的动态令牌序列号。PAGEPAGE3图5动态令牌管理页面示意图动态令牌绑定用户#进入[操作/绑定]，进入页面。图6动态令牌管理页面示意图#选择需要绑定的用户，例如：绑定admin用户，单击<绑定>即可。图7动态令牌管理页面示意图PAGEPAGE4#查看已启用的状态。图8动态令牌管理页面示意图验证配置#使用已绑定的用户登录运维审计系统：输入用户名、密码、动态口令、验证码，即可登录成功。PAGEPAGE5图9系统登录页面示意图USBKEY认证典型配置举例适用产品和版本适用于运维审计系统所有型号。注意事项配置前，请准备以下资料：USBKEY卡图10USBKEY硬件示意图USBKEY2USBKEY硬件，一个是用于给管理员签发、另一个给其他用户签发。PAGEPAGE25IE浏览器准备IE8/9/10/11浏览器。USBKEY控件在登录页面的下方位置，下载至本地并安装好。图11USBKEY控件下载页面示意图配置思路adminIEUSBKEY控件；adminUSBKEY；USBKEY；USBKEY认证模式；IE浏览器登录运维审计系统。配置步骤admin使用IE浏览器登录系统并安装USBKEY驱动程序#进入到登录页面；下载并默认安装好USBKEY控件。图12USBKEY控件示意图给admin签发USBKEY#进入[用户/USBKEY]页面。#在本地电脑上插入USBKEY。#然后单击<制作管理员USBKEY>进入页面，选择USBKEY，指定admin用户。图图13USBKEY管理页面示意图#单击<确定>之后，就会列出相应的USBKEY序列号，将其启用即可。图14USBKEY管理页面示意图给其他用户签发USBKEY#进入[用户/USBKEY]页面。#再本地电脑再插入一个新的USBKEY。#单击<签发USBKEY>进入页面，选择管理员USBKEY、用户USBKEY、用户。图图15USBKEY管理页面示意图#单击<确定>之后，就会列出相应的USBKEY序列号，将其启用即可。图16动态令牌管理页面示意图验证配置#在本地电脑上插入已被签发的USBKEY。#使用IE浏览器登录运维审计系统。#进入登录界面后，系统会自动读取USBKEY信息。#读取成功之后，系统会自动识别用户名，然后输入密码和验证码，即可登录成功。图图17系统登录页面示意图短信网关认证典型配置举例适用产品和版本适用于运维审计系统所有型号。注意事项配置前，请准备以下资料：短信网关平台准备接收短信的手机及手机号。准备短信网关平台的URL。例如：以\h/api.shtml为例测试。准备短信网关平台的账户和密码，用于发送短信。Webservice参数（API参数）准备短信网关平台的API参数信息，用于运维审计系统的短信认证配置。图图18API参数示意图配置思路API参数；启用短信网关认证；给运维审计系统的用户配置手机号；发送测试信息验证是否成功；使用运维审计系统的用户名、密码、短信密码登录。配置步骤准备API参数#参考\h/api.shtml短信网关平台里的API参数，编辑正确的API参数信息。图图19API参数示意图目前只支持UTF-8、GBK编码方式发送短信。给运维审计系统用户配置手机号#进入[用户/用户管理]页面中，编辑一个用户，在页面中填写手机号码。启用短信网关认证模式#进入[系统/系统配置/安全配置/短信配置]页面中，选择短信网关。#填写API参数、选择编码格式。#确认无误之后，单击<保存>后即可生效。图图20双因素认证页面示意图POSTGET居多，可以每种尝试或咨询短信网关厂商。URL：根据准备好的短信网关平台的Webservice参数（API参数）为准，可咨询短信网关厂商。APIWebservice（API参数验证配置发送测试短信#进入[系统/系统配置/安全配置/双因素认证]页面中，选择短信网关，在测试手机号码中输入接收的手机号码，单击<发送测试信息>即可验证是否配置成功。#如果发送成功，手机会接收到信息。图图21短信网关认证配置页面示意图登录运维审计系统#使用短信认证方式登录运维审计系统：输入用户名、密码、验证码。#单击<获取短信口令>后，手机会收到短信口令，口令即可。图图22系统登录页面示意图谷歌认证典型配置举例适用产品和版本适用于运维审计系统所有型号。注意事项配置前，请准备以下资料：智能手机支持的手机系统：iOS、windowsphone、android认证APPGoogleAuthenticator、洋葱认证、阿里身份宝等系统时间一致确保手机的时间与运维审计系统的时间，保持一致；符合标准时间。配置思路在运维审计系统中新建用户；使用新建的用户登录运维审计系统，进入用户的个人信息页面中；APP；APP扫描验证密钥二维码，并确保验证成功；使用谷歌认证登录运维审计系统配置步骤新建用户#进入[用户/用户管理]页面。#新建用户。图图23用户管理页面示意图进入用户的个人信息页面#进入[个人信息/谷歌验证]页面中。图图24谷歌验证页面示意图#当前运维人员使用手机下载对应手机系统的认证APP。#注意：如果有的手机可能扫描有问题、或安装APP的时候有闪退的情况，建议使用洋葱认证APP或阿里身份宝！图图25APP示意图验证密钥二维码#单击<重置验证信息>，进入设置谷歌验证页面；#请不要关闭或退出，否则会造成密钥变掉。#运维人员使用手机认证APP，扫描二面二维码。图图26设置谷歌验证页面示意图#使用认证APP的“扫描条形码”功能，扫描二维码。会自动生成一个当前运维审计系统用户的动态密码（30秒自动变一次。图图27APP示意图#返回[设置谷歌验证]页面中，输入动态密码进行验证。图图28设置谷歌验证页面示意图#图图29设置谷歌验证页面示意图验证配置WEB登录验证#选择“谷歌验证”模式，使用已验证成功的用户登录运维审计系统：输入用户名、密码、动态口令、验证码，即可登录成功。图图30系统登录页面示意图SSH登录验证#打开SSH协议的客户端工具登录设备，输入的格式：用户名：设备用户密码：设备用户的密码+动态口令图图31SSH登录页面示意图RDP登录验证#打开RDP协议的客户端工具登录设备，输入的格式：用户名：设备用户密码：设备用户的密码动态令牌：动态口令图32RDP登录页面示意图ii目录运维审核典型配置举例 1简介 1配置前提 1会话备注典型配置举例 1适用产品和版本 1配置思路 1配置步骤 1验证配置 2二次审核典型配置举例 3适用产品和版本 3配置思路 3配置步骤 3验证配置 4命令审核典型配置举例 6适用产品和版本 6配置思路 6配置步骤 7验证配置 8PAGEPAGE6运维审核典型配置举例简介本章介绍主机运维会话备注、主机运维二次审核、操作命令审核。配置前提运维审计系统中必须有运维员和管理员。admin作为管理员进行审核的。运维审计系统中必须有主机。会话备注和二次审核支持所有协议的主机。SSH/telnetlinux/unix服务器。会话备注典型配置举例适用产品和版本适用于运维审计系统所有型号。配置思路unix服务器；unix服务器启用“会话备注”功能；unix服务器前需要输入会话备注信息后，才能登录成功；管理员可以看到运维员的登录记录。配置步骤#管理员进入[资产/主机管理]页面。#编辑一台字符主机；例如：编辑uni