弹弹堂服务端详细设置说明

一、服务器架构图……………………………………………………………………二、服务器硬件（带宽）检查………………………………………………………三、需求代理商提供域名指向....…………………………………………………….四、服务器安全部署前相关软件安装……………………………………………….五、服务器安全部署………………………………………………………………….六、中心服务器(DB)部署…………………………………………………………….七、IIS服务器部署…………………………………………………………………...八、GM后台部署…………………………………………………………………….九、游戏服务器部署………………………………………………………………….十、测试……………………………………………………………………………….Parter_ID代理商编号(一个区一个编号,由我们分配)IP_Db数据库服务器的IP(一般为192.168.0.2)Port_Db数据库端口(一般设置为2433)Pass_Tank77数据库账号tank77的密码Pass_Count77数据库账号count77的密码Pass_LoginKey合作伙伴的登陆地址（一般由代理商提供给我们）Pass_ChargeKey合作伙伴的充值地址（一般由代理商提供给我们）Version游戏版本号(由我们提供)s1.ddt.7road.com游戏主域名，游戏的入口quest.ddt.7road.comWeb请求站点的域名，处理一些普通的数据业务。res.ddt.7road.com资源文件站点的域名LoginPage登陆地址(s1.ddt.7road.com)MainPage首页(现在已经无用，可以填同登陆地址一致)RegistePage注册地址(现在已经无用)PayPage充值地址注意，文档中以【x】编著的部分，表示此变量x的值。File模板站点(格式一般为file1.ddt.官方域名)Gameadmin后台站点(格式一般为gameadmin.ddt.官方域名)Channel_ID频道的ID，在数据库录入。Channel_Name频道的名称Channel_IP频道的IPChannel_Port频道的端口LogPath游戏日志路径(默认为d:\GameLog)服务器架构图1、弹弹堂一个区里有4台服务器，1台DB服务器（数据存储）、1台IIS服务器（下载游戏客户端使用）、2台游戏服务器（游戏连接运行）外网ip:xxx.xxxx.xxx.xxx内网ip:192.168.0.2外网ip:xxx.xxxx.xxx.xxx内网ip:192.168.0.4外网ip:xxx.xxxx.xxx.xxx内网ip:192.168.0.5外网ip:xxx.xxxx.xxx.xxx内网ip:192.168.0.62、外网IP由服务器商自行设置（一般情况我方不需要进行修改）。3、内网IP设置请咨询提供服务器的技术人员（可以为192.168.1.0网段等）。注意：不要造成内网IP冲突服务器硬件（带宽）检查DB一组服务器IISGS1GS21、服务器硬件配置服务器硬件配置型号数量备注INTEL54202可为E5405级别，双U四核心4G2无SAS硬盘146G以上1无1000M网卡2一个接公网，一个接游戏服务器（连接交换机）服务器软件配置每台服务器系统都是window2003，X64位服务器带宽配置带宽：IIS服务器不小于100M独享接入，其他服务器各10M独享接入2、检查操作系统是否为windows2003X64位操作系统。3、检查硬件配置是否符合要求。4、检查带宽，可以通过软件进行检测（）。5、检查内网网卡是否已经连接6、检查内网卡是否设置IP（咨询提供服务器技术人员可用内网IP网段）需求代理商提供域名指向1、从代理商技术人员提供过来的四台服务器从提取一台做IIS服务器。2、把需要指向的域名需求提供给项目负责人，项目负责人进行代理商的联系。3、服务器域名分为单线和双线的需求。---------------------------------------例：代理商提供了一组弹弹堂服务器IP:123.123.123.121(IIS服务器)123.123.123.122（中心服务器）123.123.123.123（游戏服务器）123.123.123.124（游戏服务器）单线服务器需求如下：gameadmin.ddt.*.*s1.ddt.*.*res.ddt.*.*quest.ddt.*.*file1.ddt.*.*例：gameadmin.ddt.7road.com上面的域名ip请指向123.123.123.121---------------------------------------例：代理商提供了一组弹弹堂服务器IP:123.123.123.121/222.222.222.221(IIS服务器)123.123.123.122/222.222.222.222（中心服务器）123.123.123.123/222.222.222.223（游戏服务器）123.123.123.124/222.222.222.224（游戏服务器）双线服务器需求如下:gameadmin.ddt.*.*s1.ddt.*.*res.ddt.*.*quest.ddt.*.*file1.ddt.*.*例：gameadmin.ddt.7road.com上面的域名ip请指向123.123.123.121/222.222.222.221======================================================ddtgame1.*.*指向123.123.123.123/222.222.222.223ddtgame2.*.*指向123.123.123.124/222.222.222.224======================================================服务器安全部署前相关软件安装1、对提供过来的四台服务器进行安装.netFramework3.5注：IIS服务器要先进行Internet信息服务(IIS)管理器的安装。2、更新操作系统最新补丁3、安装CuteFTPProV8.3.2服务器安全部署1、针对所有服务器的安全部署2、安全部署文档-------------------------------------------------------------------------------1、用户帐号a.将administrator改名,例子中改为rootb.取消所有除管理员root外所有用户属性中的远程控制-启用远程控制以及终端服务配置文件-允许登陆到终端服务器c.将guest改名为administrator并且修改密码d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQLDEBUG以及TERMINALUSER等等2、目录权限将所有盘符的权限,全部改为只有administrators组全部权限system全部权限将C盘的所有子目录和子文件继承C盘的administrators(组或用户)和SYSTEM所有权限的两个权限然后做如下修改:C:\ProgramFiles\CommonFiles开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\Temp开放Everyone修改,读取及运行,列出文件目录,读取,写入权限出现msdtc日志问题，运行msdtc-resetlog重起3、IIS的安全:右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml,.shtm,.stmIIS(Internet信息服务器管理器)在主目录选项设置以下：读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性-主目录-配置-选项中在网站把”启用父路径“前面打上勾在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”4、WEB目录权限D：盘目录给与administrators全部权限system全部权限单独建立的用户(或者IUSER)选择高级-打开除完全控制,遍历文件夹/运行程序,取得所有权3个外的其他权限.-----------------------------------------------------------------------C:\DocumentsandSettings\AllUsers\ApplicationData给administrators,system,networkservice完全控制权限IIS设置mime.flvC:\WINDOWS\Microsoft.NET\Framework加上networkservice权限红色标注权限只需要在IIS服务器上设置-----------------------------------------------------------------------5、本地策略：本地策略---用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务允许登陆：只加入Administrators,RemoteDesktopUsers组，其他全部删除在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆,加入ASPNETIUSR_IWAM_NETWORKSERVICE(注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了)本地安全策略-本地策略-审核策略打开以下内容审核策略更改成功,失败(auditpolicychange)审核系统事件成功,失败(auditsystemevents)审核帐户登陆事件成功,失败(auditaccountlogonevents)审核帐户管理成功,失败(auditaccountmanagement)开始程序管理工具本地安全策略账户策略密码策略密码最短使用期限改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]账户策略账户锁定策略账户锁定阈值5次账户锁定时间10分钟[个人推荐配置]在安全设置里本地策略-安全选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径;将以上四项全部删除不允许SAM账户的匿名枚举更改为已启用不允许SAM账户和共享的匿名枚举更改为已启用;网络访问:不允许存储网络身份验证的凭据或.NETPassports更改为已启用;网络访问.限制匿名访问命名管道和共享,更改为已启用;将以上四项通通设为“已启用”本地策略安全选项清除虚拟内存页面文件更改为已启用不显示上次的用户名更改为已启用不需要按CTRL+ALT+DEL更改为已启用6、关闭无用的服务我们一般关闭如下服务:HelpandSupportTCP/IPNetBIOSHelperComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行Messenger传输客户端和服务器之间的NETSEND和警报器服务消息DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient:用于局域网更新连接信息，不需要禁用Errorreportingse