Συμβουλές για τη ρύθμιση του Εξυπηρετητή ανακατεύθυνσης

1. Συστάσεις για την ισχύ φόρτωσης του Εξυπηρετητή ανακατεύθυνσης.
2. Τροποποίηση του μητρώου στον εξυπηρετητή και στους σταθμούς εργασίας Windows
3. Παράμετροι TCP/IP στο μητρώο των Windows
4. Παράμετροι Java στο μητρώο
5. Μεταφορά πληροφοριών του Εξυπηρετητή ανακατεύθυνσης σε κατάλογο LDAP
6. Ρύθμιση του Εξυπηρετητή ανακατεύθυνσης του Host On-Demand για το πρωτόκολλο SSL με τη χρήση αυτο-υπογραφόμενου πιστοποιητικού

1. Συστάσεις για την ισχύ φόρτωσης του Εξυπηρετητή ανακατεύθυνσης.

   Βεβαιωθείτε ότι ο αριθμός των συνδέσεων που προσπαθείτε να ενεργοποιήσετε δεν επηρεάζει την απόδοση του υπολογιστή όπου βρίσκεται ο Εξυπηρετητής ανακατεύθυνσης. Μπορείτε να χρησιμοποιήσετε τις ακόλουθες πληροφορίες ως κατευθυντήριες γραμμές για την εκτίμηση της ισχύος φόρτωσης του Εξυπηρετητή ανακατεύθυνσης (Redirector) του Host On-Demand 9 στο AIX και στα Windows. Οι πραγματικές τιμές μπορεί να διαφέρουν ανάλογα με τους ακόλουθους παράγοντες: υλικός εξοπλισμός, ποσότητα δεδομένων στο δίκτυο, φόρτος εργασίας εξυπηρετητή και συχνότητα ενεργοποίησης συνεδριών.

   Κατά μέσο όρο, ο Εξυπηρετητής ανακατεύθυνσης ενεργοποιούσε 13 συνδέσεις ανά δευτερόλεπτο. Κάθε συνεδρία ενεργοποιούσε μια νέα συναλλαγή (αποστολή δεδομένων) 1/10 του δευτερολέπτου μετά τη λήξη της προηγούμενης συναλλαγής (λήψη δεδομένων). Οι περισσότερες υπηρεσίες και τα προγράμματα είχαν τερματιστεί στα συστήματα δοκιμής, συμπεριλαμβανομένων των εξυπηρετητών διαδικτύου.

   AIX

   Προδιαγραφές υλικού εξοπλισμού

   Χρησιμοποιήθηκε υλικός εξοπλισμός και εξοπλισμός δικτύου με τις ακόλουθες προδιαγραφές, σε απομονωμένο δίκτυο δοκιμής:

   • Μοντέλο 7025
   • Αποκλειστικός διπλός επεξεργαστής, μνήμη 2 GB
   • Παράμετρος μνήμης αρχείου shell script της Διαχείρισης υπηρεσιών -Xms 512M

   Συστάσεις για την ισχύ φόρτωσης του Εξυπηρετητή ανακατεύθυνσης

   Είδος σύνδεσης	Προτεινόμενος αριθμός χρηστών
   SSL	10.000
   Μη SSL	15.000

   Παράμετροι της Διαχείρισης υπηρεσιών

   Ορίστε τις ακόλουθες παραμέτρους στο δείγμα αρχείου shell script για τη Διαχείριση υπηρεσιών:

   Παράμετρος	Περιγραφή
   ulimit -n	Ελέγχει τον αριθμό τον ανοιχτών αρχείων περιγραφής.
   -Xms	Ορίζει την ελάχιστη διαθέσιμη μνήμη για τη Java. Η τιμή της παραμέτρου αυτής πρέπει να είναι μεγαλύτερη από 256 MB.

   Windows

   Προδιαγραφές υλικού εξοπλισμού

   Χρησιμοποιήθηκε υλικός εξοπλισμός και εξοπλισμός δικτύου με τις ακόλουθες προδιαγραφές, σε απομονωμένο δίκτυο δοκιμής:

   • Windows 2000 Server
   • Αποκλειστικοί διπλοί επεξεργαστές 2 GHz, μνήμη 1 GB

   Συστάσεις για την ισχύ φόρτωσης του Εξυπηρετητή ανακατεύθυνσης

   Είδος σύνδεσης	Προτεινόμενος αριθμός χρηστών
   SSL	3.000
   Μη SSL	4.000

2. Τροποποίηση του μητρώου στον εξυπηρετητή και στους σταθμούς εργασίας Windows για το Host On-Demand

   Για να εξασφαλίσετε την καλύτερη δυνατή απόδοση του Εξυπηρετητή ανακατεύθυνσης, μπορεί να είναι απαραίτητο να τροποποιήσετε τις ακόλουθες παραμέτρους στο μητρώο των Windows:

   Παράμετρος	Περιγραφή
   MaxUserPort	Ελέγχει τον ανώτερο αριθμό θύρας που μπορεί να χρησιμοποιηθεί όταν μια εφαρμογή ζητήσει οποιονδήποτε διαθέσιμο αριθμό θύρας χρήστη από το σύστημα.
   KeepAlive	Διατηρεί τη σύνδεση με τον Εξυπηρετητή ανακατεύθυνσης ενεργή κατά τη διάρκεια μιας περιόδου αδράνειας.
   -Xms	Ορίζει την ελάχιστη διαθέσιμη μνήμη για τη Java. Η τιμή της παραμέτρου αυτής πρέπει να είναι μεγαλύτερη από 256 MB.
   -Xmx	Ορίζει το μέγιστο μέγεθος του σωρού Java (Java heap).

3. Παράμετροι TCP/IP στο μητρώο των Windows

   Όταν χρησιμοποιείτε τον Εξυπηρετητή ανακατεύθυνσης του Host On-Demand σε έναν εξυπηρετητή Microsoft Windows, συνιστάται να διαβάσετε τα ακόλουθα άρθρα από τη βάση δεδομένων Microsoft Knowledge Base.

   • Το άρθρο 319504 περιγράφει πώς μπορείτε να τροποποιήσετε την τιμή της παραμέτρου MaxUserPort για να αυξήσετε τον αριθμό των θυρών TCP/IP που θα είναι διαθέσιμες για τον Εξυπηρετητή ανακατεύθυνσης. Μπορείτε να τροποποιήσετε την υπάρχουσα καταχώρηση ή να προσθέσετε την παράμετρο στο μητρώο. Η τιμή της παραμέτρου πρέπει να είναι 65534.
   • Το άρθρο 238643 περιγράφει άλλες παραμέτρους TCP/IP των Microsoft Windows. Συνιστάται να τροποποιήσετε την τιμή της παραμέτρου KeepAliveTime. Η προεπιλεγμένη τιμή αυτής της παραμέτρου είναι 2 ώρες. Με την τιμή αυτή, το λειτουργικό σύστημα δεσμεύει για δύο επιπλέον ώρες τους πόρους TCP για συνδέσεις που έχουν τερματιστεί. Αν ένα σύστημα πελάτης Host On-Demand αποσυνδεθεί από τον εξυπηρετητή Host On-Demand για λόγους άλλους από την αποσύνδεση του χρήστη από τη συνεδρία Telnet, μπορεί να χρειαστούν δύο επιπλέον ώρες για το κλείσιμο και την αποδέσμευση όλων των πόρων TCP που χρησιμοποιούνται για τη σύνδεση μεταξύ του Εξυπηρετητή ανακατεύθυνσης του Host On-Demand και του εξυπηρετητή Telnet. Η συντόμευση αυτού του χρονικού διαστήματος από δύο ώρες σε 30 λεπτά μπορεί να συμβάλει στην αποφυγή της δέσμευσης πόρων TCP για ανενεργές συνεδρίες που δεν έχουν κλείσει πλήρως. Επιπλέον, η μείωση της τιμής KeepAliveTime υποχρεώνει το λειτουργικό σύστημα να ελέγχει πιο συχνά τις συνδέσεις. Έτσι, το πρωτόκολλο TCP μπορεί να εντοπίζει πιο γρήγορα τις κλειστές συνεδρίες και να αποδεσμεύει τους αντίστοιχους πόρους.

4. Παράμετροι Java στο μητρώο

   Μπορεί να είναι απαραίτητο να τροποποιήσετε τις παραμέτρους Java -Xms και -Xmx αν θέλετε να είναι δυνατή η πραγματοποίηση του μέγιστου αριθμού συνδέσεων με τον εξυπηρετητή Host On-Demand. Αν παρατηρήσετε ότι ο Εξυπηρετητής ανακατεύθυνσης τερματίζεται ξαφνικά ή ότι στο σύστημα έχουν δημιουργηθεί αρχεία javacore.*, αυτό μπορεί να σημαίνει ότι πρέπει να τροποποιήσετε αυτές τις παραμέτρους.

   Κάντε τις ακόλουθες αλλαγές απευθείας στο μητρώο των Windows για να ενημερώσετε τις παραμέτρους Java:

   1. Από ένα παράθυρο γραμμής εντολών, εκτελέστε την εντολή Regedit.
   2. Αναζητήστε το κλειδί IBMServiceManager, το οποίο βρίσκεται στη θέση HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services. Κάτω από το κλειδί IBMServiceManager, διπλοπατήστε στο κλειδί Parameters.
   3. Εντοπίστε το κλειδί AppParameters.
   4. Προσθέστε τις ακόλουθες παραμέτρους στο κλειδί τοποθετώντας τις πριν από την παράμετρο -classpath.

      Βεβαιωθείτε ότι αφήσατε ένα κενό διάστημα μεταξύ των πρόσθετων παραμέτρων και της παραμέτρου -classpath. Είναι σημαντικό το λειτουργικό σύστημα να διαθέτει αρκετή μνήμη για την εκτέλεση όλων των απαιτούμενων λειτουργιών Java. Μην δεσμεύσετε όλη τη μνήμη Java.

      Για παράδειγμα, σε ένα σύστημα με λιγότερα από 512Mb μνήμης, καθορίστε τις τιμές -Xms256M -Xmx768M, όπου η τιμή -Xms ορίζει το αρχικό μέγεθος του σωρού Java και η τιμή -Xmx το μέγιστο μέγεθος του σωρού Java. Προσαρμόστε και τις δύο τιμές με βάση τη συνολική μνήμη του υπολογιστή σας. Η τιμή της παραμέτρου -Xms θα πρέπει να είναι τουλάχιστον 256M. Η παράμετρος -Xmx εξαρτάται από το μέγεθος της μνήμης στον υπολογιστή σας και θα πρέπει να έχει τη μέγιστη δυνατή τιμή.
   5. Κλείστε τον Επεξεργαστή μητρώου (Regedit).
   6. Από τον Πίνακα ελέγχου των Windows, τερματίστε και επανεκκινήστε τη Διαχείριση υπηρεσιών του Host On-Demand για να τεθούν σε ισχύ οι αλλαγές που κάνατε. Αν αποτύχει ο τερματισμός της Διαχείρισης υπηρεσιών του Host On-Demand, ελέγξτε ξανά τις παραμέτρους που αλλάξατε.

5. Μεταφορά πληροφοριών του Εξυπηρετητή ανακατεύθυνσης σε κατάλογο LDAP

   Αν στο Βοήθημα διαχείρισης του Host On-Demand επιλέξετε τη χρήση ενός καταλόγου LDAP από την υπηρεσία καταλόγου, πρέπει να επανεκκινήσετε τη Διαχείριση υπηρεσιών για να μεταφερθούν οι πληροφορίες του Εξυπηρετητή ανακατεύθυνσης στον κατάλογο LDAP. Οι πληροφορίες στο παράθυρο Υπηρεσία ανακατεύθυνσης του Βοηθήματος διαχείρισης δεν ενημερώνονται με τις αντίστοιχες πληροφορίες για την υπηρεσία καταλόγου LDAP έως ότου επανεκκινήσετε τη Διαχείριση υπηρεσιών.

6. Ρύθμιση του Εξυπηρετητή ανακατεύθυνσης του Host On-Demand για το πρωτόκολλο SSL με τη χρήση αυτο-υπογραφόμενου πιστοποιητικού

   Εκτός από τις πληροφορίες στον οδηγό Σχεδιασμός, εγκατάσταση και ρύθμιση του Host On-Demand, χρησιμοποιήστε τις ακόλουθες συμβουλές για να ρυθμίσετε τον Εξυπηρετητή ανακατεύθυνσης του Host On-Demand για το πρωτόκολλο SSL με τη χρήση αυτο-υπογραφόμενου πιστοποιητικού.

   Αν χρησιμοποιείτε ασφάλεια SSL στον Εξυπηρετητή ανακατεύθυνσης σε πλατφόρμα Microsoft Windows ή IBM AIX με αυτο-υπογραφόμενο πιστοποιητικό, βεβαιωθείτε ότι έχει δημιουργηθεί το αρχείο κλειδιών του εξυπηρετητή και το αρχείο CustomizedCAs.class ή CustomizedCAs.p12 και ότι βρίσκονται στο σωστό φάκελο. Το αρχείο CustomizedCAS.class ή CustomizedCAS.pk12 θα πρέπει να βρίσκεται στον κατάλογο δημοσίευσης του Host On-Demand. Αν ισχύει στο λειτουργικό σύστημα που χρησιμοποιείτε, βεβαιωθείτε ότι τα bits δικαιωμάτων για το αρχείο CustomizedCAS.* έχουν τιμή 755.

   Αν χρησιμοποιείτε κάποια δημόσια Υπηρεσία έκδοσης πιστοποιητικών (CA), δεν χρειάζεται να δημιουργήσετε το αρχείο CustomizedCAs.class ή CustomizedCAs.p12.

   Ακολουθήστε την εξής διαδικασία για να δημιουργήσετε το αρχείο κλειδιών του εξυπηρετητή Host On-Demand:

   1. Αν εντοπίσετε ένα υπάρχον αρχείο HODServerKeyDb.kdb, CustomizedCAs.class ή CustomizedCAs.p12, αντιγράψτε το σε κάποιον άλλο κατάλογο ή διαγράψτε το.
   2. Χρησιμοποιήστε τη λειτουργία Διαχείριση πιστοποιητικών (IBM Key Management) του Host On-Demand για να δημιουργήσετε ένα νέο αρχείο βάσης δεδομένων κλειδιών CMS με όνομα, για παράδειγμα, HODServerKeyDb.kdb. Πρέπει να πληκτρολογήστε έναν κωδικό πρόσβασης για το αρχείο βάσης δεδομένων κλειδιών και να επιλέξετε την αποθήκευση του κωδικού πρόσβασης σε αρχείο. Αν ορίσετε ημερομηνία λήξης για τον κωδικό πρόσβασης, σημειώστε την ώστε να την θυμάστε.
   3. Επιλέξτε Προσωπικά πιστοποιητικά από το μενού στην επικεφαλίδα της λίστας πιστοποιητικών και στη συνέχεια επιλέξτε Νέο αυτο-υπογραφόμενο πιστοποιητικό από τη γραμμή μενού.
   4. Εξαγάγετε το πιστοποιητικό ως αρχείο .arm σε μορφή Base64 ή ως αρχείο .br σε μορφή δυαδικών δεδομένων στον κατάλογο /hostondemand/bin.
   5. Αποθηκεύστε το αρχείο στη βάση δεδομένων κλειδιών HODServerKeyDB.kdb στον κατάλογο \hostondemand\bin.

   Ακολουθήστε την εξής διαδικασία για να δημιουργήσετε το αρχείο CustomizedCAs.class ή CustomizedCAs.p12:

   1. Επιλέξτε Αρχείο βάσης δεδομένων κλειδιών > Νέο. Δημιουργήστε μια κλάση βάσης δεδομένων κλειδιών SSLight, για παράδειγμα, CustomizedCAs.class ή CustomizedCAs.p12, στον κατάλογο /hostondemand/HOD.

      Ο κωδικός πρόσβασης πρέπει να είναι hod.

      Επιλέξτε Πιστοποιητικά εκδοτριών υπηρεσιών από το μενού και προσθέστε το αρχείο πιστοποιητικού .arm. Καθορίστε την κατάλληλη επωνυμία για το πιστοποιητικό.
   2. Επιλέξτε Αρχείο βάσης δεδομένων κλειδιών και στη συνέχεια Αποθήκευση ως. Επιλέξτε CMS ως βάση δεδομένων PKCS12. Αν το αρχείο υπάρχει ήδη, αντικαταστήστε το.
   3. Επανεκκινήστε τη Διαχείριση υπηρεσιών του Host On-Demand.
   4. Τροποποιήστε ή δημιουργήστε μια υπηρεσία ανακατεύθυνσης καθορίζοντας ασφάλεια στην πλευρά του συστήματος πελάτη ή και στις δύο πλευρές.
   5. Τροποποιήστε ή δημιουργήστε μια συνεδρία που να συνδέεται στον Εξυπηρετητή ανακατεύθυνσης που ρυθμίσατε προηγουμένως με ενεργοποιημένη την ασφάλεια SSL.
   6. Αν ισχύει στο περιβάλλον σας, βεβαιωθείτε ότι τα δικαιώματα για τα αρχεία customizedCAs.* έχουν τιμή 755.
   Πριν συνδεθείτε στο σύστημα πελάτη, διαγράψτε τα περιεχόμενα του καταλόγου τοπικής αποθήκευσης (cache) αρχείων Internet από το πρόγραμμα πλοήγησης και επανεκκινήστε το πρόγραμμα πλοήγησης.