扫描相关常见问题
基本要求
Windows 机器
为网络提供的登录名应该具有特权管理员权限
目标工作站必须运行了远程注册表Remote Registry服务
目标工作站必须打开了139(文件共享)端口
Linux 机器
必须打开SSH 22 端口
打印机,交换机,路由器
SNMP (v1 / v2c / v3) 必须启用,并且必须为网络扫描配置相应的凭据
未审计的工作站
未审计的工作站将列出扫描失败的工作站(或)最近未扫描的工作站。此视图还将显示扫描失败的原因。
点击资产模块。
点击左侧列出的未审计的工作站。
这将列出所有未经审核的工作站及其相应的错误消息。
错误信息及原因
以下是“上次扫描摘要”及“未审计的工作站”视图中显示的错误消息及原因。
错误信息 | 原因 |
|---|---|
未知的用户名 或 错误的密码 | 验证凭据库或域扫描页面中给出的凭据,
|
无法连接到 admin$ share |
|
| 网络扫描中配置的凭据均未成功 | 如果你正在做网络扫描并且已经配置了多个凭证,这个错误表明在扫描中没有凭证被成功使用。 |
| 本地资产凭证不成功 | 在工作站->更改凭据页面中选择的凭据未成功,可能由于用户名未知或密码错误。 |
无法创建和启用远程服务 | 请核查凭证是否给予了admin权限。并且确保提及的所有Windows资源扫描条件均是已满足的。 |
端口[139/22] 未被打开 | 对于Windows目标机器,确保139端口是被打开的并且从探针机器发起是可达的。 对于Linux目标机器,确保22端口是打开的并且从探针机器发起是可达的。 |
| 未配置Windows凭据 | 配置网络扫描时,您尚未从凭据库中选择用于扫描Windows计算机的Windows凭据。 |
| 未配置SSH凭据 | 在配置网络扫描时,您尚未从用于扫描Linux/Mac计算机的凭据库中选择SSH凭据。 |
其他错误信息 | 在凭据库中添加Windows凭据时,如果要扫描的计算机位于Windows域中,请以DomainName\UserName格式提供用户名。此外,请检查上述相同条件以确保扫描成功。 |
探针如何执行网络或域扫描?
在网络扫描或预扫描期间,探针将首次发现列表中所有活动状态的主机
对于每个活动主机,Probe将确定是执行Windows、Linux还是SNMP扫描
根据工作站配置的凭据、打开的端口等,探针将确定目标工作站是Windows、Linux还是SNMP设备
如果是Windows机器,探针将扫描相关文件复制到目标机器的admin$ 共享并尝试执行它们
如果是Linux机器,探针将复制脚本文件并且执行sheel脚本
对于SNMP设备,查询的是预定义OID
扫描结果然后上传到 SDP Cloud
如何检查主机是否处于活动状态,端口139或22是否打开?
来到探针机器
打开命令提示符
输入cd C:\ManageEngine\SDPODProbe\bin\NMap
nmap.exe -n -p 端口号 IP地址 (例如: nmap.exe -n -p 135,139,445,22,80 192.168.1.1)
该命令显示目标主机端口是否已启动,以及该工作站中打开的端口列表
如何检查远程注册表服务是否在目标工作站中运行?
- 进入目标工作站
- 打开Windows服务,检查Remote Registry服务状态
- 服务必须为已启用并且状态为运行状态
如何检查Admin$分享是否可访问?
目标服务器的 Admin$ 共享必须可以被探针机器成功扫描。
- 进入探针机器
- 打开命令提示符
- 输入 net use \\TargetHost\Admin$ /user:domain\administrator
- 提供密码( 使用您在SDP Cloud中为域扫描或网络扫描配置的相同凭据 )
- 命令成功完成。
同样的,尝试执行以下内容并且查看 Admin$ 是否可使用:
- 进入到安装探针的机器
- 在运行处输入\\TargetHost\Admin$
- 如果它要求提供任何凭据,请提供您在SDP Cloud中为域扫描或网络扫描配置的相同凭据
- 必须建立成功的连接,并且目标工作站的文件必须显示在Windows资源管理器中
如果139端口没有打开并且Admin$不能使用,如何故障排查?
- 进入到目标工作站
- 打开Windows防火墙并且检查防火墙状态
- 如果防火墙出于运行状态,那么需要开启TCP的139端口允许进入
- 检查是否有任何杀毒,安全,终端软件阻碍了139端口的进入
- 请尝试以下讨论中提及到的一些建议 :
- https://social.technet.microsoft.com/Forums/windows/en-US/2ff997ca-bb0d-4ea5-87c0-6264433fc4be/unable-to-access-administrative-shares-on-a-windows-7?forum=w7itpronetworking
- https://social.technet.microsoft.com/Forums/en-US/9f375a5d-9194-45e8-bcb6-4656bf05f180/problems-accessing-administrative-shares-remotely-on-windows-2012-cannot-access?forum=winserver8gen
- https://social.technet.microsoft.com/Forums/windows/en-US/4efab32e-3f9c-458a-835c-5ba0ce9a49cc/domain-machine-cant-access-administrative-shares-c-admin-on-windows-7-x64-network-path-was-not?forum=w7itpronetworking
- https://social.technet.microsoft.com/Forums/en-US/8ecac154-b871-46c0-8529-fd7fb7ffe943/windows-10-v1803-cant-access-admin-share-c-in-a-domain?forum=win10itpronetworking
在探针日志中需要检查的事项
您可以进入到探针安装的机器中查看探针日志以了解更多细节。
最近扫描的日志信息将在ProbeMain0.log中可以被查看。(C:\ManageEngine\SDPODProbe\logs)
活动主机 : 在网络或域扫描期间,探针将首先找出活动主机的列表。只有当主机进入此 “活动主机列表” 时,探针才会继续扫描该主机。 探针使用 NMap 进行活动主机的发现。检查主机列表中是否有可用的主机名或
IP。此外,请检查扫描主机时是否打印了任何 Windows 错误代码。
是否有其他扫描方式?
您可以通过 GPO 或任务计划程序在每个工作站中运行自扫描脚本。详情请参阅此处: https://help.sdpondemand.com/self-scan
什么场景下工作站会被_old 后缀重命名?
场景1: 用户提供了一个新的工作站
假设应用程序中提供了以下工作站:
---------------------------------------------
工作站名称 服务标签
---------------------------------------------
john.zillum.com J1
现在,John的电脑遇到了一个问题并且被一个新的电脑替换。新的电脑名称为john.zillum.com,但是服务标签发生了改变,变为了J2。当新的电脑被扫描,旧的电脑将会自动更名为john.zillum.com_old并且新的电脑将会以 john.zillum.com被添加(或者说覆盖)。
在扫描结束时,以下是工作站的列出方式:
---------------------------------------------
工作站名称 服务标签
---------------------------------------------
john.zillum.com_old J1
john.zillum.com J2
场景2: 用户提供了一个应用中已经存在了的工作站。
假设应用程序中提供了以下工作站:
---------------------------------------------
工作站名称 服务标签
---------------------------------------------
john.zillum.com J1
TestWin10.zillum.com J2
John使用的计算机是TestWin10.zillum.com,他的计算机遇到问题,IT 团队在操作系统级别将“TestWin10”计算机重命名为 john.zillum.com 后,为他提供了该计算机。
当新机器被扫描,应用中将发生如下变化:
a) john.zillum.com 将被重命名为 john.zillum.com_old
b) TestWin10.zillum.com 将被重命名为 john.zillum.com
在扫描结束时,以下是工作站的列出方式:
---------------------------------------------
工作站名称 服务标签
---------------------------------------------
john.zillum.com_old J1
john.zillum.com J2