Вопросы сканирования

Отказано в доступе

В: Как устранить ошибку «Отказано в доступе» или «Неизвестное имя пользователя или неверный пароль»?

О: Данная ошибка может быть вызвана несколькими причинами:

  • Имя пользователя или пароль указаны неверно.
    Проверьте имя пользователя и пароль.
  • Указанная учетная запись не имеет администраторских прав на удаленном компьютере.
    Вы должны иметь доступ с правами администратора к удаленным компьютерам для успешного сканирования (права локального или доменного администратора). Если вы вошли в систему как администратор домена или удаленные компьютеры имеют то же самое имя и пароль локального администратора, как и ваша учетная запись, то вы можете использовать вариант сканирования Текущий пользователь. Иначе укажите имя пользователя в полном формате: DOMAIN\Administrator.
  • Компьютеры не входят в домен и имеют настройки по умолчанию.
    Рабочие станции под управлением Windows XP, Vista или последующих клиентских версий, не подключённые к домену, по умолчанию не позволяют локальным администраторам удаленно удостоверяться под своими учетными записями. Вместо этого используется политика ForceGuest, что означает, что все удаленные подключения производятся с правами гостевой учетной записи. Но опять же, для проведения сканирования требуются права администратора. Поэтому вам нужно обновить политику безопасности на каждом компьютере одним из следующих способов: 
  • Запустите оснастку secpol.msc, разверните «Локальные политики — Параметры безопасности», найдите политику «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» и измените её значение с «Гостевая» на «Обычная».
  • Отключите «Использовать простой общий доступ к файлам» в свойствах папки в Проводнике.
  • Модификация реестра: установите нулевое значение параметру forceguest в ключе «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa».

Для Windows Vista и новее нужно выполнить ещё один шаг — он касается контроля учетных записей (User Account Control, UAC). В некоторых случаях он ограничивает права администраторов для удаленных подключений. Следует либо выключить UAC, либо внести изменения в реестр: создайте параметр DWORD с именем «LocalAccountTokenFilterPolicy» и значением «1» в ключе реестра «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system». Возможно, потребуется перезапуск компьютера.

Вы можете легко изменить обе настройки сразу, запустив на таких компьютерах файл .reg следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system]
"LocalAccountTokenFilterPolicy"=dword:00000001

Сервер RPC недоступен

В: Как устранить ошибку «Сервер RPC недоступен»?

О: Данная ошибка может быть вызвана несколькими причинами:

  • Соединение блокируется брандмауэром (Брандмауэр Windows или другой фаервол).
    Попытайтесь временно отключить брандмауэр на удаленном компьютере. Если на компьютере установлена Windows XP SP2/SP3, Vista или 7, смотрите вопрос по настройке Брандмауэра Windows.
  • Целевой компьютер выключен или IP адрес вообще не занят (если сканирование производится по IP и опция «Использовать сетевое обнаружение» отключена).
    Служба Windows Browser обновляет список компьютеров каждые 12 минут, поэтому компьютер может быть уже выключен, но ещё виден в сетевом окружении. Хотя в этом случае более вероятно получить статус «Ошибка пинга». Но если протокол ICMP (ping, echo) не разрешён в вашей сети, вы можете отключить пингование в Настройки Сканер Использовать сетевое обнаружение. После этого вы сможете сканировать включённые узлы, которые не отвечают на пинги, но все отключённые узлы (а также незанятые IP адреса) будут отображать статус «Сервер RPC недоступен», таким образом это приведет к некоторому замедлению сканирования больших групп или диапазонов IP адресов.
  • Неправильная запись DNS.
    Если вы сканируете компьютер по сетевому имени, оно может быть разрешено в неправильный или несуществующий (не занятый) IP адрес из-за проблем с DNS или WINS. Если вы сканируете компьютер по IP адресу, скорее всего, вы получите статус «Ошибка пинга», но если пингование перед сканированием отключено, вы получите «Сервер RPC недоступен» при сканировании отключённого или не занятого адреса (см. пункт 3).
  • Целевой хост не является компьютером или имеет операционную систему, отличную от Windows, при попытке сканирования по протоколу RPC.
    Если сканируемое имя или IP-адрес принадлежит сетевому устройству, которое можно пропинговать, но которое не является Windows-компьютером (NIX-компьютер, сетевой принтер, маршрутизатор, управляемый коммутатор, пленочная библиотека, IP-телефон, аппаратный брандмауэр, тонкий клиент, и т.п.), оно не может быть просканировано по протоколу RPC и выводится данная ошибка. Однако программа пытается просканировать его по другим протоколам (SMB, SSH и SNMP) и результат сканирования может разниться в зависимости от настроек для этих протоколов и природы сканируемого сетевого узла.

Номера портов

В: Можно ли узнать номера портов, которые программа использует для соединения, чтобы настроить фаервол/брандмауэр?

О: По умолчанию программа использует протокол SMB для сканирования Windows-компьютеров. Его можно разрешить, активировав исключение «Общий доступ к файлам и принтерам» в Брандмауэре Windows или открыв порт TCP 445 в других фаерволах.

Кроме того, для сканирования Windows-компьютеров используется протокол RPC (прямое подключение WMI), если SMB не срабатывает. Чтобы разрешить удалённые подключения RPC, нужно либо отключить Брандмауэр Windows, либо настроить особым образом:

  • Используйте команду netsh firewall в командной строке: netsh advfirewall firewall set rule group=»Удаленное администрирование» new enable=Yes .
  • Используйте редактор групповых политик: gpedit.msc -> Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена или Стандартный профиль -> Брандмауэр Windows: Разрешать исключения для удаленного управления -> Действие -> Свойства -> Включен.

Брандмауэр Windows в Vista, 7 или версии новее имеет специальное исключение «Инструментарий управления Windows (WMI)», которое может быть активировано и которое избавит вас от необходимости вручную редактировать политики.

Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь

В: Как исправить ошибку «Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь»?

О: Предпримите следующие шаги:

  1. Убедитесь, что удаленный компьютер пингуется по сетевому имени;
  2. Убедитесь, что в Брандмауэре Windows активировано исключение «Общий доступ к файлам и принтерам» (или в любом другом фаерволе разрешен протокол NetBIOS), либо фаервол выключен;
  3. Убедитесь, что в свойствах сетевого подключения удаленного компьютера активны компоненты «Клиент для сетей Microsoft» и «Служба доступа к файлам и принтерам сетей Microsoft»;
  4. Убедитесь, что параметры NetBIOS в свойствах сетевого подключения (Протокол Интернета версии 4 — Свойства — Дополнительно — WINS) установлены в «По умолчанию» или «Включить», и что служба «Модуль поддержки NetBIOS через TCP/IP» настроена на автоматический запуск и работает;
  5. Убедитесь, что политика безопасности (secpol.msc — Локальные политики — Параметры безопасности) «Сетевая безопасность: уровень проверки подлинности LAN Manager» установлена в «Отправлять LM и NTLM ответы» (вариант №1) или «Отправлять LM и NTLM ответы — использовать сеансовую безопасность» (вариант #2);
  6. Запустите команду «sfc /scannow».

Вызов был отклонен фильтром сообщений

В: Как исправить ошибку «Вызов был отклонен фильтром сообщений»?

О: Предпримите следующие шаги:

  1. Запустите на удаленном компьютере services.msc и убедитесь, что служба «Инструментарий управления Windows» настроена на автоматический запуск и работает;
  2. Убедитесь, что активирован DCOM: запустите dcomcnfg, выберите «Службы компонентов — Компьютеры — Мой компьютер», правая кнопка мыши, «Свойства», закладка «Свойства по умолчанию» и убедитесь, что активирована опция «Разрешить использование DCOM на этом компьютере»;
  3. Перезагрузите удаленный компьютер;
  4. Запустите утилиту диагностики WMI от Microsoft (WMIDiag.vbs);
  5. Следуйте данным инструкциям для исправления репозитория и переустановки WMI на удаленном компьютере.

Сканирование при входе в домен

В: Как настроить программу для сканирования компьютеров при входе пользователя в домен?

О: Это сокращенная инструкция. Полную версию инструкции можно скачать здесь.

  1. Скопируйте агент сканирования tniwinagent.exe из папки установки программы в общую папку на вашем файловом сервере, доступную всем пользователям для чтения. Для этого откройте Настройки, затем страницу Логон-скрипт, нажмите Экспортировать агент аудита укажите каталог для экспорта. Эта процедура также заполнит поле Путь к агенту. Это должен быть путь UNC (сетевой путь, начинающийся с двойной обратной косой черты).
  2. Создайте и откройте общий доступ к папке на вашем файловом сервере с правами записи для всех пользователей. Это папка, куда агент будет сохранять результаты сканирования.
    Примечание: вместо создания отдельной папки (наиболее безопасное), вы можете открыть общий доступ к пустой папке внутри хранилища TNI (безопасное) или к корневой папке хранилища (наименее надёжное) с правами записи для всех пользователей.
  3. В Настройках Логон-скрипт Путь для сохранения укажите путь, куда агент должен сохранять файлы (папка, к которой вы открыли общий доступ на шаге 2). Это также должен быть путь UNC. Если необходимо, укажите другие настройки (такие как «Задержка перед сканированием» и «Перезаписывать существующие файлы»).
  4. Скопируйте автоматически созданную команду, используя кнопку Копировать команду.
  5. Если у вас уже есть логон-скрипт для вашего домена, конкретной организационной единицы или одного пользователя, вставьте скопированную ранее команду в скрипт и сохраните его. Иначе обратитесь к полной версии данной инструкции.
  6. В главном окне TNI перейдите в режим Планировщика и создайте задачу импорта данных. В задаче импорта укажите путь к каталогу с файлами инвентаризации, который был задан в поле Путь для сохранения. Вы можете импортировать новые данные прямо сейчас или настроить импорт при запуске программы или по таймеру. Также вы можете настроить удаление файлов после импорта или импорт структуры папок (в случае, если каждая организационная единица имеет свой логон-скрипт, который запускает агента с разными параметрами, чтобы сохранять результаты в разные папки). Если вы выбрали открыть общий доступ к папке в хранилище или к самому хранилищу, вам не нужно настраивать автоимпорт. Результаты сканирования будут импортироваться автоматически, как только вы запускаете программу и она открывает хранилище, или немедленно, если программа уже запущена.

Дополнительные материалы:
Сканирование по логон-скрипту
Параметры командной строки агента
Импорт данных
FAQ по логон-скриптам (англ.)
Создание логон-скриптов (англ.)

Содержание