|
|
要成功发行设备,从ServiceDesk Plus服务器,必须能够Ping通该设备。对于非英文操作系统,如果有防火墙,必须在防火墙配置中,将TCP
端口 7 添加到例外中。
在ServiceDesk Plus, 扫描Windows机器可使用代理模式和非代理模式。非代理模式,使用WMI (Windows
Management Instrumentation) 协议,不需要在被扫描机器上安装任何客户端软件。而代理模式则需要在被扫描机器上安装代理。
Windows Management Instrumentation (WMI) 是Windows专用协议,它通过通用方式共享管理信息。使用WMI获取数据,必须满足以下RPC和DCOM设置。
RPC (Remote Procedure Call)
RPC (Remote Procedure Call) 动态分配1024以上的端口,并使用静态端口135和445进行通讯。因此,防火墙软件中需要做相应的设置。
但是,将1024以上的端口都打开,并不是一个较好的策略。好在我们可以通知设置,限制RPC所使用的端口范围。然后在防火墙中做对应的端口处理。
比如:将RPC使用的端口,限制在一定范围 (如:5000, 5001, 5002),可以在注册表中修改相应的条目(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet),增加REG_MULTI_SZ ,值为5000、5001、5002),这样,只需要在防火墙中例外这些端口和135和445端口即可。
如果使用Windows 防火墙,必须启用 Remote Administration选项。
DCOM (Distributed Component Object Model)
WMI 具有缺省的模拟、认证和认证服务(NTLM 或 Kerberos)设置。因此要访问被扫描机器,需要确保DCOM设置和WMI命名空间的安全设置都设置正确,并启用相应的选项。您可以使用控制面板下管理工具中的DCOM配置工具(DCOMCnfg.exe)配置WMI的DCOM设置。该工具可以暴露通过DCOM远程访问该计算机的特定用户。默认情况下,管理员组的成员被允许远程连接该计算机。使用该工具设置启动和访问安全,配置WMI服务。
要为每个目标工作站配置RPC和DCOM的设置,并不是一件轻松的事。您可以使用下面提供的脚本,配置WMI所需的缺省RPC和DCOM设置。
A. 对于Windows 防火墙及DCOM选项
下载文件 scan_setup.txt
将该文件复制到目标工作站,并重命名为 "scan_setup.vbs" (不要引号)。
然后,从DOS命令行,执行以下命令::
DIR_OF_SCRIPT_FILE> CSCRIPT scan_setup.vbs
重启该工作站。
注意: 可以在域控制器中,将该脚本也可以配置为登录脚本。以便配置域内的所有计算机的防火墙选项。
B. 配置您的路由器/防火墙(限制WMI端口)
如上所述,操作系统将会为WMI默认使用1024以上的随机端口。但是我们可以通过修改注册表,限制并最小化该端口的使用范围。 以下将介绍如何使用我们提供的脚本进行具体的限制配置。
下载文件 wmi_port_setup.txt
将该文件复制到目标工作站,并重命名为 "wmi_port_setup.vbs"(不要引号)
使用文本编辑器,编辑该脚本,指定WMI的端口范围(
将在防火墙中开放这些端口)
(不编辑的话,默认范围为:5000 - 5002)
使用DOS命令行,执行以下命令:
DIR_OF_SCRIPT_FILE> CSCRIPT wmi_port_setup.vbs
重启该工作站。
配置防火墙,开放上面所使用的端口。
|
|