Solution to scan error "RPC server is not available". (วิธีแก้ไขปัญหาการสแกน "RPC server is not available" (เซิร์ฟเวอร์ RPC ไม่พร้อมใช้งาน))

สำหรับการสแกนเครือข่ายโดยใช้ AIT จะต้องคำนึงถึงโครงสร้างพื้นฐาน IT ปัจจุบัน รวมทั้งนโยบายด้านการรักษาความปลอดภัยและการกำหนดค่าต่างๆ ด้วย นอกจากนี้ยังควรตรวจสอบยืนยันด้วยว่าพีซีที่จะสแกนเชื่อมต่อกับ LAN โดยตรงหรือโดยอ้อม (VPN) กระบวนการต่อไปนี้จะแสดงวิธีการแก้ไขปัญหาการสแกนเมื่อคุณพบข้อผิดพลาด “เซิร์ฟเวอร์ RPC ไม่พร้อมใช้งาน”

ขั้นตอนการแก้ไขปัญหาการสแกนนี้มีดังนี้

  1. ควรพิจารณาว่าที่อยู่ IP ที่มีการรายงานปัญหาเป็นอุปกรณ์ Windows หรืออุปกรณ์เครือข่าย หรืออื่นๆ เนื่องจากหากไม่ใช่อุปกรณ์ Windows จะทำให้ AIT ไม่พบว่าบริการ WMI กำลังทำงานอยู่ จึงรายงานข้อผิดพลาดนี้ตามปกติ ทั้งนี้ขึ้นอยู่กับว่ามีการระบุชื่อโดเมนระหว่างการสแกนและมีการใช้ช่วง IP หรือไม่
  2. หากอุปกรณ์ Windows รายงานข้อผิดพลาด ควรตรวจสอบว่าพีซีดังกล่าวพร้อมใช้งานผ่านเครือข่ายหรือไม่ โดยให้ตรวจสอบว่าพีซีนั้นตอบสนองต่อ Ping หรือไม่ (จะใช้งาน Ping ได้เมื่อเปิดใช้งานโปรโตคอล ICMP) เราขอแนะนำให้ดำเนินการตรวจสอบดังกล่าวโดยใช้สคริปต์ PowerShell ที่ทำให้สามารถบันทึกข้อมูล Ping ในปริมาณมากโดยใช้ไฟล์ AD_Computers.txt ที่ AIT สร้างขึ้นเป็นแนวทาง เปรียบเทียบจำนวนพีซีที่ตอบสนองต่อ Ping โดยพิจารณาจำนวนรวมโดยประมาณของพีซี หากพีซีที่ตอบสนองต่อ Ping มีจำนวนน้อย สาเหตุของปัญหาการสแกนอาจเป็นเพราะพีซีไม่ได้เชื่อมต่อกับเครือข่ายหรืออยู่ใน VLAN ที่เข้าถึงไม่ได้ ในทางกลับกัน หากจำนวนพีซีที่ตอบสนองต่อ Ping ใกล้เคียงกับจำนวนพีซีทั้งหมด สาเหตุของปัญหาการสแกนจะเป็นเพราะพอร์ตถูกปิดกั้นโดยไฟร์วอลล์ที่ใช้ในพีซีแต่ละเครื่องที่จะสแกน
$PCName = Get-Content "C:\ProgramData\Autodesk\AIT\AD_Computers.txt"  
$Successfulping = New-Item c:\Successfulping.txt -ItemType "file" -force
$Failedping = New-Item c:\Failedping.txt -ItemType "file" -force
  
foreach ($PC in $PCName) {  
  
        if (test-Connection -ComputerName $PC -Count 1 -Quiet ) {   
            "$PC is Pinging "  
             Add-Content -path $Successfulping -value "$PC is Pinging"
          
                    } else  
                      
                    {
                    "$PC not pinging"  
                    Add-Content -path $Failedping -value "$PC not pinging"
              
                    }      
          
}
  1. เมื่อพิจารณาแล้วว่าไฟร์วอลล์คือสาเหตุของปัญหาการสแกน ก็ควรตรวจสอบยืนยันด้วยว่าไฟร์วอลล์ที่ใช้ในพีซีแต่ละเครื่องที่จะสแกนนั้นจัดการโดย Windows หรือโซลูชันการรักษาความปลอดภัยอื่นนอกเหนือจาก Windows เพราะจะทำให้ทราบว่าควรดำเนินการปรับเปลี่ยนทางเทคนิคกับส่วนใดของกฎไฟร์วอลล์ที่มีอยู่ AIT รับมูลคลังผลิตภัณฑ์ Autodesk มาโดยการสืบค้นจุดข้อมูลระบบปฏิบัติการ Windows หลากหลายจุดด้วย WMI (Windows Management Instrumentation) ซึ่งเป็นโครงสร้างพื้นฐานด้านการจัดการภายในระบบปฏิบัติการ Windows เมื่อได้รับ IP ของพีซีแต่ละเครื่อง AIT จะพยายามเชื่อมต่อกับพอร์ต UDP 137,138, TCP 135,139 และ 445 บนพีซีแต่ละเครื่องที่จะสแกน AIT จะเชื่อมต่อกับบริการ RPC Endpoint Mapper บนพอร์ต TCP 135 และ RPC Endpoint Mapper จะแจ้งว่าอยู่ภายใต้พอร์ต WMI ใด โดยหมายเลขพอร์ตสามารถเป็นหมายเลขใดก็ได้และอาจอยู่ระหว่างช่วง 1025-5000 หรือ 49152-65535 โปรดตรวจสอบให้แน่ใจว่าได้กำหนดค่าไฟล์วอลล์ของอุปกรณ์อย่างถูกต้องเพื่ออนุญาตการใช้งาน WMI ทั้งหมด การเปิดใช้เพียงบางพอร์ตนั้นไม่เพียงพอ เนื่องจากข้อมูลจะส่งผ่านพอร์ตแบบสุ่มตามที่กล่าวไว้ข้างต้น
  1. หากไฟร์วอลล์จัดการโดย Windows สามารถตรวจสอบคร่าวๆ ได้โดยการเปิดใช้งานข้อยกเว้นพอร์ตที่จำเป็นในเครื่องพีซีเพียงเครื่องเดียว จากนั้นใช้งานการสแกนโดย AIT กับพีซีเครื่องนั้นโดยเฉพาะเพื่อตรวจสอบยืนยันว่าสแกนเครือข่ายได้สำเร็จหรือไม่ สำหรับการตรวจสอบนี้ จะต้องดำเนินการตามคำสั่งต่อไปนี้ในหน้าต่างแสดงคำสั่งบนพีซีที่เลือกตรวจสอบในฐานะผู้ดูแล
call netsh firewall set service RemoteAdmin enable
call netsh firewall add portopening protocol=tcp port=135 name=DCOM_TCP135

หากดำเนินการตามคำสั่งและใช้งาน AIT แล้วสแกนได้สำเร็จ แสดงว่าจะต้องตั้งค่าที่ไฟร์วอลล์ Windows ของพีซี ในการปรับใช้การตั้งค่านี้กับพีซีทั้งหมด ขอแนะนำให้สร้างนโยบายกลุ่มสำหรับ Active Directory โปรดดูการตั้งค่านโยบายกลุ่มให้อนุญาตการดูแลจากระยะไกลขาเข้า

  1. หากไฟร์วอลล์จัดการโดยโซลูชันการรักษาความปลอดภัยอื่นนอกเหนือจาก Windows คุณจะต้องเข้าสู่ระบบคอนโซลการจัดการของโซลูชันนั้น แล้วแก้ไขกฎไฟร์วอลล์ที่ใช้อยู่โดยอนุญาตให้พีซีรับคำขอบนพอร์ตที่ AIT กำหนดได้ โปรดดูกระแสการสื่อสารของ AIT TCP/IP ในการสแกนเครือข่าย
  1. หากดำเนินการตามขั้นตอนนี้แล้วยังคงพบปัญหา “RPC server is not available” (เซิร์ฟเวอร์ RPC ไม่พร้อมใช้งาน) อยู่ โปรดยกเลิกการเปลี่ยนแปลงทั้งหมดแล้วกำหนดค่า AIT ด้วยวิธีอื่นแทน

คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ RPC และรายละเอียดเกี่ยวกับการแก้ไขปัญหาได้ในลิงก์นี้ https://social.technet.microsoft.com/wiki/contents/articles/4494.windows-server-troubleshooting-rpc-server-is-unavailable.aspx

นโยบายกลุ่มให้อนุญาตการดูแลจากระยะไกลขาเข้า

  1. บนเซิร์ฟเวอร์ Active Directory ให้เปิดตัวจัดการนโยบายกลุ่ม
  2. คลิกขวาบนโดเมนที่เลือก ไม่ว่าจะเป็นทั้งโครงสร้างหรือหน่วยองค์กร สร้าง GPO ใหม่โดยแนะนำให้ตั้งชื่อว่า “Autodesk Inventory Tool” เพื่อให้สามารถตรวจสอบย้อนกลับได้
  3. เมื่อสร้าง GPO แล้ว คลิกขวาบน GPO นั้น แล้วเลือก “Edit (แก้ไข)”
  4. ในตัวแก้ไขนโยบายกลุ่ม ไปที่พาธ: ในตัวแก้ไขนโยบายกลุ่ม ไปที่พาธ:
Computer Configuration\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile
  1. เมื่อไปตามพาธเรียบร้อยแล้ว ให้กำหนดค่า GPO ตามระบบปฏิบัติการและภาษาที่กำหนดค่าไว้ดังนี้
Windows Defender Firewall: Allow inbound remote administration exception
Windows Firewall: Allow inbound remote administration exception
Windows Firewall: Allow remote administration exception
  1. เมื่อเลือกแล้ว คลิกขวาแล้วเลือก “Edit” (แก้ไข) จากนั้นในการกำหนดค่าให้เลือก “Enabled” (เปิดใช้งาน) ในตัวเลือกการกำหนดค่า ให้ป้อนที่อยู่ IP ของเซิร์ฟเวอร์หรือพีซีที่ติดตั้ง AIT ในกล่องข้อความที่ระบุว่า “Allow unsolicited incoming messages from these IP addresses” (อนุญาตข้อความขาเข้าที่ไม่ได้ขอจากที่อยู่ IP เหล่านี้)”

กระแสการสื่อสารของ AIT TCP/IP ในการสแกนเครือข่าย

แผนภาพต่อไปนี้แสดงการสื่อสารผ่านเครือข่ายของ AIT ขณะดำเนินการสแกนข้ามเครือข่าย