Solution to scan error "RPC server is not available". (Rozwiązanie błędu skanowania „Serwer RPC jest niedostępny”)
W przypadku skanowania sieciowego za pomocą aplikacji AIT należy uwzględnić bieżącą infrastrukturę IT, jak również bieżące zasady i konfiguracje zabezpieczeń. Ponadto należy sprawdzić, czy skanowane komputery są podłączone do sieci LAN bezpośrednio, czy pośrednio (VPN). Poniżej przedstawiono procedurę rozwiązywania problemów ze skanowaniem po wyświetleniu błędu „Serwer RPC jest niedostępny”.
Kroki umożliwiające rozwiązanie tego błędu skanowania:
- W zależności od tego, czy nazwa domeny została określona w czasie skanowania i czy zostały użyte zakresy adresów IP, ważne jest ustalenie, czy adres IP, z którego został zgłoszony błąd, jest urządzeniem systemu Windows, urządzeniem sieciowym czy innym, ponieważ jeśli nie jest to urządzenie systemu Windows, wówczas aplikacja AIT nie znajdzie uruchomionej usługi WMI i wystąpienie tego błędu jest normalne.
- Jeśli to urządzenie systemu Windows zgłasza ten błąd, ważne jest, aby zrozumieć, czy komputery są dostępne w sieci, tj. czy odpowiadają na polecenie ping (polecenie ping działa, jeśli protokół ICMP jest włączony). Aby to sprawdzić, zalecamy użycie poniższego skryptu PowerShell, który umożliwia przeprowadzenie masowego wysłania polecenia ping na podstawie pliku ADX_Computers.txt utworzonego przez aplikację AIT. Uwzględniając przybliżoną liczbę komputerów, porównaj liczbę komputerów, które odpowiadają na polecenie ping. Jeśli liczba komputerów odpowiadających na polecenie ping jest mała, wówczas przyczyną błędu skanowania mogą być komputery niepodłączone do sieci lub znajdujące się w nieosiągalnej sieci VLAN. Z drugiej strony, jeśli liczba komputerów odpowiadających na polecenie ping jest bliska całkowitej liczbie komputerów, przyczyną błędu skanowania jest blokowanie portu przez zaporę stosowaną na każdym komputerze objętym skanowaniem.
$PCName = Get-Content "C:\ProgramData\Autodesk\AIT\AD_Computers.txt"
$Successfulping = New-Item c:\Successfulping.txt -ItemType "file" -force
$Failedping = New-Item c:\Failedping.txt -ItemType "file" -force
foreach ($PC in $PCName) {
if (test-Connection -ComputerName $PC -Count 1 -Quiet ) {
"$PC is Pinging "
Add-Content -path $Successfulping -value "$PC is Pinging"
} else
{
"$PC not pinging"
Add-Content -path $Failedping -value "$PC not pinging"
}
}
- Określając, czy zapora stanowi przyczynę błędu skanowania, należy sprawdzić, czy zapora używana na każdym komputerze objętym skanowaniem jest zarządzana przez system Windows, czy jest rozwiązaniem zabezpieczeń innym niż systemu Windows, ponieważ pozwala to ustalić, gdzie należy wprowadzić modyfikacje techniczne w istniejących regułach zapory. Aplikacja AIT uzyskuje spis produktów firmy Autodesk, wysyłając zapytania do różnych punktów danych systemu operacyjnego Windows za pomocą Instrumentacji zarządzania Windows (WMI), która jest infrastrukturą zarządzania wbudowaną w systemy operacyjne Windows. Gdy aplikacja AIT uzyskuje adres IP każdego komputera, próbuje połączyć się z portami UDP 137, 138 oraz TCP 135, 139 i 445 na każdym komputerze, który próbuje przeskanować. Aplikacja AIT łączy się z usługą Program mapowania punktów końcowych wywołań RPC przez port TCP 135 i Program mapowania punktów końcowych wywołań RPC informuje, na których porty WMI nasłuchuje. Numer portu jest losowy i może zawierać się w przedziale 1025–5000 lub 49152–65535 . Należy zadbać o to, aby zapora komputerów była poprawnie skonfigurowana i zezwalała na cały ruch WMI. Otwarcie poszczególnych portów nie jest wystarczające, ponieważ ruch jest przesyłany przez porty losowe, jak wspomniano powyżej.
- Jeśli zapora jest zarządzana przez system Windows, można wykonać szybkie sprawdzenie polegające na lokalnym włączeniu wymaganych wyjątków portów na pojedynczym komputerze, a następnie uruchomieniu skanowania w aplikacji AIT skierowanego tylko na ten komputer, aby zweryfikować, czy skanowanie sieciowe zakończy się powodzeniem. Aby to sprawdzenie było możliwe, należy wykonać następujące polecenia jako administrator w oknie wiersza polecenia na tym wybranym komputerze testowym:
call netsh firewall set service RemoteAdmin enable
call netsh firewall add portopening protocol=tcp port=135 name=DCOM_TCP135
Jeśli po wykonaniu tych poleceń i uruchomieniu aplikacji AIT skanowanie się powiedzie, wiadomo, że te ustawienia muszą być wprowadzone w zaporze systemu Windows komputerów. Aby rozszerzyć to ustawienie na wszystkie komputery, zaleca się utworzenie zasad grupy usługi Active Directory. Patrz Ustawienia zasad grupy zezwalające na przychodzącą administrację zdalną.
- Jeśli zapora jest zarządzana przez rozwiązanie bezpieczeństwa inne niż systemu Windows, należy zalogować się do konsoli zarządzania tego rozwiązania i edytować bieżącą regułę zapory, aby zezwolić komputerom na odbieranie żądań na portach wymagane przez aplikację AIT. Patrz Przepływ komunikacji TCP/IP aplikacji AIT w skanowaniach sieciowych.
- Jeśli po wykonaniu tej procedury błąd „Serwer RPC jest niedostępny” będzie nadal występował, należy cofnąć wszystkie wprowadzone zmiany i kontynuować konfigurowanie aplikacji AIT za pomocą innych metod:
Aby uzyskać więcej informacji na temat RPC i szczegóły dotyczące rozwiązywania problemów, skorzystaj z następującego łącza: https://social.technet.microsoft.com/wiki/contents/articles/4494.windows-server-troubleshooting-rpc-server-is-unavailable.aspx
Zasady grupy zezwalające na przychodzącą administrację zdalną
- Na serwerze usługi Active Directory uruchom menedżera zasad grupy.
- Kliknij prawym przyciskiem myszy wybraną domenę, las lub jednostkę organizacyjną, utwórz nowy obiekt zasad grupy (GPO). Dla czytelności warto nazwać go „Autodesk Inventory Tool”.
- Po utworzeniu obiektu GPO kliknij go prawym przyciskiem myszy i wybierz polecenie „Edit” (Edytuj).
- W edytorze zasad grupy przejdź do ścieżki: (w zależności od systemu operacyjnego i skonfigurowanego języka)
Computer Configuration\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile
- Po przejściu do ścieżki skonfiguruj obiekt GPO zgodnie z systemem operacyjnym i skonfigurowanym językiem:
Windows Defender Firewall: Allow inbound remote administration exception
Windows Firewall: Allow inbound remote administration exception
Windows Firewall: Allow remote administration exception
- Po zaznaczeniu kliknij prawym przyciskiem myszy i wybierz polecenie „Edit” (Edytuj), w konfiguracji wybierz opcję „Enabled” (Włączone)”. W opcjach konfiguracji w obszarze „Allow unsolicited incoming messages from these IP addresses” (Zezwalaj na niechciane komunikaty przychodzące z następujących adresów IP) wprowadź w polu tekstowym adres IP serwera lub komputera, na którym jest zainstalowana aplikacja AIT.