代理文档

1. 基于代理的数据收集概述

DataSecurity Plus 使用轻量级代理实时审计用户的文件活动。该代理会在配置每个 Windows 文件服务器、故障转移群集、工作组服务器、NetApp 服务器或工作站时安装。

• 对于 Windows 文件审计和终端 DLP，代理使用 Windows 微滤驱动程序收集文件活动。
• 对于 NetApp 文件审计，代理接收 NetApp 服务器的文件事件并将其转发给 DataSecurity Plus。
• 对于文件分析，代理使用主文件表（MFT）读取器收集文件元数据。

收集的事件数据被转发到 DataSecurity Plus 服务器，在那里进行处理、分析，并以用户友好的报告和图表形式呈现。该数据存储在 DataSecurity Plus 服务器中，当满足配置的警报策略条件时，会触发通知。

代理可以在其安装的机器上存储最多 2GB 的数据，即使暂时与 DataSecurity Plus 服务器失去联系也能继续监控。一旦连接恢复，存储的数据将转发到 DataSecurity Plus 服务器进行分析和报告，确保审计链条完整无误。

当代理与服务器的连接因任何原因断开时，软件将尝试每隔一分钟重新连接一次。

2. 安装前提条件

为确保代理能顺利安装并正常运行于目标数据源，必须满足以下条件。

2.1 软件要求

DataSecurity Plus 代理仅能运行在安装了 .NET Framework 4.5 版本且运行以下任意操作系统版本的 Windows 机器上：

• Windows 7 及以上版本
• Windows Server 2008 R2 及以上版本

2.2 磁盘空间要求

安装 DataSecurity Plus 代理至少需要 4GB 可用磁盘空间。

2.3 端口

以下是 DataSecurity Plus 正常运行所需开放的端口。

2.3.1 产品端口

下表列出 DataSecurity Plus 使用的默认端口。这些端口在安装过程中或安装后均可更改。

2.3.2 系统端口

下表列出了 DataSecurity Plus 使用的目标计算机端口。这些端口可在 Windows 或第三方防火墙中开放。

2.4 权限

部署解决方案时创建的 DataSecurity Plus 用户应为 域管理员 组成员，以自动执行以下任务：

• 安装、卸载或更新代理
• 启动或停止代理服务
• 跨服务器和代理同步属性

但如果不想授予域管理员权限，也可以赋予该用户所需的最小权限并手动执行这些任务。

注意：有关服务账户所需最小权限的信息，请参阅 权限和权限指南.

2.5 杀毒软件排除项

一些杀毒软件不信任像 DataSecurity Plus 这样的第三方应用程序，并将其文件标记为威胁，这会影响 DataSecurity Plus 的正常运行。为避免此问题，建议将以下文件和文件夹从杀毒软件扫描中排除。

2.5.1 RemCom.exe 和 RemComSvc.exe

DataSecurity Plus 使用 RemCom.exe 和 RemComSvc.exe 来安装和卸载代理。请配置您的活动杀毒软件信任并允许 DataSecurity Plus 服务器上的 RemCom.exe 以及代理安装目标机器上的 DSPRemComSvc.exe，以确保这些文件不会被杀毒软件删除，并能够顺利通过管理控制台推送代理。

2.5.2 安装目录

DataSecurity Plus 安装目录中的某些文件和文件夹有时会被杀毒软件标记为威胁，甚至被删除，这会妨碍软件正常工作。建议将整个 DataSecurity Plus 安装目录排除在杀毒软件扫描之外。

2.6 防火墙排除项

代理与服务器通信配置的 HTTP 端口应从防火墙中排除。

3. 安装代理

根据您的业务需求和授予 DataSecurity Plus 用户的权限，您可以使用以下任一方法在您的环境中安装代理。

代理可以直接通过 DataSecurity Plus 用户界面安装（如果服务帐户具有域管理员凭据），也可以间接安装（如果服务帐户仅具有最低权限）。

3.1 通过 DataSecurity Plus 用户界面安装代理

在 DataSecurity Plus 控制台中配置目标计算机时，代理将被自动安装。然后可以从 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent > 点击 Manage Agent 目标服务器的 Agent 列下的链接）。

如果通过用户界面尝试安装代理失败，请尝试使用以下任一方法进行安装。

3.2 其他代理安装方法

代理可以通过以下四种方法中的任意一种手动安装：

• 通过 MSI 文件安装代理
• 通过 GPO 安装代理
• 通过 Endpoint Central 安装代理
• 通过命令行安装代理

3.2.1 通过 MSI 文件安装代理

要通过 MSI 文件为基于域或工作组的计算机安装代理，请按照以下步骤操作：

• 在目标计算机上登录 DataSecurity Plus 网页控制台。
• 按照以下步骤下载代理 MSI 文件： Admin Console > Admin > Administrative Settings > Manage Agent > Download Agent.
  • 如果目标计算机类型为 32 位，点击 32-bit Download.
  • 如果目标计算机类型为 64 位，点击 64-bit Download.
• 双击下载的 MSI 文件，在 DataSecurity Plus Agent 向导中 > 点击 Next，输入您希望安装 DataSecurity Plus Agent 的路径 > 点击 Next。建议保留代理安装的默认路径。
• 在 DataSecurity Plus Server Details 页面中，输入以下详细信息：
  • 服务器名称： 托管 DataSecurity Plus 的服务器名称。
  • IP 地址： 托管 DataSecurity Plus 的服务器 IP 地址。
  • 端口号： 用于与 DataSecurity Plus 服务器通信的 HTTP/HTTPS 端口号。
  • 协议： 与 DataSecurity Plus 服务器通信的定义协议，即 HTTP 或 HTTPS。
  • 代理安装密钥： 在产品与代理之间建立通信所需的唯一标识符。

注意：您可以在 DataSecurity Plus 服务器的以下路径中找到上述参数的值： （Admin Console > Admin > Administrative Settings > Manage Agent 页面 > 点击右上角的 Download Agent 按钮。

• 再次点击 Next 安装代理，点击 Close 以退出向导。

3.2.2 通过 GPO 安装代理

第 1 步：创建 MST 文件

MST 文件由 Microsoft Windows Installer 使用，Windows Installer 是 Windows OS 的一个组件，支持软件安装。MST 文件用于在安装应用程序提供的 MSI 文件时进行更改。需要使用 ORCA 工具创建 MST 文件，该工具位于 Windows SDK Components for Windows Installer Developers.

要在目标计算机上创建 MST 文件，请执行以下步骤：

• 按照以下步骤下载 DataSecurity Plus Agent MSI 文件：登录 DataSecurity Plus 网页控制台，进入 Admin Console > Admin > Administrative Settings > Manage Agent > Download Agent.
  • 如果目标计算机类型为 32 位，点击 32-bit Download.
  • 如果目标计算机类型为 64 位，点击 64-bit Download.
• 打开 ORCA 工具 > 文件 > 打开 > 选择下载的 MSI 文件并点击 打开.
• 再次点击 转换 > 新建转换 > 导航至左侧面板并选择 注册表 > 为以下字段输入合适的值：
  • 服务器名称： 托管 DataSecurity Plus 的服务器名称。
  • 服务器完全限定域名 (FQDN)： 托管 DataSecurity Plus 的服务器的完全限定域名。
  • 服务器 IP： 托管 DataSecurity Plus 的服务器 IP 地址。
  • 端口： 用于与 DataSecurity Plus 服务器通信的 HTTP/HTTPS 端口号。
  • 协议： 与 DataSecurity Plus 服务器通信的定义协议，即 HTTP 或 HTTPS。
  • 代理安装密钥： 在代理安装期间建立产品与代理之间通信所需的唯一密钥。
  • IsEndpointAutoInstallRequired： 如果设置为 true，则用于自动配置代理的默认策略。仅适用于 Endpoint DLP 模块。为使其正常工作，请确保您 添加了目标域或工作组.

注意： 您可以通过点击第 3.2 节中提到的 Download Agent 页面右上角的 Manage Agent 按钮找到这些参数的值。

• 再次点击 转换 > 生成转换 > 命名转换文件 DSP.mst > 再次点击 保存.
• 将 MSI（DataSecurityPlusAgent-x86.msi 或 DataSecurityPlusAgent-x64.msi）和 MST（DSP.mst） 文件复制到新文件夹。
• 右键点击新建文件夹，转到 属性 > 共享 > 共享， 在搜索框中输入 Domain Computers > 提供读取权限 > 点击.

共享

• 第 2 步：通过 GPO 部署代理 使用域管理员凭据登录网络中任意一台（最好是域控制器）计算机，该计算机具有.
• 组策略管理控制台 (GPMC) 在搜索栏输入 Server Manager 并点击.
• Enter > 工具 > 组策略管理 在 组策略管理 窗口中，展开目标林 > 展开 域 > 选择目标域 > 右键点击 创建新的组策略对象 (GPO) ，在新建 GPO 窗口中输入 DataSecurityPlusAgent > 确定
• 并将该 GPO 链接到被审计的计算机。 右键点击 DataSecurityPlusAgent GPO，选择 编辑 > 计算机配置 > 策略 > 软件设置 > 右键点击软件安装 > 新建 > 软件包 。在对话框中，输入 DataSecurity PlusMSI 文件的完整通用命名约定 (UNC) 路径， 选择.
• Enter > 工具 > 组策略管理 DataSecurityPlus_AgentX64 > 打开 部署软件 弹出窗口，选择.
• Enter > 工具 > 组策略管理 高级 部署软件 DataSecurity Plus 代理属性修改 > 添加 ... > 点击 DataSecurity Plus MST 打开.
• 组策略管理控制台 (GPMC) 文件 > 在域控制器的命令提示符中执行 gpupdate/force。

3.2.3 通过 Endpoint Central 安装代理

要通过 Endpoint Central 安装 DataSecurity Plus 代理，请执行以下步骤：

第 1 步：创建 MSI 包

• 以管理员身份登录 Endpoint Central 控制台。
• 再次点击 软件部署 > 包创建 > 包 > 添加包 > 从下拉列表中选择 Windows 。
• 提供以下详细信息：
  • 在 包名称旁输入 DSP Agent 或您选择的任何其他名称。
  • 在 软件包类型MSI 文件的完整通用命名约定 (UNC) 路径， MSI/MSP.
  • 在 许可证类型MSI 文件的完整通用命名约定 (UNC) 路径， 商业版 。
  • 在 可安装位置MSI 文件的完整通用命名约定 (UNC) 路径， 从共享文件夹.
• 通过以下任一方法安装软件包：
  • 使用 MST 文件安装软件包

    MST 文件由 Microsoft Windows Installer 使用——这是 Windows 操作系统的一个组件，支持软件安装。它用于在安装过程中对应用程序供应商提供的 MSI 文件进行更改。MST 文件需使用 ORCA 工具创建，该工具可在以下位置获得： Windows SDK Components for Windows Installer Developers.

    • 登录 DataSecurity Plus Web 控制台，并按照以下步骤下载代理 MSI 文件：

      转到 Admin Console > Admin > Administrative Settings > Manage Agent > Download Agent.

      • 如果目标计算机类型为 32 位，点击 32-bit Download.
      • 如果目标计算机类型为 64 位，点击 64-bit Download.
    • 打开 ORCA 工具 > 文件 > 打开 > 选择下载的 MSI 文件并点击 打开.
    • 点击 转换 > 新建转换 > 导航到左侧面板，选择 注册表 > 为以下字段输入合适的值：
      • 服务器名称：DataSecurity Plus 托管服务器的名称。
      • 服务器完全限定域名（FQDN）：DataSecurity Plus 托管服务器的完全限定域名。
      • 服务器 IP：DataSecurity Plus 托管服务器的 IP 地址。
      • 版本号：您 DataSecurity Plus 安装的版本号（可通过登录 DataSecurity Plus 应用程序，在窗口右上角的 许可证 选项卡中验证）。
      • 端口：用于与 DataSecurity Plus 服务器通信的 HTTP/HTTPS 端口号。
      • 协议：用于与 DataSecurity Plus 服务器通信的协议，即 HTTP 或 HTTPS。
      • 代理安装密钥：安装代理时，在产品与代理之间建立通信所需的唯一密钥。
      • 是否需要自动安装终端：当值设置为 true 时，用于自动配置代理的默认策略。此功能仅适用于终端 DLP 模块。为确保其正常工作，请确保 添加域或工作组.

      注意：您可以通过点击 Download Agent 页面右上角的 Manage Agent 页面找到这些参数的值。

    • 点击 转换 选项卡 > 选择 生成转换 > 设置转换文件名称 DSP.mst > 保存.
    • 在 Endpoint Central 控制台中，点击 浏览 > 选择 MSI 和 MST 文件 > 点击 添加软件包.
    
  • 使用安装属性安装软件包
    • 通过安装属性从 Endpoint Central 安装代理，请遵循以下步骤：

      在 Endpoint Central 控制台中，点击 浏览 > 选择 MSI，在 安装 > 安装详细信息 > MSI/MSP 安装属性框中，输入以下命令：SERVERNAME=<SERVER_NAME> PORT=<PORT> PROTOCOL=<PROTOCOL> SERVERFQDN="<SERVER_FQDN>" SERVERIP="<SERVER_IP>" AGENTINSTALLATIONKEY=<AGENTINSTALLATIONKEY>

      若仅通过安装属性从 Endpoint Central 为终端模块自动配置安装代理，请进行以下操作：

    • SERVERNAME=<SERVER_NAME> PORT=<PORT> PROTOCOL=<PROTOCOL> SERVERFQDN=<SERVER_FQDN> SERVERIP=<SERVER_IP>

      在 Endpoint Central 控制台中，点击 浏览 > 选择 MSI，在 安装 > 安装详细信息 > MSI/MSP 安装属性框中，输入以下命令：SERVERNAME=<SERVER_NAME> PORT=<PORT> PROTOCOL=<PROTOCOL> SERVERFQDN="<SERVER_FQDN>" SERVERIP="<SERVER_IP>" AGENTINSTALLATIONKEY=<AGENTINSTALLATIONKEY>

      AGENTINSTALLATIONKEY=<AGENTINSTALLATIONKEY> ISENDPOINTAUTOINSTALLREQUIRED=True

      ：IsEndpointAutoInstallRequired 键用于当值设置为 true 时，自动使用默认策略配置终端代理。此功能仅适用于终端 DLP 模块。为确保其按预期工作，请确保

注意在以下参数中替换正确的值： 添加了目标域或工作组.

：当值设置为 true 时，用于自动配置代理的默认策略。此功能仅适用于终端 DLP 模块。为确保其按预期工作，请确保

服务器名称：DataSecurity Plus 托管服务器的名称。

端口：用于与 DataSecurity Plus 服务器通信的 HTTP/HTTPS 端口号。

协议：用于与 DataSecurity Plus 服务器通信的协议，即 HTTP 或 HTTPS。

服务器完全限定域名（FQDN）：DataSecurity Plus 托管服务器的完全限定域名。

服务器 IP：DataSecurity Plus 托管服务器的 IP 地址。

代理安装密钥：安装代理时，在产品与代理之间建立通信所需的唯一密钥。

是否需要自动安装终端在 Manage Agent 页面右上角点击 添加了目标域或工作组.

注意：您可以通过点击 Download Agent 第 2 步。部署 MSI 软件包

软件部署 > 安装/卸载软件 > Windows > 计算机配置

• 在 Endpoint Central 控制台中，点击 名称.
• 提供以下详细信息：
  • 在 操作类型旁输入 DSP Agent 或您选择的任何其他名称。
  • 在 ，点击安装 ，选择正确的.
  • 在 包名称应用部署策略 。在对话框中，输入 DataSecurity Plus 。
  • 在 在 部署设置 下MSI 文件的完整通用命名约定 (UNC) 路径， 尽早随时部署.
  • 在 定义目标中选择 远程办公/域 并指定 计算机.
• 再次点击 立即部署.

3.2.4 通过命令行安装代理

通过命令提示符安装代理，请遵循以下步骤：

• 在目标计算机上登录 DataSecurity Plus 网页控制台。
• 按照以下步骤下载代理 MSI 文件：

  转到 Admin Console > Admin > Administrative Settings > Manage Agent > Download Agent.

  • 如果目标计算机类型为 32 位，点击 32-bit Download.
  • 如果目标计算机类型为 64 位，点击 64-bit Download.
• 以管理员身份打开命令提示符（右键点击 命令提示符 ，选择 以管理员身份运行），输入以下命令：
  • 以下命令适用于文件审计和文件分析模块：

    msiexec /i "MSI_FILE_LOCATION" PROTOCOL=<PROTOCOL_USED> PORT=<PORT_NUMBER> SERVERNAME=<SERVER_NAME> SERVERFQDN=<SERVER_FQDN> SERVERIP=<SERVER_IP> AGENTINSTALLATIONKEY=<AGENTINSTALLATIONKEY> /q

  • 以下命令仅适用于终端 DLP 模块（自动配置）：

    msiexec /i "MSI_FILE_LOCATION" PROTOCOL=<PROTOCOL_USED> PORT=<PORT_NUMBER> SERVERNAME=<SERVER_NAME> FQDN=<SERVER_FQDN> SERVERIP=<SERVER_IP> AGENTINSTALLATIONKEY=<AGENTINSTALLATIONKEY> ISENDPOINTAUTOINSTALLREQUIRED=True /q

    注意：IsEndpointAutoInstallRequired 键用于当值设置为 true 时，自动使用默认策略配置终端代理。此功能仅适用于终端 DLP 模块。为确保其正常工作，请确保 添加了目标域或工作组.

  ：当值设置为 true 时，用于自动配置代理的默认策略。此功能仅适用于终端 DLP 模块。为确保其按预期工作，请确保

  • 协议：用于与 DataSecurity Plus 服务器通信的协议，即 HTTP 或 HTTPS。
  • 端口：用于与 DataSecurity Plus 服务器通信的 HTTP/HTTPS 端口号。
  • 服务器名称：DataSecurity Plus 托管服务器的名称。
  • 服务器完全限定域名（FQDN）：DataSecurity Plus 托管服务器的完全限定域名。
  • 服务器 IP：DataSecurity Plus 托管服务器的 IP 地址。
  • msi_file_location：此处为 MSI 文件所在位置。
  • 代理安装密钥：安装代理时，在产品与代理之间建立通信所需的唯一密钥。
  备注:

  • 您可以通过点击第 3.2 节中提到的 Download Agent 页面右上角的 Manage Agent 页面找到这些参数的值。
  • 如果目标计算机运行的是 32 位操作系统，请提供 DataSecurityPlusAgent-x86.msi 的位置；如果是 64 位操作系统，请提供 DataSecurityPlusAgent-x64.msi 的位置。
• 再次点击 输入 以执行命令。

4. 启动代理

已安装的 DataSecurity Plus 代理可以通过两种不同的方法启动：

4.1 从控制台启动

从 DataSecurity Plus 控制台启动代理：

• 打开 DataSecurity Plus Web 控制台。
• 转到 （Admin Console > Admin > Administrative Settings > Manage Agent。或者，选择任一已配置模块，转到 配置 > 数据源 > 选择服务器或工作站 > 点击 Manage Agent 链接。
• Enter > 工具 > 组策略管理 服务状态 表格中，点击 省略菜单 图标（三个点），位于 代理服务 > 从下拉列表中选择 启动代理.

4.2 从目标机器上的 Windows 服务应用程序启动

• 组策略管理控制台 (GPMC) 在搜索栏输入 services
• 打开该应用程序。 在 本地服务 中选择 > ManageEngine DataSecurity Plus - Agent Service ，点击左侧窗格中的

启动

。

5. 同步代理配置DataSecurity Plus 会在服务器-代理配置更改后通过远程过程调用（RPC）尝试同步这些更改。

文件分析DataSecurity Plus 会在服务器-代理配置更改后通过远程过程调用（RPC）尝试同步这些更改。

终端 DLP文件审计

：每 15 分钟一次。

：每 3 小时一次。

如果首次通过 RPC 进行配置同步失败，后续计划检查将尝试通过 HTTP/HTTPS 同步更改。

如果数据源离线，或因任何原因影响代理与服务器的通信，最多可本地存储 2GB 的审计数据。连接恢复后，这些数据将被推送至 DataSecurity Plus 服务器。 （Admin Console > Admin > Administrative Settings > Manage Agent > 点击 Manage Agent 链接。

DataSecurity Plus 还会每 15 分钟检查一次代理服务状态，并在服务停止时自动安装并启动代理服务。

您可以在 查看代理状态及相关属性。.

6. 更新代理 如果有新版本代理可用，当升级 DataSecurity Plus 时，现有版本将自动升级，前提是服务帐户为.

域管理员组 成员。.

如果您仅提供了最低权限，则必须手动更新代理。为此，请先卸载现有代理，然后下载更新的代理，并按照第

3 节

• 中的指示进行安装。
• 有关产品更新的检查，请参阅
• 发行说明
• 7. 卸载代理
• DataSecurity Plus 代理可以通过以下方法卸载：

通过 DataSecurity Plus 用户界面卸载代理

通过组策略卸载代理

• 通过命令行卸载代理 通过 Endpoint Central 卸载代理 通过目标计算机的控制面板卸载代理
• Enter > 工具 > 组策略管理 7.1 通过 DataSecurity Plus 用户界面卸载代理 通过用户界面卸载 DataSecurity Plus 代理，请遵循以下步骤： 使用管理员凭据登录.
• 在 DataSecurity PlusWeb 控制台。 Manage Agent 在应用程序
• Enter > 工具 > 组策略管理 代理服务 表格中，点击 省略菜单 图标（三个点） > 点击 卸载 Agent.

7.2. 通过组策略卸载 Agent

通过组策略卸载 DataSecurity Plus agent，请按照以下步骤操作：

• 使用域管理员凭据登录到您的域控制器，并打开组策略管理控制台（GPMC）。
• 在 GPMC 的左侧窗格中展开您的域。
• 如果 Agent 是通过 GPO 部署的，右键点击 DataSecurityPlusAgent GPO。
• 如果 Agent 是通过其他方式部署的，创建一个新的 GPO 并右键点击它 > 选择 编辑 > 计算机配置 > 策略 > 软件设置 > 软件安装.
• 导航到右侧窗格，右键点击软件包 > 点击 移除.
• Enter > 工具 > 组策略管理 移除软件 对话框，勾选 立即从用户和计算机中卸载软件.
• 再次点击 确定.
• 重启客户端计算机以完成 Agent 卸载。

发行说明

7.3. 通过命令行卸载 Agent

登录目标计算机并打开提升权限的命令提示符（右键点击 命令提示符 ，选择 以管理员身份运行).

根据您的系统是 32 位还是 64 位架构，执行相应的命令：

• 32 位：msiexec /x {8A2D7C1A-0E27-48C2-9837-8FED22F33B2B} /q
• 64 位：msiexec /x {859C3CA2-0CD2-4A38-8993-07D53F581E40} /q

7.4. 通过 Endpoint Central 卸载 Agent

注意：请参照本指南中 通过 Endpoint Central 创建 MSI 软件包 部分的步骤，使用软件包创建详情卸载 Agent。

要卸载 Agent，您需要按照以下步骤创建 MSI 软件包。

• 以管理员身份登录您的 Endpoint Central 控制台并点击 软件部署.
• 在左侧窗格中，展开 部署MSI 文件的完整通用命名约定 (UNC) 路径， 安装/卸载软件 > Windows > 计算机配置.
• 在 操作类型旁输入 DataSecurity Plus 卸载 或您选择的任何其他名称。
• 在 安装/卸载 Windows 软件 > 软件包设置，执行以下操作：
  • 在 操作类型，选择 卸载.
  • 在 包名称中选择 DSPAgent 软件包。
• 在 定义目标，选择目标服务器所属的 域 。
• 点击 远程办公/域 字段旁的筛选图标，根据您的需求包含和/或排除目标计算机。
• 再次点击 立即部署 以卸载 Agent。

7.5. 通过目标计算机的控制面板卸载 Agent

本地卸载 DataSecurity Plus agent：

• 转到 控制面板 > 程序 > 卸载程序.
• 编辑 > 计算机配置 > 策略 > 软件设置 > DataSecurity Plus Agent.
• 打开该应用程序。 卸载.

8. 代理安装错误故障排除

以下是安装 Agent 过程中可能出现的一些错误及其解决步骤。

8.1 “Remcom.exe” 不是内部或外部命令，也不是可运行的程序或批处理文件

原因：该错误发生是因为用于在目标计算机安装 Agent 的 RemCom.exe 文件被杀毒软件标记并删除。

解决方案：

• 检查目标计算机 DataSecurity Plus 安装目录（<installation_directory>\bin）中是否存在 Remcom.exe 文件。如果文件不存在，核实您的杀毒软件是否标记并移除了 Remcom.exe 文件。
• 配置杀毒软件信任 Remcom.exe 文件。
• 如果问题依然存在，请联系支持团队 support@datasecurityplus.com 以获得进一步帮助。

8.2 启动远程服务连接失败

原因： 该错误发生是因为无法在目标计算机上创建 DataSecurity Plus Agent 服务。

解决方案：

• 检查是否可以从安装 DataSecurity Plus 的服务器 ping 通目标计算机。
• 验证远程注册表服务是否在 Agent 计算机上运行。
• 接着，检查服务账户是否可以访问 admin$ 共享（\\Server_Name\admin$）。如果不能，请为访问目标计算机上的 admin$ 共享授予必要权限。如果问题依旧，请联系支持团队。 support@datasecurityplus.com.

8.3 [域] 无法复制 DataSecurityPlus.msi / 访问被拒绝：无法连接到 ADMIN$ 共享

原因：

• 服务账户没有足够权限将 MSI 文件复制到目标计算机的 admin$ 共享（\\Server_Name\admin$）。
• admin$ 共享访问限制已被超出。

解决方案：

• 检查服务账户是否有权限在 admin$ 共享中创建文件。如果没有，为其提供访问目标计算机 admin$ 共享的权限。或者，您也可以通过更新 域用户名 和 域密码 （位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。
• 打开 共享文件夹 Microsoft 管理控制台（MMC） 插件 > 共享 > admin$ > 属性 > 设置合适的 用户限制.

8.4 [工作组] 无法复制 DataSecurityPlus.msi / 访问被拒绝：无法连接到工作组中的 ADMIN$ 共享

原因：

• 服务账户没有足够的默认管理员权限访问 Admin$ 和其他管理共享。
• 检查是否启用了用户帐户控制（UAC），因为 UAC 远程限制可能阻止非默认管理员访问 Admin$ 和其他管理共享。

解决方案：

• 建议使用内置管理员账户通过网络访问 Admin$ 和其他管理共享，因为 UAC 远程限制不适用于该账户。
• 禁用 UAC 远程限制可允许非默认管理员访问 admin$ 和其他管理共享。如下操作可禁用：
• 转到 开始 > 运行，输入 regedit，然后点击确定。
• 定位并点击以下注册表项：
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• 如果 LocalAccountTokenFilterPolicy 注册表项不存在，执行以下步骤：
• 在 编辑 菜单，指向 新建，然后选择 DWORD 值.
• 组策略管理控制台 (GPMC) LocalAccountTokenFilterPolicy，按回车。
• 编辑 > 计算机配置 > 策略 > 软件设置 > LocalAccountTokenFilterPolicy，然后选择 修改.
• Enter > 工具 > 组策略管理 数值数据 框，输入 1，然后选择 确定.
• 退出注册表编辑器。

请参阅 Microsoft 的指南 以更好地了解 UAC 与远程限制。

• 另外，非默认管理员也可以通过组策略调整安全设置来访问 admin$ 和其他管理共享。但因这会影响系统安全配置，操作时请谨慎。调整方法如下：
• 转到 开始 > 运行，输入 gpedit.msc 并点击确定
• 转到 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项
• 在安全选项页面，确保以下设置配置如下：
• 用户帐户控制：内置管理员账户的管理员批准模式 → 启用
• “用户帐户控制：以管理员批准模式运行所有管理员” → 禁用
• “网络访问：本地帐户的共享和安全模型” → 经典 – 本地用户以其自身身份进行身份验证

我们强烈建议出于安全考虑，使用内置管理员账户访问网络共享。

8.5 无法连接到计算机

原因：

• 该错误发生是因为无法联系目标计算机。

解决方案：

• 检查是否能从安装 DataSecurity Plus 的服务器 ping 通目标计算机。如果无法解决基础连接问题，请联系支持团队。 support@datasecurityplus.com.

8.6 登录失败 - 目标账户名不正确

原因： 该错误发生是因为所用服务账户被锁定、禁用或密码已更改。

解决方案：

• 检查服务账户是否能访问 admin$ 共享（\\Server_Name\admin$）。如果不能，为其提供访问目标计算机 admin$ 共享的权限。或者，您可以通过更新 域用户名 和 域密码 （位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。

8.7 登录失败 - 用户名未知或密码错误

原因：

• Admin$ 共享未启用。
• 用户账户可能没有域管理员权限。

解决方案：

• 检查服务账户是否能访问 admin$ 共享（\\Server_Name\admin$）。如果不能，为其提供访问目标计算机 admin$ 共享的权限。或者，您可以通过更新 域用户名 和 域密码 位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。

8.8 无法启动远程服务 - 重叠的 I/O 操作正在进行中

原因： 该错误发生是因为服务账户没有权限在目标计算机启动服务。

解决方案：

• 检查服务账户是否能访问 admin$ 共享（\\Server_Name\admin$）。如果不能，为其提供访问目标计算机 admin$ 共享的权限。或者，您可以通过更新 域用户名 和 域密码 （位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。

8.9 已安装此产品的其他版本 (0x666)

原因： 该错误发生是因为目标计算机上已安装其他版本的 Agent。

解决方案：

• 按照 第 7 节中的步骤卸载现有 Agent，并重试当前安装。

8.10 已有其他安装正在进行中 (0x652)

原因： 该错误发生是因为目标计算机上 DataSecurity Plus Agent MSI 文件的安装已在进行中。

解决方案

• 等待正在进行的安装完成后，再重新尝试安装代理。
• 如果您未启动任何软件的安装，也可以在命令提示符中运行以下命令： taskkill /f /im msiexec.exe 以终止目标计算机上运行的任何 MSI 安装。

8.11 网络路径未找到 - 配置的用户没有将代理复制到 admin$ 共享的必要权限

原因

• 无法联系目标计算机。
• 服务帐户没有足够的权限访问目标计算机上的 admin$ 共享（\\Server_Name\admin$）。

解决方案

• 确保 DataSecurity Plus 服务器可以联系目标计算机。
• 检查服务帐户是否可以访问 admin$ 共享。如果不能，请授予目标计算机上访问 admin$ 共享的必要权限。

8.12 无法复制 DataSecurityPlusAgent.msi

原因

• 服务账户没有足够权限将 MSI 文件复制到目标计算机的 admin$ 共享（\\Server_Name\admin$）。
• ADMIN$ 共享访问限制已超出。

解决方案

• 检查服务账户是否有权限在 admin$ 共享中创建文件。如果没有，为其提供访问目标计算机 admin$ 共享的权限。或者，您也可以通过更新 域用户名 和 域密码 （位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。
• 进入 共享文件夹 Microsoft 管理控制台（MMC） 插件 > Shares > ADMIN$ > Properties > 设置合适的 用户限制.

8.13 系统找不到指定的文件 (0x2)

原因： 当服务帐户无法定位 DataSecurityPlusAgent-x86.msi 或 DataSecurityPlusAgent-x64.msi 文件时，会发生此错误。

解决方案：

• 确保在目标计算机的 SYSTEMDRIVE\Windows 目录中存在 DataSecurityPlusAgent-x86.msi 或 DataSecurityPlusAgent-x64.msi 文件。
• 检查服务账户是否能访问 admin$ 共享（\\Server_Name\admin$）。如果不能，为其提供访问目标计算机 admin$ 共享的权限。或者，您可以通过更新 域用户名 和 域密码 （位于 管理 下拉菜单 > 管理 > 管理 > 域设置）使用具有必要权限的其他账户。无论哪种情况，请确保提供的用户账户有效且未被锁定。

8.14 发生严重错误 (0x643)

原因：

此错误可能由多个原因引起：

• 您尝试安装软件包的文件夹所在的驱动器被作为替代驱动器访问。
• Windows Installer 正尝试安装已在您的电脑上安装的应用程序。
• SYSTEM 账户没有完全控制权限来访问您尝试安装 Windows Installer 包的文件夹。

解决方案：

在目标计算机上，确保：

• 已安装 .NET 4.5 框架。
• DataSecurity Plus 尚未安装。
• 检查服务帐户是否可以访问 admin$ 共享（\\Server_Name\admin$）。如果不能，请授予目标计算机上访问 admin$ 共享的权限。
• 接下来，在目标计算机上启动并重新注册 Microsoft Installer 服务。为此，请按下 Windows + R，输入 msiexec /unregister，然后按下 输入.
• 如果问题仍然存在，请尝试使用 程序安装和卸载疑难解答工具.

8.15 无法安装客户端软件

原因：

• 此错误由安装代理时网络超时引起。
• 安装过程中可能因目标计算机断开网络连接导致代理安装中断。

解决方案： 确保网络连接重新建立，然后重新尝试安装软件。

8.16 产品已卸载 (0x64E)

原因： 当代理已通过其他方式卸载（如手动卸载）时，会发生此错误。

解决方案： 按照 如果有新版本代理可用，当升级 DataSecurity Plus 时，现有版本将自动升级，前提是服务帐户为中的步骤安装代理，然后再次尝试卸载代理。

8.17 代理与服务器之间无通信（未进行初始配置文件获取）

原因： 这是代理安装后立即无法与服务器通信时发生的错误。

解决方案：

• 在目标计算机上，检查是否可以通过浏览器访问 Web 控制台。方法是打开任意浏览器，在地址栏输入： Protocol://ServerName:Port
• 其中，Protocol 指通信使用的协议，即 HTTP 或 HTTPS。ServerName 是安装 DataSecurity Plus 的服务器名称（或 IP 地址）。Port 是 DataSecurity Plus 通信所使用的端口号，默认端口号为 8800。如果使用的是其他端口，请输入该值。
• 如果可以访问 Web 控制台，请联系支持团队以获取进一步排查帮助。
• 如果无法访问 Web 控制台，请检查 DataSecurity Plus 使用的端口是否开放。有关所用端口的详细信息，请参阅 本指南的端口配置部分.

8.18 函数不正确

原因：

如果安装过程突然中止，可能由以下两种原因造成：

• 安装过程中目标计算机启动关机/注销。
• 目标计算机空间不足以安装软件。

解决方案：

• 重新启动目标计算机或增加磁盘空间，然后重试安装代理。

8.19 服务无法启动，因为它被禁用或没有关联的启用设备

解决方案：

• 检查 ManageEngine DataSecurity Plus - Agent 服务是否被禁用。若是，请启用该服务，然后检查上述错误是否解决。

9. 代理服务故障排除

代理服务可通过 Manage Agent 页面进行监控和管理。如果出现问题，Manage Agent 页面会通知用户并提供解决方案。

您可以了解更多关于代理服务的信息，详见 Manage Agent 帮助页面.

重要检查项

在排查代理服务问题时，请执行以下检查：

1. 检查代理服务是否已在目标计算机上安装并运行

• 打开 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent 并点击 Manage Agent 想要排查代理故障的服务器旁的
• 点击 刷新 图标（位于右上角）以获取当前状态。 服务状态 表格 代理服务.
• 检查 代理服务 状态 列中是否有绿色对号。若服务已停止，请打开 省略号 菜单（三个点）并点击 启动 启动代理.

注意：DataSecurity Plus 服务帐户应为 域管理员 或 本地管理员 组成员，才能获取服务状态。

2. 检查代理是否能与 DataSecurity Plus 服务器通信

• 打开 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent 并点击 Manage Agent 想要排查代理故障的服务器旁的
• 点击 刷新 图标（位于右上角）以获取当前状态。 Agent Property 表格。
• 检查每个属性对应的 列中是否有绿色对号。若服务已停止，请打开 列中是否有绿色对号。

以确保通信已建立。

以下是代理服务中可能出现的一些常见问题及解决步骤：

解决方案：

• 9.1. 代理未安装/未运行
• 如果已赋予 DataSecurity Plus 用户域管理员权限，软件会尝试自动安装代理。如果失败，请检查该用户是否有执行该操作的适当权限。 但如果只赋予最低权限，则需手动下载代理并按照.

3.2 节

中的步骤安装。 support@datasecurityplus.com9.2. 驱动服务未安装/未运行

如果驱动服务未安装或未运行，请联系支持团队，服务时间为 24/5。

注意9.3. RPC 通信失败 ：DataSecurity Plus 使用 RPC 端口。有关端口详情，请参见.

原因：

端口配置指南。

解决方案：:

• RPC 失败的常见原因包括代理-服务器通信问题、网络连接问题、RPC 服务中断、防火墙问题等。 检查 RPC 端口 135、137、138、139 和 445 是否打开。如端口开放，请参阅.

RPC 通信故障排除指南

原因：

并尝试解决。

解决方案：

9.4. HTTP 通信失败 当代理无法将数据转发给 DataSecurity Plus 服务器，或代理属性与服务器对应属性不匹配时，会发生此错误。.

：为实现安全加密通信，强烈建议按照

原因：

SSL 配置指南

解决方案：

• 中的步骤启用 HTTPS 通信。

如果问题依然存在，请联系支持团队 support@datasecurityplus.com9.2. 驱动服务未安装/未运行

9.5 通信被阻止：代理到服务器身份验证失败

原因：

该错误是由于代理身份验证密钥不匹配引起的。

解决方案：

• 使用新的代理安装密钥手动重新安装代理。
• 9.6. 无法获取任何代理属性详情 当代理与服务器通信存在问题时发生此错误。 从 DataSecurity Plus 服务器 Ping 代理计算机，检查代理与服务器之间是否存在通信。
• 转到 验证代理计算机上的远程注册表 当代理与服务器通信存在问题时发生此错误。 服务是否运行，步骤如下：
• 打开 服务 ，找到 该服务，并双击打开。 确保 启动类型 ，找到 设置为.

自动

原因：

且

解决方案：

• 服务状态
• 打开 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent 并点击 Manage Agent 想要排查代理故障的服务器旁的
• 再次点击 为运行中。 9.7. 安装了过时代理 菜单（三个点）并点击 此错误有时在安装新服务包后或手动安装时安装了错误版本代理时发生。 代理服务 表格。

过时代理会在几分钟内自动更新。但如果需要立即更新，请按以下步骤重新安装代理：

原因：

点击错误通知消息中的

解决方案：

• 重新安装代理 Manage Agent 。如果代理未重新安装，请打开 Download Agent 省略号菜单（三个点）

卸载该代理并重新安装。

原因：

9.8. 手动安装代理时提供了不正确的服务器详情

• 如果手动安装时提供错误的服务器信息或服务器详情为空，会发生此错误。
• 使用正确的服务器详情手动重新安装代理。服务器详情可通过进入

解决方案：

• 页面并点击 Manage Agent 获取服务器详情按钮获得。 9.9. 代理属性详情缺失 / 通信属性详情不匹配这些错误可能由多种原因引起，例如：
• 打开 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent 并点击 Manage Agent 想要排查代理故障的服务器旁的
• 再次点击 为运行中。 9.7. 安装了过时代理 菜单（三个点）并点击 此错误有时在安装新服务包后或手动安装时安装了错误版本代理时发生。 代理服务 表格。

如果问题依然存在，请联系支持团队 support@datasecurityplus.com9.2. 驱动服务未安装/未运行

手动从注册表中删除了 Domain ID/AgentID/UID 详情。

原因：

当之前卸载的 DataSecurity Plus 实例中的代理仍存在于代理机器上时，会发生此错误。

解决方案：

• 按照以下步骤重新安装代理：
• 打开 Manage Agent 页面进行管理（Admin Console > Admin > Administrative Settings > Manage Agent 并点击 Manage Agent 想要排查代理故障的服务器旁的
• 再次点击 为运行中。 9.7. 安装了过时代理 菜单（三个点）并点击 此错误有时在安装新服务包后或手动安装时安装了错误版本代理时发生。 代理服务 表格。

如果问题依然存在，请联系支持团队 support@datasecurityplus.com9.2. 驱动服务未安装/未运行

10. 限制

要生成按需报告，Windows 文件服务器应能够与 DataSecurity Plus 通信。

10. 联系支持团队

如需技术支持，您可以通过电子邮件联系我们 support@datasecurityplus.com.

请在邮件中包含以下信息，以便我们更好地为您提供帮助：

• 产品版本（免费版、试用版或标准版）。
• 产品构建号。
• 简要的问题描述。