为成功发现,目标设备的名称应当在AssetExplorer所在服务器上可以Ping通,对于非英文操作系统,则应在防火墙上开放TCP端口7。
在AssetExplorer中,对于Windows类型设备的发现采用的是代理或非代理模式。非代理模式采用WMI (Windows Management Instrumentation)协议,无需在客户端上安装任何软件;而代理模式则是在远程机器上安装一个软件来采集目的机器的资源信息。
Windows Management Instrumentation (WMI) 是一个接口,它为各类应用程序访问管理数据提供了一个统一的路径或窗口。
而使用WMI访问数据,则是由RPC和DCOM设置所控制的。
RPC (Remote Procedure Call - 远程过程调用)RPC (Remote Procedure Call - 远程过程调用) 动态端口分配指示RPC程序使用一个随机的大于1024的端口,以及静态端口135和445。对于使用防火墙配置的用户,如果需要使用涉及RPC相关的应用程序,则应当在防火墙上配置转发这些传输控制协议(TCP)端口。
打开所有大于1024端口可能不会适用,但是,您可以将此随机端口限定在一个指定的范围内(例如,5000,5001,5002),当添加了这些端口后,您需要在防火墙上开打这些端口,以及135和445端口。
对于Windows防火墙,还需在每台工作站上对administrators启用远程管理。
WMI具有目标计算机所要求的缺省模拟、认证以及认证服务(NTLM或Kerberos)设置。为现实此目的,应确保正确设置了DCOM (Distributed Component Object Model) 以及WMI名称空间安全设置,以使WMI可以正常连接。您可以使用控制面板中管理工具下的DCOM配置工具(组件服务:DCOMCnfg.exe)来为WMI配置DCOM设置。该工具定义了哪些用户可以通过DCOM连接到计算机。缺省设置下Administrators组内成员具有远程连接的权限。使用此工具,您可以设置WMI服务的安全设置,包括启动、访问和设置。
在每个目的机器中设置RPC和DCOM不是一件轻松的事情,您可以使用下面的脚本来设置WMI所需的RPC和DCOM设置。
A. 对于Windows防火墙和DCOM
下载文件scan_setup.txt
将文件复制到目的计算机并重命名为"scan_setup.vbs"
打开一个命令行,切换到上述文件的目录下,执行命令:
DIR_OF_SCRIPT_FILE> CSCRIPT scan_setup.vbs
重启目的计算机
提示:您也可以使用域控制器来将此脚本配置为登陆脚本,来配置域内所有的计算机。
B. 配置您的路由器/防火墙 (限制WMI端口到指定范围)
如上提到,WMI要求在计算机上开启大于1024的一个随机端口,而该配置可以通过修改系统注册表来缩小端口的范围。使用以下步骤中的脚本来修改注册表:
将文件复制到目的计算机并重命名为"wmi_port_setup.vbs"
编辑脚本,指定您所想要设置的WMI端口范围
打开一个命令行,切换到上述文件的目录下,执行命令:
DIR_OF_SCRIPT_FILE> CSCRIPT wmi_port_setup.vbs
重启目的计算机
在Windows防火墙中打开脚本中配置的端口