桌面安全管理系统常见问题处理FAQ0104.docx
- 文档编号:25674050
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:14
- 大小:69.38KB
桌面安全管理系统常见问题处理FAQ0104.docx
《桌面安全管理系统常见问题处理FAQ0104.docx》由会员分享,可在线阅读,更多相关《桌面安全管理系统常见问题处理FAQ0104.docx(14页珍藏版)》请在冰豆网上搜索。
桌面安全管理系统常见问题处理FAQ0104
客户端注册及卸载的方法详见《北信源VRVEDP内网安全管理系统手册》第20页章节2-3-10。
1.注册时提示缺省成功是什么原因?
1、客户端注册程序打包未修改ip地址。
2、服务器区域管理器程序未运行,或通信不正常。
3、原系统中系统应用比较混乱,系统资源占用持续100%,客户端程序得不到运行的系统资源。
4、80端口被占用的情况下,桌面系统可能会配置其它端口实现通讯,例如.1:
8080/vrveis此时如果客户端在注册时提示缺省注册成功,在检查了1所示的内容之后,可以再次检查在打包注册程序时是否将端口号打包写入注册程序.如果有端口号,去掉即可;是否服务器的地址填写的是,如果存在,需要更改为实际的服务器的IP地址。
2.注册时显示ip段没有分配、找不到所属区域?
1、在web管理页面中的整体区域ip划分中没有添加该客户端所在的ip范围。
2、在web管理页面中后添加的ip区域范围,没有进行系统维护中的数据重整,可能会出现这种现象。
3.用户下载到的注册程序只有几十到几百KB大(正常的注册程序应在30M左右),是何原因.
在安装了杀毒软件的服务器上下载客户端或升级时,容易出现升级包释放的时候被当作病毒删除,从而导致升级程序无法运行.如出现此现象,需将杀毒软件退出再进行升级操作,即可解决;在安装了杀毒软件的注册时,如果出现注册错误,可退出杀毒软件再注册。
4.winxp注册时提示系统文件被替换?
内网安全管理客户端需要使用一些系统文件,为保持windows系统的全面兼容性,有一些文件的版本和winxp不同,winxp自带的备份文件恢复功能可自动恢复,有一些oem版winxp安装的时候手动删除了这些备份文件,可能会提示系统文件被替换,,替换过的文件不影响系统的正常使用,只要和客户解释下就可以了。
5.客户端未卸载,web管理平台查询显示客户端卸载?
客户端注册时,打开第三方软件防火墙端口,但没有允许以后一直采用本操作。
由于win98系统不稳定,可能会死机蓝屏,比较长的时间没人重新启动或者关机的话,也会同样上报客户端卸载。
这两种情况,只要打开发防火墙相应端口,重新启动死机的计算机即可。
6.注册使用后有特殊客户端出现蓝屏、死机现象?
该问题一般的解决方法是:
1、将客户端所加载的策略停止,观察是否蓝屏、死机现象是由策略引起。
2、若策略停止后,仍出现蓝屏,则将客户端卸载,观察是否是由客户端文件引起的蓝屏、死机现象;
3、如不出现蓝屏、死机现象,则该现象可能与客户端有关,如出现蓝屏、死机现象,则是客户计算机自身系统、硬件问题,与内网安全管理系统客户端无关。
4、若客户端注册卸载后计算机的工作正常,此时再将客户端安装一次,观察是否仍有死机或蓝屏的现象发生,如果问题依旧,则将“系统属性-高级-启动和故障恢复”中的“写入调试信息”项改为“小内存转储”。
在蓝屏或死机故障再次发生后,到X:
\Windows\目录下提取minidump文件,将该文件发送给北信源工程师进行分析处理。
7.客户端使用后,计算机变慢?
原因及解决方法:
一般均为设置了补丁自动分发策略,当系统打上一些补丁后,系统可能会增加一些补丁自带得进程,这是正常现象。
或者是因为某些策略设置不合理,比如说,终端代理扫描时间间隔过短,或设置某些需要利用系统资源的策略,比如说进程监控等的时间间隔过短,一般来说,在一般的内网安全管理系统应用配置下,客户端对计算机正常工作没有任何影响。
8.客户端策略执行慢
原因及解决方法:
客户端程序收到策略后,将立即执行。
某些策略,如补丁自动分发等,需要注意策略设置中的高级设置中和策略执行事件有关的触发开关。
其他策略,一般默认收到后会执行一次,一般策略不执行,均是因为未收到策略,管理员可通过点对点控制中的进程管理,重新启动vrvedp_m.exe进程,或者通知客户端重新启动计算机即可。
为尽量避免这种情况,管理员可在web管理平台中的区域管理器的配置中的策略配置页面中,增加策略分发线程、缩短策略分发间隔时间来加快客户端收到策略的速度。
9.用户密码策略、用户权限策略没有效果。
原因及解决方法:
用户密码策略、用户权限策略只存在于win2000和以上系统中,win98中不完全有效。
同时,客户端检测的用户包括计算机所有用户,不仅仅包括当前登陆用户和管理员用户,请网络管理远在设置的时候多加注意。
10.winxp、win2003补丁不能正常安装。
原因及解决方法:
盗版的winxp的sp2补丁和win2003的sp1补丁,如果打上的话,会出现激活选项,有些盗版的win2003打不上sp1补丁,为保护软件版权,内网安全管理系统不作处理,请相应网络管理员采用补丁分组(将相应补丁分到其他分组,进行自动提示分发或使用手动补丁分发)分发或更换正版操作系统来保证客户端补丁的正常安装。
11.软件信息不能随时查询?
原因及解决方法:
为保证尽量少的占用客户端系统资源,新软件的安装和硬件的变更的上报有一定的时间间隔,开机的时候5分钟内会自动上报一次,如需要马上进行相应的演示,可重启一次客户端计算机。
12.通过网页打包注册程序,提示“打包注册程序失败”?
原因及解决方法:
通过网页打包注册程序时,是IIS进程在操作DeviceRegist.exe注册程序,IIS进程对注册程序的修改权限不够,无法重新写入注册程序。
这种情况下需要将系统Users用户添加到DeviceRegist.exe的安全属性中,并且具备读写权限。
该问题只在NTFS格式的分区上出现。
13.终端控制中显示“无法连接客户端”?
原因及解决方法:
用telnet命令查看所需要控制的IP地址22105端口是否能连通,如果该设备是多个IP地址,可从左上脚选择不同的IP地址进行测试,如果使用Telnet命令不能连通,到受控的本机上执行“telnet22105”,如果不能连通,可能因为代理程序没有启动或启动不正常,如果能正常连通,则是因为网络原因造成,请检查网络。
14.终端控制中显示“接收信息错误”?
原因及解决方法:
当前的客户端代理不指向所使用的服务器,可以通过在区域管理器上进行探测,在“区域管理器菜单”->“检测探头是否存在”可返回所属管理器,客户端代理不能同时受控于两个管理器。
如果所属管理器IP地址正确,那么有可能是因为做了NAT转换或VPN拨号的设备,在这种网络中,对某个受控机器请求的数据包都是通过中间服务器的转换,Agent程序为了保证数据安全只处理接受来自区域管理器的请求,此时接受到的是NAT服务器的数据包,Agent忽略。
这时可以对设备发送一条“终端设置策略”将NAT服务器的IP地址输入到“自定义探头应答IP”中,客户端收到该策略后也就会认为输入的IP也是合法的请求,正常的为其返回数据。
以上只是一个简单的例子说明,实际应用中要分析具体网络,必要时候需要抓数据包分析。
15.违规外联策略中的问题,为什么要加外网特征字串以及下面客
户端限定使用网段的问题?
“外网特征字串”指填写上一个特征字串,进一步探测外网地址中是否含有此特征字串,若含有也视为本机违反策略。
“对疑似超出网段限制的IP,进一步探测是否有数据流。
探测到与其它设备存在数据流时确认疑似IP超出网段限制”指若怀疑某IP是超出范围的IP地址,则选中此项后,便会进一步探测是否有数据流,若有,则确定此IP即为超出范围的IP地址,亦视为本机违反策略。
16.如何确定终端开关机的时间?
对于防ping的注册机器---------开机后探头即向服务器发送存活信息,这个发现时间基本可以忽略,是不是?
系统如何判断它的关机,需要多少时间?
(1)正常关机,马上就能发现.
(2)非正常关机(如断电等)为20分钟。
17.客户端探头多长时间向服务器报告一次存活信息?
如果有一次没
有报就认定该电脑关机吗?
20分钟,2次不上报就认定该电脑关机。
18.开机的注册的电脑的客户端探头和服务器多长时间没有通信则服务器认定探头卸载?
设备变化多长时间可以反映到服务器上?
服务器对客户端进行扫描,当前时间-最后探测时间(能ping通)>4小时才上报。
设备硬件变化,为开机报一次。
19.终端控制中的断开网络连接采用的是何种阻断方式?
防火墙阻断,属于逻辑阻断,不能和其它内网电脑进行联系,但是能和服务器通信。
20.终端控制中的同步终端数据起什么作用?
请求客户端上报补丁、进程等信息。
21.终端控制中的终端管理提取的各种信息是否实时?
是实时的。
22.终端控制中的重新注册是仅仅修改注册信息还是同时对探头升级?
修改注册信息并可给出提示信息,调用注册程序界面。
23.安全策略中的杀毒软件策略是针对VRV杀毒软件制定的还是针对所有杀毒软件?
对所有杀毒软件,基本上市面上常见的杀毒软件都支持,如果大客户有要求,也可以把特殊的杀毒软件加入库中。
24.安全策略中的进程保护策略起到一个什么作用,它与进程执行监
控策略中的必须运行进程这个分支有何区别?
不被删除的作用。
区别:
一个是不被删除,一个是必须运行。
25.消息推送中的重新注册选项是重新调用注册文件还是调用升级文件?
重新调用注册文件,并调起注册画面。
26.交换机扫描配置中是否所有交换机全部为智能交换机?
级联的交换机是否可以控制?
可管理的交换机在输入SNMP团体名和密码后才可扫出,不可控制。
只能看到最终与客户端连接的交换机。
27.配置管理中的IP与MAC绑定是如何作用的?
如何保证此策略不与DHCP服务器冲突?
IP与MAC功能是检查客户端在收到绑定策略时所记录的IP和MAC信息,若发生变更则自动将设置还原成初始状态。
DHCP不能用IP与MAC绑定。
不能同时使用。
28.哪些功能是WINDOWS域具备的?
是否存在冲突?
文件分发,本地安全策略等,有冲突。
29.补丁下发代理:
在不使用时补丁下发安装后会自动删除,在启用
代理后是怎么样的?
探头根据什么判断客户机上存在需要的补丁?
如果没有启用代理转发,补丁文件在安装完成后即自动删除。
启用代理转发后,补丁文件在重新启动计算机后删除。
通过计算系统文件的版本信息来计算是否安装补丁的
30.为什么访问区域管理器网页管理平台提示文件不存在?
IIS管理器配置不正确。
解决方法:
找到IIS管理器中WEB服务器扩展,请打开asp相关服务扩展,参照下图进行设置。
31.为什么使用IE打开网页提示HTTP500服务器内部错误?
HTTP500错误,一般是由多种原因引起的,如果要查看具体错误信息的话,请按如下步骤操作。
打开IE浏览器,工具-Internet选项-高级-显示友好的HTTP错误信息,把前面的勾去掉即可查看详细错误信息。
32.为什么以Http形式访问vrveis时,提示没有执行权限?
问题是因VRVEIS目录没有执行权限引起的。
解决方法:
打开“C:
\VRV”文件夹,在“VRVEIS”文件夹上点右键,“属性――安全”,赋予用户“IUSER_机器名”与“IWAM_机器名”完全控制该文件夹的权限。
需要提醒的是,有时候打包程序没有权限打包失败,可以多为c:
\vrv\vrveis\download\DeviceRegist.exe单独设置一次权限。
另外:
C:
\VRV\RegionManage\Distribute\Software也需要设置权限,供文件分发策略使用。
33.管理员通过WEB页面登陆桌面系统服务器时,如果出现如下提示:
则说明区域管理器配置里面的数据库密码与实际的数据库密码不符,请检查数据库密码是否配置正确.
34.对服务器操作时,需要备份的文件?
在对服务器升级或其他操作前,需要对服务器的原系统进行备份,内容包括:
VRVEIS.ldf,VRVEIS.mdf两个数据库文件和VRV\VRVEIS\PurviewXml内所有xml文件。
操作完成后还原至原位置。
35.网络中一台计算机提示了IP/MAC地址冲突,可能是被阻断了,如
何确定其是被监控系统阻断还是与网络上其它设备发生冲突?
答:
1、检查该计算机是否注册(当前状态是否为注册状态),如果是注册状态,询问该计算机是否修改过IP,如果修改过IP,检查系统是否有IP变化的报警信息,如果没有则很可能是与其它设备冲突造成。
2、如果计算机不是注册状态,检查管理平台上“设备信息查询”-“按系统定义组查询”-“被阻断组”中是否有该设备的信息,若有该设备的信息则是被系统阻断。
36.有些违规外联记录的上网持续时间是"0小时00分钟"是怎么回事?
探头判断该机器连外网时间不超过1分钟。
37.我的区域扫描器安装完之后出现反复自动重新启动的情况,在桌
面的系统托盘处出现大量的扫描器图标,当鼠标移上去之后图标自动消失,请问这种情况如何解决?
这种情况一般都是因为安装扫描器的计算机不支持SNMP,但是用户在设置扫描器参数时,勾选了“使用SNMP扫描”选项,要解决这个问题,请去掉该选项前面的勾,然后“确定”即可。
38.请问我把计算机设置为信任或保护之后会影响我的注册率吗?
把计算机设置为信任或者保护之后,该计算机将不会纳入“应注册计算机”的总数,也不会纳入“已注册计算机”的总数当中。
39.我管理的网络中搜索出来的计算机很大部分MAC地址为
000000000000,请问这是怎么回事,我应该如何解决?
对于扫描出来的计算机MAC地址为000000000000的情况可能有以下几方面的原因:
㈠如果某个网段内的计算机的MAC地址都为000000000000(已经注册的除外),而且与监控服务器不在同一个网段内时,可能是网络内安装有硬件防火墙产品,为防火墙添加规则(允许UDP协议137端口数据包通过)即可解决;
㈡如果一个网络内有部分计算机MAC地址为000000000000,一般是由于客户端计算机不支持求NetBIOS协议(如客户端为网络设备或者非Windows计算机)造成的,这种情况的解决办法是让客户端计算机启动NetBIOS协议;
㈢如果全网的未注册计算机的MAC地址都是000000000000,一般是由于扫描器所在计算机不支持NetBIOS协议造成或者路由器、硬件防火墙规则阻拦目的端口为UDP137的数据包,管理员可以根据自己的实际情况去分析解决。
40.我的帐号密码从来未更改过,但是现在从个别计算机上登录WEB
平台时却提示密码错误,而其它计算机却能够正常访问?
这种情况一般都是IE缓存导致的,你可以首先关闭所有的IE窗口,然后按照如下顺序操作:
右击桌面的IE图标->属性->常规->删除文件->删除所有脱机内容->确定->设置->每次访问此页时检查->确定->确定
41.为什么我开启了扫描器的穿透防火墙功能,仍然无法获取到某些
计算机的MAC地址?
因为扫描器的穿透防火墙功能只对同网段(VLAN)有效,如果该计算机与扫描器不在同一个网段(VLAN),扫描器就可能获取不到其MAC地址。
42.配置管理中的IP与MAC绑定与策略中心的IP与MAC绑定的区别?
这是一个功能的两种体现,前者是在管理器端将IP与MAC绑定,显示成列表;后者是策略,根据用户的实际情况,进行绑定客户端的IP与MAC地址
43.客户端流量排名是如何工作的?
客户端有流量监控模块,每半个小时向服务器发送一遍网络传输平均值
44.扫描器扫描和客户端代理扫描有什么不同?
扫描器是通过区域管理器扫描的,客户端代理扫描是通过arp方式扫描的。
45.我的区域管理器经常自动重新启动,请问有什么问题会导致这种
情况的发生?
区域管理器从,程序对于以下几种情况会自动重新启动保证系统的正常运行:
1.区域管理器连续三分钟无法连接到SQL数据库;
2.与区域管理器工作端口88连续3次通讯不正常;
3.区域管理器连续70分钟上报级联数据失败;
4.区域管理器连接线程超过1000个(区域管理器的状态栏有显示);
对于程序的自我保护性重新启动,区域管理器已将其记录到日志文件(区域管理器安装目录下的autoload.log;对于级联上报失败,还有专门的日志文件regionmanage.log,该日志文件与autoload.log对于每次上报失败都有记录)。
在Autoload.log日志文件中每条日志记录后面都有处理结果一项,“Killed”表示区域管理器退出,“Load”表示重新启动。
另外,程序有可能出现异常、出错退出的情况,区域管理器会自动保存一些出错时的代码,以备开发人员分析原因,这些代码保存在区域管理器安装目录下的RegionManage.rpt文件中。
46.如何进行数据库的备份和还原?
方法一:
备份:
将SQL服务器安装目录下Data目录中的VRVEIS.ldf和
VRVEIS.mdf两个文件文件拷贝到安全的地方保存。
拷贝前需停止SQL系统的运行,这种方法的缺点是可能备份出来的文件太大,不利于保存。
还原:
如果系统运行中数据库损坏,只需在SQL停止运行的情况下,将备份文件VRVEIS.ldf和VRVEIS.mdf拷贝回上述目录覆盖原文件,然后重新启动SQL即可。
方法二:
备份:
启动SQL企业管理器,从左边的树中找到VRVEIS数据库,右击VRVEIS数据库从菜单中选择“所有任务/备份数据库”,在弹出的对话框中“常规”页“目的”下面单击“添加”,在弹出的“选择备份目的”对话框中输入文件名和路径(也可从“浏览”中选取),连续两次“确定”后开始备份数据库。
还原:
同备份方法,在右击VRVEIS数据库后从菜单中选择“所有任务/还原数据库”,在弹出的对话框中“常规”页“还原”后面选择“从设备”,单击“选择设备”,在弹出的“选择还原设备”对话框中“还原自”处单击“添加”,输入备份文件路径后连续三次“确定”开始数据库还原操作。
本方法在此只做简单叙述,详细操作方法请参看SQLServer相关帮助。
47.升级后WEB管理平台不能访问如何解决?
由于新版本需要“父路径”支持,WindowsServer2003上的IIS6.0默认情况下未启用“父路径”支持,以下是设置步骤:
1.选择“开始”菜单--“程序”--“管理工具”--“Internet信息服务(IIS)管理器”;
2.展开左侧“Internet信息服务”--**(本地计算机)--“默认WEB站点”--“VRVEIS”虚拟目录;
3.右击“VRVEIS”虚拟目录,选择“属性”;
4.选择“虚拟目录”页--应用程序设置后的“配置”打开应用程序配置;
5.选择“选项”页,勾选“启用父路径”,单击“确定”
48.如何使因违规被锁定的计算机恢复网络通讯?
将被锁定计算机连入网后开机;管理员登录WEB管理平台;选择菜单“终端控制/终端点-点控制”输入被锁定计算机的IP地址并确定;在出现的终端控制页面中选择“行为控制/恢复网络连接”;在右侧的窗口中输入“提示给用户的信息”并单击“提交处理”;系统要求进一步确认,单击“确定”发送消息,系统提示“发送-恢复网络-消息成功!
”(如果提示失败应检查计算机的接入是否正确);客户端计算机提示管理员定制的消息,用户单击“确定”后恢复网络连接。
49.部分因违规外联用户,被阻断后,当处理完成后,需要恢复网络
时,无法DHCP得到地址,以至必须手动设定IP后,才能解除锁定。
设备处于阻断状态,只允许和桌面服务器通信,设定静态IP地址后,才能和服务器建立通信。
需要将DHCP服务器地址,添加到策略汇总超级IP的队列,客户端被阻断后,依然可以和DHCP服务器通信获取IP地址。
50.为什么部分杀毒软件客户端程序无法识别并上报?
客户端对杀毒软件的识别依靠对注册表相应键值的检测与对杀毒软件的进程识别来实现。
一些不是非常流行的杀毒软件因无法扫描相应的注册表键值而无法检测到。
51.为什么报警数据中会有客户端探头自行卸载?
客户端程序普通用户无法用正常方式卸载,但不排除个人采取重装操作系统、采用光盘启动删除客户端程序等方式卸载,建议配合相应的管理制度对计算机的使用人进行处罚与管理。
另安装双操作系统也会在启用另一个操作系统时上报探头被卸载。
52.为什么用户更换机器,在旧机器上卸载探头成功之后,在新机器
上用原旧机器IP地址注册时,提示无法注册?
管理员检查是否勾选“禁止重复IP注册”选项,如勾选,则新计算机无法使用原IP注册。
53.为什么设备总数要大于网内实际PC机数量?
设备总数包含了网络设备、安全设备、打印机、终端主机等设备。
54.为什么有部分私网IP地址终端无法注册?
网络中若存在子网使用NAT网络地址转换,可造成这部分终端因不在客户端地址列表中而无法注册。
可将私网地址如192.168.*.*添加到区域划分列表中即可注册。
55.计算机接了手机后,提示成双网卡违规
带有MAC地址的移动设备,插入客户端就会被识别,防止使用无线网卡。
如果终端没有非法外联行为,系统只记录,不会处理终端。
56.如何处理反复无法卸载的情况?
在运行中输入regedit进入注册表,检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall下,将{BE4B095F-4DCA-4316-8C0E-4930}的注册信息删除掉即可。
57.网络内计算机已经注册过了,但是经过检查发现监控系统WEB平
台上显示该计算机为未注册状态,而该用户的各项信息均完整,该如何解决?
计算机注册时使用的是非管理员用户,由于安装客户端代理程序需要具有管理员权限,普通用户注册时虽然可以上报一些系统信息,但是无法将代理程序装入系统,这种情况用户只需要使用管理员帐号登录注册即可。
58.为什么部分用户在违规外联被阻断后,自行纠正并重启后仍然无
法上网?
管理员在策略配置中选择“断开网络并关机(需解锁)”选项,需要管理员在客户端自行纠正外联行为并重新启动计算机之后,手动在“终端管理-终端点-点控制”中,选中这台计算机并点击“恢复网络连接”即可。
59.补丁分发时不能按照补丁索引中所分组进行分发,每次都是显示
全部的补丁,如何才能按照分组下发?
如果想按照分组下发,在设置策略时,补丁类型和补丁分组不能同时选。
即如果希望按补丁类型下发,就不能按补丁分组下发。
否则,会下发全部补丁。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 桌面 安全管理 系统 常见问题 处理 FAQ0104