【SMP/ESS】SMP认证成功后，SMP计算机保护策略不生效问题

发布时间：2013-11-23

点击量：4078

1、故障现象
用户1x认证成功后，出现SMP计算机保护策略不生效的问题，现象包括：
    现象1）客户端提示“计算机保护规则同步失败”或在SMP中看在线用户的计算机保护状态为未知；
    现象2）配置的计算机保护规则未生效，例如：违法计算机保护规则，但未弹出提示窗口；
    现象3）违规用户隔离失败，例如：违法计算机保护规则的用户，没有被隔离到限制网络中；

2、故障可能原因
    1）SMP或客户端通信端口被占用；
    2）SMP和客户端之间的直通报文被拦截；
    3）安装程序规则定义错误、配置的进程名称或系统服务名称或注册表键值错误；
    4）未定义隔离区或未采用加入隔离区的处理方式；
    5）配置“不符合要求时的处理方式”选择错误；

3、故障处理流程

4、故障处理步骤

步骤1 检查SMP和客户端端口是否被占用
首先确认SMP服务启动是否正常，检查默认的客户端通信配置端口是否被占用，检查方法如下：
1. 在SMP服务器中，双击桌面smp服务器图标或任务栏右下角的SMP服务管理器图标“ 打开SMP服务管理器界面。
2. 查看SMP的启动信息是否异常，客户端信息接收服务启动是否成功。如果提示不成功，则说明端口被占用，按照第4步中的方法处理

3. 分别在SMP服务器端和客户端系统进行检查，方法是先关闭SMP服务器和客户端程序，再打开cmd命令行窗口，键入“netstat -an”查看端口是否被占用。客户端默认监听UDP 138端口，SMP服务器监听 UDP 53端口，输入“netstat -an”后，需要确保SMP的UDP 53端口，和客户端的UDP 138端口未被占用，如果端口被占用则按照第4步处理。

4. 如果发现端口被占用
1）可以将占用端口的程序关闭
i. 在CMD命令窗口，输入“netstat –aon”命令（不包含引号）并回车

ii. 在任务管理器中查找到对应的PID进程关闭或禁用。

2 ) 或在SMP中一次打开“系统配置”-“基本配置”，调整为其它端口，端口数值并无要求，只要保证未被使用即可，方法如下：
（i）SMP默认登录地址形如：http://1.1.1.1:8080/smp（1.1.1.1替换为SMP服务器真实IP），默认用户名：admin，密码：111111111（9个1）

（ii）登录成功后在左侧树形目录依次点击“系统配置”-“基本配置”，修改“客户端通信配置”中的端口号，完成后点击确定。

（iii）如SMP服务管理器中“客户端信息接收服务启动”已经成功，而且查看端口也未被占用，则进入步骤2.

步骤2 检查SMP和客户端通信报文是否被防火墙拦截
1、直接检查SMP服务器端和客户端是否安装有防火墙程序，先关闭防火墙程序尝试功能是否正常，或在防火墙过滤规则中放通服务器和客户端通信端口。以windows7操作系统为例，依次打开“控制面板”-“系统和安全”-“windows防火墙”，关闭windows防火墙。

2、使用抓包工具在服务器端抓取报文，看是否收到客户端发送过来的UDP53端口的直通报文（UDP53端口识别为DNS报文），本例使用抓包工具为“Wireshark”。

3、如确认服务器和客户端都未开启防火墙过滤，而在服务器端有没有抓到客户端发送的直通报文，则检查中间的链路是否存在包过滤设备，需要确保客户端和服务器间的直通报文通信正常，否则计算机保护策略无法下发到客户端。（网络通信问题的排查，不在本文档中体现）

4、如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5。

步骤3：确保以上步骤都检查正常后，如出现安装程序规则、进程规则、注册表规则、服务规则异常，请按如下步骤继续处理：

1. 计算机保护规则-安装程序规则不生效故障，检查定义的安装程序名称，是否在客户端控制面板的卸载列表中。（SMP的计算机保护安装程序规则，要求程序必须在控制面板的卸载列表中，否则安装程序规则无法生效，绿色软件无法被安装程序规则识别）

（1）登录到SMP管理页面中，依次点击左侧树形目录的“计算机保护”-“安装程序控制”，记录已添加的“安装程序名称”。安装程序默认为模糊匹配，也就是说只要定义的安装程序名称关键字和控制面板中的程序名称匹配即可。（安装程序名称是指客户端控制面板中存在的程序名称）

（2）打开客户端操作系统控制面板中“卸载程序”功能，确认程序在卸载列表中。

（3）SMP的安装程序规则仅能管理添加到控制面板卸载列表中的程序，也就是程序已写入注册表中，对于绿色软件无法进行监控；
（4）如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5收集信息。

2. 计算机保护规则-进程程序规则不生效故障，检查配置的进程名称是否和客户端任务管理器中的进程名称一致。

（1）登录到SMP管理页面中，依次点击左侧树形目录的“计算机保护”-“进程控制”，记录已添加的“进程名称”。（进程名称是指客户端运行的进程名称）

（2）打开客户端的windows的任务管理器，查看进程名称是否一致。

（3）SMP计算机保护规则中，进程控制规则中的“进程名称”，需要和任务管理其中的“进程映像”名称一致，否则规则会无法匹配造成失效。
（4）如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5收集信息。

3. 计算机保护规则-系统服务控制规则不生效故障，检查配置的系统服务控制规则和客户端系统服务中的“服务名称”是否一致
（1）登录到SMP管理页面中，依次点击左侧树形目录的“计算机保护”-“系统服务控制”，记录已添加的“系统服务名称”。（系统服务名称是指客户端系统服务中的名称）

（2）打开客户端的服务管理，方法为在CMD下输入“services.msc”命令，找到需要控制的服务查看属性，确认“服务名称”和SMP中添加的一致。

（3）SMP计算机保护规则中，系统服务控制规则中的“系统服务名称”，需要和系统服务中的“服务名称”名称一致，否则规则会无法匹配造成失效。
（4）如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5收集信息。

4. 计算机保护规则-注册表控制规则不生效故障分析：检查配置的进注册表键值内容是否和客户端注册表中的键值类型、键值内容”相符和；
（1）登录到SMP管理页面中，依次点击左侧树形目录的“计算机保护”-“注册表控制”，记录已添加的“限制内容”。（限制内容是指客户端注册表中的注册表键值类型、键值内容）

（2）打开客户端的服务管理，在客户端操作系统运行“regedit”命令打开“注册表编辑器”，找到需要控制的注册表键值，确认“键值类型、键值内容”和SMP中添加的一致。

（3）SMP计算机保护规则中，系统注册表控制规则中的“限制”，需要和客户端注册表中的“键值类型、键值内容”一致，否则规则会无法匹配造成失效。
（4）如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5收集信息。

步骤4 确保以上步骤工作正常后，如出现违规用户无法被隔离，请检查隔离区及“不符合要求时的处理方式”是否配置正确
1.检查隔离区是否有配置。（隔离区未配置会造成用户计算机保护失败后无法被正确隔离）
登录到SMP管理页面中，依次点击左侧树形目录的“隔离区”-“配置隔离区”，确认隔离区已经正确添加，如添加无误进入下一步骤。

2. 检查用户组“不符合要求时的处理方式”配置是否正确（未选择正确的不符合要求时的处理方式，则客户端检测违规时不会被隔离）

（1）登录到SMP管理页面中，依次点击左侧树形目录的“身份认证管理”-“管理用户组”，找到开启计算机保护的用户组点击“修改”。

（2）点击“计算机保护”标签。

（3）确认不符合要求时的处理方式已选中“告警并加入隔离区”。

（3）如以上步骤检查完毕后故障现象仍然存在，请直接进入步骤5收集信息。

步骤5 收集信息后，请联系4008111000协助处理

拨打4008111000协助处理前，请确认以下内容：
1、已严格按照软件操作手册、测试手册进行配置；（确保没有配置错误）
2、客户端能够通过1x认证，并且SMP服务器和客户端之间的网络通信正常；
并收集如下信息：
1 ) 详细的故障描述和排错过程中的截图和报文；
2 ) 远程访问方式及其账号信息。（如具备远程条件）
3、通过debugtool工具导出的调试信息文件:
1). 请在浏览器输入：http://1.1.1.1:8080/smp/debugtool.jsp（将1.1.1.1替换为SMP真实IP），并勾选“开启计算机保护状态调试”开关后，点击最下方的“修改”按钮，开启debug调试开关。