IP-guard 问题集解答.doc

A-1.IP-guard V3网络环境要求IP-guard V3适用于各种不同的网络环境，只要被管理的计算机和服务器之间能实现通讯就可以。A-2.IP-guard V3如何实现跨外网的部署？如果企业内部需要同时管理下面N个分支机构的计算机，只要总部和分支机构都可以连上互联网便可以实现：首先需要IP-guard V3服务器的局域网有固定的公网IP地址或者有动态域名，在网关对IP-guard V3服务器的IP地址添加8237和8236的TCP端口映射；添加完成后在IP-guard V3服务器创建客户端安装程序时在【服务器 IP/名称】栏输入固定的IP地址(或者动态域名)，将打包成功的客户端安装程序提供给分支机构的计算机安装即可。说明：如果记录了文档备份、屏幕历史、邮件附件等数据量较大的日志，可能会影响内网的ADSL带宽。A-3.IP-guard V3系统的硬件环境及软件环境要求Q.安装模块计算机基本要求Agent操作系统Windows 98/ME/NT/2000/XP /2003 /vista 32-bit/win7 32-bit/win2008 32-bit最低配置Pentium 500/256MB内存/128MB可用磁盘空间建议配置PentiumI4 2.0G/512MB以上内存/256MB可用磁盘空间Server操作系统Windows 2000/XP/2003/vista/2008数据库MSSQL2000SP4/2005SP1 32-bit/2008 32-bit最低配置PentiumI4 2.0G/512MB内存/20GB可用磁盘空间建议配置酷睿双核 1.6G以上 /2GB以上内存/50GB可用磁盘Console操作系统Windows 2000/XP/2003/vista/win7/2008最低配置Pentium 500/128MB内存建议配置PentiumI4 2.0G/512MB内存A-4.IP-guard V3会占用计算机多少资源？客户端程序通常会占用30MB左右内存。服务器程序占用资源情况受客户端数量影响。控制台程序通常会占用2MB-8MB左右内存。A-5.IP-guard V3服务器是否可以和SQLSERVER分别安装在不同的计算机Q.可以，请联系我们提供部署方案。A-6.IP-guard V3安装服务器时提示找不到数据库Q.1、安装IP-guard V3之前需要安装SQLSERVER服务， SQLSERVER版本要求是：MSSQL2000SP4/2005SP1 32-bit/2008 32-bit。2、如果已经安装符合版本要求的SQLSERVER服务，还需要在安装IP-guard V3服务之前启动SQLSERVER服务；请确认SQLSERVER服务是否已启动。SQL 2000：在【开始】- 【所有程序】-【Microsoft SQL SERVER】- 【SQL SERVER服务控制器】，打开SQLSERVER服务控制器以后，选择本地SQL实例，如果未启动，单击【启动】按钮。SQL 2005或者SQL2008：在【开始】 - 【所有程序】-【Microsoft SQL SERVER 2005】 - 【配置工具】-【SQL SERVER配置管理器】，选择窗口左边目录中的【SQL SERVER 2005服务】，在右边列出的服务中找到【SQL SERVER(*)】，如果未启动，右键菜单中选择【启动】命令。3、如果以上条件都满足，仍然会提示找不到数据库，请确认您使用的IP-guard V3版本是否是V3.0.3107，如果是请联系我们获取更新的版本。A-7.IP-guard V3服务器安装完成以后不能启动Q.如果您安装的SQLSERVER是MSDE，则可能是因为SQL服务需要使用的命名管道协议没有启用，按以下步骤检测并启用：步骤1：在【开始】 - 【运行】，输入”svrnetcn”，单击【确定】。步骤2：在打开的”SQL Server网络实用工具”窗口中，如果【命名管道】在【禁用的协议】栏，则选择它再单击【启用】按钮；单击【确定】。如下图：步骤3：停止SQLSERVER服务，再重新启动步骤4：启动IP-GUARD V3服务器。如果您安装的SQLSERVER是SQL Server 2005或者SQL Server 2008，则可能是SQLSERVER服务不是本地系统登陆身份，按以下步骤检测并设置正确的帐户：步骤1：在【开始】-【程序】-【Microsoft SQL Server 2005】-【配置工具】-【SQL Server 配置管理器】。步骤2：在打开的” SQL Server Configuration Manager”窗口左边选择【SQL SERVER服务】，在右边的服务中找到【SQL SERVER(*)】，双击这个服务。步骤3：在弹出的属性对话框中选择登录身份为【内置帐户】-【Local System】，单击【确定】。如下图：步骤4：停止SQLSERVER服务，再重新启动，步骤5：启动IP-GUARD V3服务器。如果您安装的SQLSERVER是SQL Server 2008，并且SQL服务也是本地系统登陆身份，但仍然不能启动，请确认您使用的IP-guard V3版本是否是V3.20.*，如果是联系我们获取更新的版本。A-8.IP-guard V3服务器如何启动与停止Q.IP-guard V3 服务器完成完装后会自动启动服务控制器，您可能会在任务栏的活动图标栏看到以下三种图标之一： 这三种状态(从左至右)分别表示服务器当前的运行状态：正在启动、正在运行、已停止。如果在任务的活动图标栏没有这样的图标，可以在【开始】 - 【所有程序】 - 【IP-guard V3】 -【 IP-guard V3服务控制器】，打开它。右键IP-guard V3服务控制器图标，在弹出的右键菜单中就有【启动】和【停止】项。A-9.IP-guard V3服务器不能访问互联网，该怎么注册？Q.可以直接发邮件至IP-guard V3注册邮箱：；需要在邮件中注明购买产品的信息：公司名称、联系人、联系电话、邮箱地址、产品序列号和识别码；如果您是第一次注册，那么我们会直接回复注册信息到您发送邮件的邮箱，否则我们会回复注册信息到您第一次注册时填写的邮箱地址中。A-10.IP-guard V3检验码有什么作用？如何设置检验码？Q.检验码是IP-guard V3服务器识别客户端的依据之一，设置检验码可以增强客户端与服务器通讯的稳定性，确保服务器转移或者修改IP地址以后仍然能与客户端建立连接。设置检验码的操作是在服务器端完成，需要具有admin管理员的权限；在IP-guard V3服务控制器的右键菜单中选择”工具-检验码”，在弹出的登录窗口中输入正确的admin密码后进入检验码设置界面，输入新的检验码后单击【确定】按钮。A-11.IP-guard V3如何升级到新版本？Q.当您获得IP-guard V3新版本的升级程序以后，只需要在服务器端运行升级程序，在程序主界面单击【升级】按钮即可开始自动升级。升级成功后，客户端会在下次连上服务器以后自动升级，控制台也会在下次登录后提示“是否升级控制台？”，单击【是】即可自动升级控制台。A-12.IP-guard V3服务器需要修改IP地址，对客户端或者控制台会有影响吗？Q.服务器修改IP地址以后，不会影响与客户端的通讯；在登陆控制台时输入修改后的服务器IP地址和正确的账号密码便可登陆。A-13.客户端与服务器通讯会占用多少带宽Q.平均每个客户端占用带宽约每秒1.2k。A-14.安装IP-guard V3客户端有哪些途径Q.除了直接到目标计算机本地运行安装程序的方式，您还可以选择：1、远程安装，在IP-guard V3服务器单击【开始】-【所有程序】-【IP-guard V3】 -【远程安装客户端模块】。远程安装的方式由于是通过网络推送，需要对目标计算机有管理员权限，同时还需要目标计算机开启与网络共享有关的服务。2、如果内网有域环境使用域脚本安装的方式就更简便；在提供给正式客户的安装光盘中有域脚本安装程序以及使用说明。3、如果您的内网有其它第三方远程安装程序的工具，需要使用MSI安装包，也可联系我们帮您制作。A-15.远程安装客户端时，提示安装失败Q.远程安装需要的文件列表，默认所包含的文件列表是在安装目录下：AKernel3.e32RinstSv3.e32Rinst3.exe使用远程安装客户端的功能需要满足以下基本要求：1）确保双方计算机能正常通信；2）双方计算机需要有管理员权限；3）确保双方计算机的139，445端口需要处于监听状态；4）确保目标计算机开启ipc$共享；5）确保目标计算机开启admin$ 共享，或者对方能够访问本方文件共享；6）确保连接发起方启动了Lanmanworkstation服务（显示名为：Workstation）：它提供网络链结和通讯，没有它发起方无法发起连接请求；7）确保目标计算机启动Lanmanserver服务（显示名为：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求；8）确保目标计算机启动Net Logon，它支持网络计算机 pass-through 帐户登录身份。9）某些旧版本的客户端程序没有卸载干净时，可能会造成安装超时；A-16.远程安装工具扫描不到网络内的某些计算机Q.远程安装客户端工具中，远程扫描有三种方式：网络枚举，ICMP，UDP如果您遇到内网某些计算机没有扫描到的情况，您可以尝试一下设置了一下扫描范围。或者检查这些计算机的135-139端口是否能正常通讯 ，若不能，可能是本地系统或者网络防火墙阻断了，检查原因并开放这些端口。或者检查这些计算机能否ping通，若不能，需要检查网络使他们能ping通。A-17.IP-guard V3是否支持对终端的监控Q.如果终端服务器安装的操作系统是Windows系列的就支持，其它操作系统不支持。IP-guard V3支持按系统用户管理 ，只需要在终端服务器安装客户端程序，终端按系统用户管理即可；说明：以下功能不支持按用户管理，只能按计算机管理：统计流量统计日志基本日志 （系统启动/关闭）日志共享文档日志资产变更日志策略日志（流量控制策略，端口控制策略，邮件控制策略，设备控制策略）策略基本策略 (修改网络IP/Mac配置，系统还原，网络共享)策略设备控制策略系统报警策略 日志记录策略远程控制策略流量控制策略策略网络控制策略策略邮件控制策略监视邮件记录软件分发资产管理补丁扫描/安装漏洞扫描网络接入检测A-18.IP-guard V3的通讯端口有哪些？Q.8235：Agent开放的，侦听服务器发送的连接。8236：Server开放的，侦听控制台发送的连接。8237：Server开放的，侦听Agent发送的连接。A-19.IP-guard V3安装的控制台数量是否有限制？Q.安装控制台的数量没有限制，当同时登陆控制台的数量超过够买License的总量，就会在控制台提示【您的连接已超过限制】。A-20.如何查看管理员在控制台做了哪些操作?Q.当您使用审计管理员账号登陆，便可以查到管理员登陆控制台所作的操作；IP-guard V3默认的审计管理员帐号是Audit，密码为空，您可以在首次登陆后修改密码或者添加其它审计帐户。A-21.IP-guard V3客户端离线状态时，如何清除策略、解锁计算机以及卸载客户端Q.IP-guard V3客户端有一个自带的离线工具可以实现在离线时清除策略、解锁计算机，以及卸载客户端的操作。步骤1：在客户端计算机的【开始】菜单-【运行】中输入命令 agt3tool，打开客户端工具；步骤2：选择需要操作的选项，点击【生成操作码】按钮,会在弹出的对话框中显示一个操作码，将操作码报告给管理员以便生成确认码；步骤3：管理员在控制台“工具-客户端工具-确认码生成器”输入客户端的操作码，并单击【解析】按钮，会输出对应的客户端信息以及操作内容；步骤4：管理员在确认信息正确后，单击【生成确认码】按钮生成确认码；并将确认码告诉客户端；步骤5：在客户端输入正确的确认码后将会提示操作成功，确认并重启计算机后即可清除所有策略。如需卸载客户端，只需将第一步中输入的命令更改为 agt3tool ocularadv，就可在打开的客户端工具中选择卸载客户端选项。A-22.服务器不能启动时，需要卸载客户端或者清除策略怎么办？Q.您可以向我们提供您正在使用的授权序列号，便可得到我们提供的包含时间限制的工具，用来卸载客户端或者清除客户端策略。A-23.IP-guard V3服务器不能启动时，客户端被锁定了该怎样解锁？Q.若是策略触发导致客户端被锁定了，并且策略不是开机必然触发，那么可以直接重启客户端就恢复正常状态了。若是因为其它原因客户端被锁定了，建议您首先恢复服务器的正常运行，比如重装服务器或者重新启动服务器的操作系统，再登陆控制台解锁客户端。A-24.IP-guard V3客户端为离线状态时，还能记录日志吗，策略还有效吗？Q.客户端开机但没有连上服务器时，策略仍然生效，日记也会正常记录；记录下来的日志数据将缓存在本地磁盘，一旦客户端连接到服务器，就会将这些日志数据传送给服务器，并且在传送成功后将本地的数据删除掉，否则保留数据等待下一次传送。A-25.IP-guard V3客户端长期为离线状态时，是否会对系统盘有影响？Q.不会有影响；客户端会每隔一段时间检查本地缓存数据是否过大，若是系统盘小于256mb(winnt)或128mb（win9x），就会进行数据收缩或者删除部份日志记录，直到系统盘大于或等于512MB。可能会被清除的日志记录有：文档操作备份邮件记录打印内容备份A-26.IP-guard V3客户端日志的数据量参考值Q.IP-guard V3数据量较大的日志主要是屏幕历史记录、邮件、文档备份、打印内容备份；其中邮件、文档备份、打印内容备份的大小受实际操作内容大小的影响，无法定时定量统计；关于屏幕历史数据，假设屏幕历史每15秒记录一次，每个活动桌面每小时有4MB的屏幕历史数据。A-27.删除基本策略以后，某些策略仍然存在Q.这是早期版本中容易出现的问题，V 3.21.0716以后的版本都已经解决。A-28.删除禁止修改IP/MAC的策略以后修改了客户端IP地址，再次添加策略后IP地址自动还原到第一次禁止修改之前的IPQ.这是早期版本中容易出现的问题，V3.21.0716以后的版本已经优化。若您已经使用大于3.21.0716的版本，但仍然存在问题，可以联系我们提供解决办法。A-29.删除某些设备控制的禁止策略以后，这些设备仍然没有启用Q.遇到这种状况，您可以尝试在客户端计算机的设备管理器中手动启动这些设备。若手动启动后仍然被禁用了，可联系我们处理。A-30.如何限制3G上网卡Q.在设备控制策略中添加一条策略，设置为：禁止USB Modem。这样就可以禁止3G无线上网卡。A-31.限制USB打印机，需要如何设置Q.在设备控制策略中设置禁止“USB其它设备”可以禁止USB打印机。A-32.限制USB key/USB加密狗，需要如何设置Q.这类设备由于采用的技术或者应用范围的不同，设备的性质也有区别，有一些是属于USB存储设备，但有一些并不是USB存储设置，因此要彻底禁止这类设备，需在设备控制策略中设置禁止”USB存储”和”USB其它设备”。A-33.限制USB扫描仪，需要如何设置Q.在设备控制策略中设置禁止”USB映象设备”就可以禁止USB扫描仪。A-34.对某一个应用程序设置了禁止策略，但是当客户端修改这个应用程序名称以后就不会被禁止了Q.如果您是设置应用程序策略时是直接输入应用程序名称，就可能出现这种情况；比如，需要禁止所有客户端运行QQ，那么最好的控制方式是：步骤1：在控制台单击应用程序类别按钮 ，新建一个应用程序类别。步骤2：查找到所有名称包含QQ的应用程序，将查找到的所有与QQ.exe有关的应用程序都移动到这个类别中。步骤3：退出应用程序类别窗口，在控制台主窗口中选择整个网络，在应用程序控制中添加一条策略，模式设置为禁止，在应用程序项中选择包含QQ应用程序的类别，保存策略。A-35.某些客户端实际访问了网页，但是网页浏览日志中没有记录Q.1、目前的所有版本不支持监控HTTPS协议的网页；2、当打开某个页面的时间小于10秒，可能不会被记录。如果不是以上原因但仍然不能记录，请提交您目前安装的IP-guard V3版本信息(在控制台【帮助】 - 【关于】)和浏览器版本信息给我们，我们将尽快帮您处理。A-36.设置禁止访问某些网页以后仍然可以访问Q.1、目前的所有版本不支持监控HTTPS协议的网页；2、如果您是想禁止关键字中包含某串字符的，例如想禁止关键字中包含game的，则可以设置策略：禁止、*mail*,*/*mail*。如果策略设置正常仍然不能禁止，请提交您目前安装的IP-guard V3版本信息(在控制台【帮助】-【关于】)和浏览器版本信息给我们，我们将尽快帮您处理。A-37.如何禁止发送网页邮件Q.您可以通过禁止客户端访问网页邮箱的网站来实现禁止发送网页邮件；添加一条网页浏览控制策略，模式为”禁止”，网站设置为” *mail*,*/*mail*”，这样所有的包含mail的网站都不能打开。A-38.如何解决IP-guard V3客户端记录的Outlook 2003 Exchange邮件地址为乱码Q.由于Office 2003的一个补丁KB2293428 会导致Outlook 2003外接程序崩溃的问题，从而导致IP-guard V3客户端不能正常获取Exchange邮件的smtp格式的发件人地址。针对这个问题官方已经提供补丁修复：Update for Microsoft Office Outlook 2003 (KB2449798)该补丁下载地址：/downloads/en/details.aspx?FamilyId=C6FE9027-4B66-487A-A105-859C0990EC98&displaylang=enA-39.如何实现对IP-guard客户端设置只有将邮件发送(抄送)到包含指定的某个邮箱时，才能允许发送？Q.您可以通过邮件控制策略来实现，策略设置如下：首先添加一条策略：模式 = 禁止，报警、警告、锁定计算机、仅离线生效、到期时间这些选项可根据需要设置，其它选项按默认设置。再添加一条策略：模式 = 允许，收件人 = 必须要发送的邮件地址，报警、警告、锁定计算机、仅离线生效、到期时间这些选项可根据需要设置，其它选项按默认设置。设置以上策略的客户端在发送邮件时将会有以下效果：1、如果没有选择抄送，则只有当收件人邮件地址中包含允许的收件人邮件地址，并且允许的收件人邮件地址排在收件人列表最后一个时，才能发送出去。2、如果选择了抄送，只有当 A的名字排在抄送列表最后一个时才能发送出去。抄送到的邮件地址中包含允许的收件人邮件地址，并且允许的收件人邮件地址排在抄送邮件地址的最后一个时，才能发送出去。A-40.IP-guard V3邮件记录和控制支持明细Q.IP-guard V3将邮件分为四种类型，分别是：普通邮件，使用邮件客户端程序(如OUTLOKFoxmail等配置的POP3/SMTP邮箱账号)收发的邮件。网页邮件，通过网站登陆到邮箱收发的邮件。Exchange邮件NOTES邮件IP-guard V3支持记录普通邮件和Exchange邮件发送和接收，网页邮件和NOTES邮件的发送。IP-guard V3支持控制普通邮件和Exchange邮件的发送。A-41.为什么发送或者接收一封邮件却记录了两条日志Q.如果使用OFFICE OUTLOOK发送或者接收普通邮件，就可能会出现一封邮件记录两相日志的情况，双击邮件日志仔细观察就会发现两条记录的邮件类型是不同的，一条为普通邮件，一条为Exchange邮件。这是由于IP-guard记录不同类型的邮件使用的监控模块不同，当客户端使用Outlook发送普通邮件时Exchange邮件和普通邮件两个监控模块都会记录到，目前还没办法区分出普通邮件和Exchange邮件的特征，就同时都记录下来了。A-42.如何查看和另存为文档备份内容Q.如果设置了文档备份策略，在文档操作日志中有记录文档备份的日志图标中会有一个回形针,比如记录是备份的删除操作日志图标为:双击有备份文档的日志，在弹出的属性显示框中会有一个【副本】的按钮，单击该按钮就可以查看或者另存为备份的文档。A-43.在客户端对一个文件夹作复制移动删除操作时，会记录到文件夹下所有文件的操作日志吗Q.3.21.0716以后的版本，当在客户端对文件夹做操作时，可以记录到文件夹内的所有文件操作的日志。A-44.共享文档与文档操作日志的区别Q.客户端在本机所做的文档操作，包括对本地文档和共享文档的操作；这会记录为文档操作日志。其它计算机通过网络共享访问客户端本地的文档，这将记录为共享文档日志。A-45.屏幕历史不记录Q.IP-guard V3 默认是不记录屏幕历史的，请确认是否添加记录屏幕历史的策略。如果已经设置屏幕历史记录策略，但仍然不记录，请联系我们，我们将尽快帮您解决。A-46.设置网络控制策略为禁止10000以上端口后不能打开所有网站Q.设置策略时将通讯方向设置为出站，这样就可以避免所有网站不能打开的情况A-47.如何通过IP-guard V3禁止外来计算机访问内网计算机的共享资料Q.如果内网所有计算机都安装了客户端，那么可以通过网络监控模块实现；在IP-guard V3控制台对整个网络设置两条网络控制策略，实现没有安装客户端的计算机不能访问客户端网络共享的需求；在视图中策略从下到上分别是：1、禁止、双向通讯、端口为tcp:135-139,tcp:445、全部网络地址。2、允许、双向通讯、端口为tcp:135-139,tcp:445、全部网络地址、对方是客户端。A-48.如何设置不记录内部员工来往邮件的日志？Q.选择客户端范围，在策略- 日志记录中添加两条策略，策略顺序可以忽略：1、不记录、邮件、发件人为 *内网邮箱域名2、不记录、邮件、收件人为 *内网邮箱域名A-49.IP-guard V3支持的聊天工具Q.IP-guard V3支持的聊天工具包括：MSNYahooICQSkypeLSCQQTMRTX阿里旺旺FetionGoogle TalkUCPOPOA-50.如何查看打印内容Q.如果设置了记录打印内容的策略，在打印日志中会出现一些带回形针的日志图标 ；双击带回形针图标的日志，在弹出的属性显示框中会有一个【副本】的按钮，单击该按钮就可以查看或者另存为备份的文档。A-51.打印日志中的打印页数是打印文档的页数*份数，还是打印文档的页数Q.是打印页数乘以份数。A-52.SD卡接口能通过移动存储授权控制吗？Q.IP-guard V3.22.1022以后的版本完全支持对笔记本自带的SD卡接口接入的SD卡的控制。A-53.一个物理的移动盘格式化为多个分区，通过移动存储授权能控制和记录吗？Q.可以。A-54.U3移动盘有一个虚拟的光盘驱动器，是否会影响通过移动存储授权能控制和记录这种U3移动盘？Q.无论U3移动盘有没有被保护（即设置密码），都不会受影响。A-55.不能查看实时屏幕或者其它远程维护信息Q.请在控制台【统计】-【基本信息】中查看有问题的客户端状态是否为【在线】，这通常是因为客户端刚开机不久，最长一两