桌面安全解决方案(上)桌面排错解析之三：“通讯”

1、桌面安全解决方案（上）桌面排错解析之三：“通讯”目标 能够描述OSCE的通讯机制 能够根据桌面产品的通讯机制进行基本连接故障排查内容概要 OSCE 10.X通讯机制讲解 OSCE 10.X产品使用端口详解 OSCE 10.X常见通讯问题排错步骤OSCE 10.X通讯机制讲解OSCE 10.X通讯机制讲解（1） OSCE通讯示意图OSCE 10.X通讯机制讲解（2） OSCE服务器与更新服务器/云服务器通讯成功的条件1.需要连接公网并开放80端口2.正确的解析地址3.正确配置前端的防火墙/代理等网络设备4.正确配置OSCE服务器中的代理服务器设置涉及的主要功能：1.病毒码/扫描引擎等组件版本的更

2、新2.Web信誉功能的连接3.防毒墙序列号更新OSCE 10.X通讯机制讲解（3） OSCE客户端与服务器端通讯成功的条件1.网络连通2.正确配置中间的防火墙/代理等网络设备3.双向访问IP/主机名+端口成功4.正确设置OSCE客户端代理服务器设置涉及的主要功能：1.客户端病毒码/扫描引擎等组件版本的更新2.Web/文件信誉功能的连接3.客户端策略的应用OSCE 10.X通讯机制讲解（4） OSCE客户端与更新服务器/云服务器通讯成功的条件1.需要连接公网并开放80端口2.正确的解析地址3.正确配置前端的防火墙/代理等网络设备4.正确设置OSCE客户端代理服务器设置涉及的主要功能：1.客户端病

3、毒码/扫描引擎等组件版本的更新2.Web/文件信誉功能的连接OSCE 10.X通讯机制讲解（5） OSCE服务器与客户端双向通讯机制示意图服务器通讯端口与客户端通讯端口保存在Ofcscan.ini配置文件中文件路径：.:Program FilesTrend MicroOfficeScanPCCSRV .:Program FilesTrend MicroOfficeScan ClientOSCE 10.X产品常用端口详解OSCE 10.X产品常用端口详解(1) 客户端通讯端口 - 安装时设置的随机5位数字端口. 在PCCSRVofcscan.ini 文件中查找Client_LocalServer

4、_Port键值可以确定该端口号 服务器web站点发布端口- web发布的端口以及SSL端口(若是启用SSL),请查阅下面的表格,在PCCSRVofcscan.ini 文件中查找 Master_DomainPort键值可以确定该端口号OSCE 10.X产品常用端口详解(2) NetBIOS的端口 - 使用TCP/UDP 137,139,445端口. 使用远程安装客户端的方法安装客户端以及UNC路径上传隔离文件至服务器的时候需要使用该端口集成云安全服务器扫描查询端口 - web发布的端口以及SSL端口(若是启用SSL),请查阅下面的表格 OSCE 10.X产品常用端口详解(3) LDAP端口- 使

5、用TCP 389端口. 主要用来读取域控制器的信息 MCP端口(和控制管理中心通讯)- 使用TCP80和443端口 WEB信誉服务器的端口- 内部的客户端连接集成型云安全服务器，默认使用5274OSCE 10.X常见通讯问题排错步骤OSCE 10.X服务器无法连接至更新源排错步骤（1） 通常OSCE服务器无法连接到更新源，或是出现无法更新激活码失败，以及与云断开，大部分是由于实际网络环境原因导致的，我们可以通过下列步骤来确认是否是由于网络原因引起上述问题：1.确认OSCE服务器80端口开放可以访问公网2.尝试Ping OSCE更新源地址，查看是否能返回IP地址（Ping不通属于正常情况）3.尝

6、试访问OSCE更新源地址： 1）在OSCE服务器上打开IE 2）输入更新源地址/server.iniOSCE 10.X服务器无法连接至更新源排错步骤（2） 3）出现提示打开或下载，或能看到下列页面： 出现上述提示，则代表服务器可以正常从AU上获取Server.ini配置文件 4）如果此时还是提示无法连接到更新源，则需要收集Tmudump.txt更新日志来进行确认：路径：C:Program FilesTrend MicroOfficeScanPCCSRVWebServiceAU_DataAU_LogOSCE 10.X服务器无法连接至更新源案例分享（1）案例背景：1.OSCE服务器可以正确解析更新

7、源IP地址2.OSCE服务器可以从更新源获取Server.ini文件3.收取的tmudump.txt日志显示如下内容：通过上述日志描述，显示服务器从更新源获取文件时建立连接失败，出现该报错代表OSCE所在网络环境存在问题引起连接失败OSCE 10.X服务器无法连接至更新源案例分享（2）案例背景：1.OSCE服务器可以正确解析更新源IP地址2.OSCE服务器无法从更新源获取Server.ini文件3.收取的tmudump.txt日志显示如下内容：从日志中看也是同样的问题，server.ini文件无法从更新源获取，导致后续的更新步骤无法继续，该问题同样由于网络原因引起OSCE 10.X脱机排错步骤

8、（1） 问题现象：1.客户端本地显示脱机 or 服务器控制界面显示脱机2.客户端无法在服务器控制台显示 通过激活号确认是客户机版还是完整版 是否使用代理或开启系统防火墙 -打开控制台-管理-代理服务器设置-内部代理服务器 检查客户网络是否正常 -双向telnet测试通讯 telnet 客户机ip/主机名 客户机通讯端口 telnet 服务器ip/主机名 服务器通讯端口OSCE 10.X脱机排错步骤（2） 检查客户端的Guid号是否相同 -右键打开客户端控制台帮助关于 引起Guid相同的原因可能有系统Ghost安装等 更改Guid方法： 备份并清空HTTPDB文件夹 -1.进入windows 服

9、务管理器停止 Officescan Master Service 服务 2.备份并清空httpdb 目录中的所有文件（保留目录） 3.重新开启 Officescan Master Service 服务。 完成以上操作后重新启动客户端的tmlistener服务或重新启动客户端，然后查看服务器管理控制台中客户机是否注册上来。OSCE 10.X脱机排错步骤（3） 检查服务器与客户端通讯信息是否一致 -收集服务器与客户端安装目录下的ofcscan.ini文件 通常更改服务器IP，重新安装服务器没有修改端口，更换服务器会导致通讯信息错误，引起脱机 确认方法如下： 在文件中找到Master_DomainN

10、ame= Master_DomainPort= Client_LocalServer_Port= 对比两个文件中上述信息是否一致，如客户端信息不同于服务器，则需要使用客户端迁移工具处理： OSCE 10.X脱机排错步骤（4） 检查客户端本地的连接验证日志查看错误信息 -.:Program FilesTrend MicroOfficeScan ClientConnLog 通常连接失败的原因及过程会写在该日志内OSCE 10.X脱机排错步骤（5） 收集客户端与服务器的CDT日志信息 收集服务器端的IIS/Apache日志 -IIS：C:windowsSystem32LogFilesW3SVC1和W

11、3SVC3 Apache： .Program FilesTrend MicroOfficescanPCCSRVApache2LogsOSCE 10.X脱机案例分享控制台显示客户端脱机：客户端本地显示：OSCE 10.X脱机案例分享用户确认计算机之间连接不需要经过代理服务器尝试进行连通性测试：测试客户端到服务器的连通性：测试服务器到客户端的连通性：测试连通成功：OSCE 10.X脱机案例分享服务器的Ofcscan.ini客户端的OFCSCAN.iniOSCE 10.X脱机案例分享检查客户端的Conn_*.log从上述红圈内的内容可以看到客户端在连接服务器端时，无法解析其IP地址。针对上述，我们在

12、计算机的hosts文件中添加“OSCE”主机名对应的IP解析关系即可，或通过DNS设置来进行解析。OSCE 10.X客户端无法连接到云服务器排错步骤（1） 检查客户网络是否正常，服务器是否可以连接公网 检查客户端与服务器系统防火墙是否开启 测试客户端到服务器的端口通讯： telnet 服务器ip/主机名 通讯端口 ，例如 端口查询： OSCEweb控制台-云安全智能防护-集成服务器OSCE 10.X客户端无法连接到云服务器排错步骤（2） 确认客户端在服务器上所定义的计算机位置 1，Web控制台-联网计算机-计算机位置确认是否正确设置了网关和参考服务器 2，检查本地客户端注册表：HKEY_LOC

13、AL_MACHINESOFTWARETrendMicroPC-cillinNTCorpCurrentVersioniCRC ScanScan ServerLocalScanServerUrl的值是否正确，有无设置LocalScanServerUseProxy值LocationProfile是否为1，如果为2，表示OSCE客户端去连接第二个云服务器，通常情况该值为1，1也表示是本地的云服务器PS：连接1则根据内部通讯机制进行排查，连接2则根据外部通讯机制排查OSCE 10.X客户端无法连接到云服务器案例分享客户端图标长时间出现测试客户端到服务器的端口通讯： telnet 服务器IP+8082/4

14、345/5072端口成功打开注册表，查看到下列键值LocationProfile=2该键值代表客户端目前连接的是趋势公网云服务器，和网络管理员确认，客户机连接外网有策略限制，将键值修改为十进制1，退出注册表，重新加载客户端后问题解决OSCE 10.X客户端隔离文件与病毒日志无法上传排错步骤（1） 确认客户端当前的连接状态 确认客户端与服务器通讯是否正常 确认TCP/UDP 137,139,445端口是否开启（用于上传隔离文件） 检查客户端本地的FLOG与HLOG文件夹中是否存在LOG文件（正常情况文件夹为空） OSCE 10.X客户端隔离文件与病毒日志无法上传排错步骤（2） 检查隔离文件大小是否超过控制台设置最大阀值 检查隔离文件夹容量是否已经达到控制台设置最大阀值 尝试清空服务器HTTPDB文件夹，重新注册客户端查看问题是否解决（主要针对DB中的Virusdb文件） 如果问题仍然存在，重现问题收集服务器与客户端的CDT OSCE 10.X客户端隔离文件与病毒日志无法上