WMI監控碰到錯誤号53的問題定位

版權聲明：本文為部落客原創文章，未經部落客允許不得轉載。歡迎通路我的部落格 https://blog.csdn.net/smooth00/article/details/80929277

Spotlight On Oracle這款監控工具可以用來監控Windows作業系統，監控的原理是通過WMI遠端通路協定，有時候監控會出現連接配接報錯，比如報"錯誤号53，找不到網絡路徑”，或者是報别的錯誤，隻要我們遵循以下的分析思路就能找到問題的根源：

（請持續關注smooth的部落格：https://blog.csdn.net/smooth00）

1、運作wbemtest測試

通過在監控端，在Windows作業系統中，開始->運作->wbemtest，點選連接配接

輸入指令空間：\\{IP}\root\cimv2，輸入使用者和密碼，如下： 

注釋：使用者名是有格式要求的，如果是帶域的話，就用 域名\使用者名，如果是不帶域的話就用 計算機名\使用者名（或者直接 使用者名）。連接配接的使用者是要求具有管理者權限的，是以一般是administrator。連接配接成功後的面闆如下所示：

如果連接配接成功了，說明監控端和被監控端的WMI服務是沒有問題的，如果連接配接不成功，就需要檢查以下服務是否正常啟動：

    COM+ Event System

    Remote Access Auto Connection Manager

    Remote Access Connetion Manager

    Remote Procedure Call(RPC)

    Remote Procedure Call(RPC)Locator

    Remote Registry

    Server

    Windows Management Instrumentation

    WMI Performance Adapter

    Workstation

如果兩台互連機器的服務也沒問題，連接配接使用者（使用者要有管理者權限）和賬号也沒問題，那就是網絡問題，需要确認是否ping的通，并且檢查一下hosts檔案是否配置錯誤，是否被木馬更改了導緻主機名和IP映射錯誤。

2、确認net use通路通不通

如果上面一步測試沒有問題，就需要測試一下net use指令，因為Spotlight工具本質上是通過net use進行通路連接配接的，在CMD中驗證以下指令：

net use \\172.16.1.251\C$ /u:administrator "密碼*****" 

說明：/u輸入的是使用者名，格式同上，如果是帶域的，需要按 域名\administrator 格式。

如果是通的話，會提示指令成功完成，如果是不通的話，會提示報錯（比如 錯誤号53，找不到網絡路徑）：

如果是指令成功完成，也不代表一定沒有問題，我們還需要做一個反向操作，就是在被監控端或是别的機器上，再運作一下net use，這時候連接配接的IP是監控機的IP，比如我的機器：net use \\172.16.5.241\C$ /u:administrator "密碼*****" 。一般不出意外肯定是報錯的（因為如果兩台機互相net use都沒問題，就證明WMI連接配接根本沒問題，那就不可能報錯了，就沒必要再次讨論了）。

3、确認135、445端口通不通

如果第1步沒問題，第2步出現問題，端口出現問題的機率非常高，我們就需要驗證到底是哪台機的端口有問題，是以分别在不同的機上，telnet一下對方，比如telnet 172.16.5.241 445，甚至再找第三台機，分别對監控機和被監控機都telnet一下，多半能發現至少有一台機的端口是不通的。

4、驗證端口占用情況

在端口不通的機器上，通過CMD指令驗證一下端口是否開啟，以及哪個程序占用了端口：

netstat -aon|findstr "445"，一般如果兩台機的端口如果是通的，肯定會出現兩台機的互訪連接配接。

        如果沒有出現互訪連接配接，但是445的監聽端口又是開啟的，那麼多半是有第三方工具攔截，或是有其他程序占用了端口，判斷的依據是看最後那個數字 PID是否為4（4表示system程序），如果不為4就表示有其他程式在占用這個端口，通過指令檢視具體是哪個程序在占用：

tasklist|findstr "3328"   #這裡的3328表示netstat查出來的PID

        如果PID是4，說明本地的端口應該是通的（telnet 127.0.0.1 445肯定能通），而沒有監測到互訪連接配接，那就說明對外是不通的，肯定被攔截了，多半是第三方防火牆或防毒軟體幹的，如果是單機版的防火牆或防毒軟體還好辦，把IP端口禁用項或政策項進行放行配置，或是網絡監控直接關了。但如果是企業版的分布式防毒軟體，那就聯系區域網路管理者吧，讓人家來處理了。

        對于WMI監控過程中，遇到任何問題，隻要懂得按我說的這幾步分析，一般都能定位出具體的問題原因，并得到相應解決。以下提供一下WMI的net use時常見的報錯及官方的解答：

• 錯誤号5，拒絕通路 ： 很可能你使用的使用者不是管理者權限的，先提升權限； 
• 錯誤号51，Windows 無法找到網絡路徑 : 網絡有問題； 
• 錯誤号53，找不到網絡路徑 ： ip位址錯誤；目标未開機；目标lanmanserver服務未啟動；目标有防火牆（端口過濾）； 
• 錯誤号67，找不到網絡名 ： 你的lanmanworkstation服務未啟動；目标删除了ipc$； 
• 錯誤号1219，提供的憑據與已存在的憑據集沖突 ： 你已經和對方建立了一個ipc$，請删除再連。 
• 錯誤号1326，未知的使用者名或錯誤密碼 ： 原因很明顯了； 
• 錯誤号1792，試圖登入，但是網絡登入服務沒有啟動 ： 目标NetLogon服務未啟動。（連接配接域控會出現此情況） 
• 錯誤号2242，此使用者的密碼已經過期 ： 目标有帳号政策，強制定期要求更改密碼。