■內(nèi)蒙古 杜云雷

最近，筆者想用Windows 10系統(tǒng)連接另一臺同一局域網(wǎng)下的Windows 10系統(tǒng)共享的打印機，按常理說只要兩臺電腦在同一局域網(wǎng)下，且工作組一致，共享設(shè)置開放，A電腦共享打印機，B電腦就可以通過IP添加該打印機了，結(jié)果就是連不上。

圖1 服務(wù)列表

故障排查

1.首先檢查網(wǎng)絡(luò)，打開A電腦的防火墻入站規(guī)則的文件和打印機共享（回顯請求-ICMPv4-in），用B電腦ping A電腦IP可以ping通。

2.檢查兩臺電腦的工作組名稱是否一致。

3.檢查A電腦的高級共享設(shè)置，確保文件和打印機共享是啟用的。再檢查密碼保護共享是否關(guān)閉。

4.查看服務(wù)是否已開啟：如果是禁用狀態(tài)，應(yīng)首先將啟動類型選成“自動”，點擊“應(yīng)用”，再點擊“啟動”，最后點“確定”。

5.檢查組策略：計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配。從網(wǎng)絡(luò)訪問此計算機添加來賓賬戶，拒絕從網(wǎng)絡(luò)訪問這臺計算機賬戶列表留空。

6.至此，依然無法連接共享打印機，通過“telnet x.x.x.x 445”命令檢查A電腦的445端口是否開放，不通！關(guān)閉A電腦的防火墻試試，telnet依然不通。

7.眾所周知445端口專門用于文件打印機共享，端口不通肯定無法順利連接打印機。為什么防火墻關(guān)閉了還是不通呢？突然想到勒索病毒，那次席卷全球的勒索病毒爆發(fā)，全公司電腦曾使用360提供的NSA武器庫免疫工具進行修復過。360這個工具作用就是及時快捷的封堵端口防止中招，待用戶自行下載漏洞補丁后再解封端口。但是人們往往只操作了第一步，導致端口一直處于封堵狀態(tài)。。

圖2 組策略用戶權(quán)限分配

圖3 組策略IP安全策略

再次打開該工具，點擊恢復端口，還是不行。其實端口根本沒有恢復，這個工具封堵做的挺好，解封卻無效。

8.最終在組策略中的IP安全策略中發(fā)現(xiàn)了一條端口封堵策略正在生效中，查看發(fā)現(xiàn)其中就有445端口，將策略已指派狀態(tài)改成否，停掉了該策略

再次測試打印機，秒連??！

經(jīng)驗總結(jié)

1.不能輕視任何一個小問題，不能一時解決不了就想著重裝系統(tǒng)來解決。

2.學會理解計算機思考方式，了解打印機通過什么實現(xiàn)共享才能一步步排查出問題根源所在。

3.有漏洞盡量修復漏洞打補丁，而不是每次用工具封堵端口，因為很多策略藏得很深，組策略、注冊表等，很難找到根源。

4.不要動不動就關(guān)閉操作系統(tǒng)的防火墻，排查問題可以臨時關(guān)閉，但處理完一定要記得打開，如果需要可以添加入站規(guī)則。防火墻可以阻止很多病毒傳播擴散到你的主機，關(guān)鍵時刻就體現(xiàn)出來了。

最后，筆者認為做運維的想要進步就得多查資料、多思考、勤鉆研才能獲得更大進步。