www.InTouch.su

Добрый день.

Подскажите как решить проблему, удалённые платформы не видят состояние(Engine Status) GRNode и в обратную сторону (нет возможности удалённо запустить, остановить движки), причём деплой проходит успешно, с платформы архивируются, считываются, принимаются данные успешно. Динамический диапазон порезали до 20 портов средствами Windows.

всего 5 платформ( 3 из них в одной подсети видят друг друга, а 2 в других подсетях (друг друга тоже не видят), хисториан в первой тройке)

theWoolf писал(а):Динамический диапазон порезали до 20 портов средствами Windows.

Поясните, пожалуйста.

theWoolf писал(а):всего 5 платформ( 3 из них в одной подсети видят друг друга, а 2 в других подсетях (друг друга тоже не видят), хисториан в первой тройке)

Если сетевая структура - не домен, то на всех машинах подредактируйте файл HOSTS, если домен - проверьте корректность работы DNS-серверов домена.
Откройте все необходимые порты в брендмауэрах. Перечень портов (приблизительный):
HTTP TCP 80
HTTPS TCP 443
Remote Desktop Connection TCP 3389
CIFS TCP 445 Outbound File serving, deploying. From IDE to IAS.
NETBIOS Datagram UDP 138 Send Name Service/Browsing. From IAS to Browse Master or from Browse Master to Domain Master Browser.
NETBIOS Name Service UDP 137 Send Receive Name Service/Browsing. From IAS to WINS Server or Browse Master or Domain Master Browser.
NETBIOS Session TCP 139 Outbound Server Message Block (SMB). Used to implement Windows networking from IAS to the Domain Controller if applicable.
NMXSVC TCP 5026 Outbound Archestra Communication Channel. Peer-to-Peer, bidirectional between all ArchestrA-enabled nodes.
RPC DCE TCP 135 Outbound DCOM. Peer-to-Peer, bidirectional between all ArchestrA-enabled nodes.
RPC Dynamic Port Range TCP 6000-6050* Outbound *Custom range. Peer-to-Peer, bi-directional between all ArchestrAenabled nodes.
SQL Server TCP 1433 Inbound SQL Server. From SQL Server to Client SQL Client TCP 1433 Outbound SQL Client. From Client to SQL Server
SQL Browser UDP 1434 Send Receive Only if implementing SQL Server instances
SUITELINK TCP 5413 TCP 1024-65000 (see note below) Suitelink: InTouch, IO Server communication.
PING ICMP Protocol Type 8 Between all ArchestrA - enabled nodes.
NTP UDP 123 Time Synchronization. From Client to Domain controller(s) or time master.
DNS UDP 53, TCP 53 Domain Name Service. From client to DNS Server.
LDAP TCP 389 Active Directory Domain, from client to Domain Controller(s)
KERBEROS TCP 88 Authentication

Note SuiteLink establishes a secondary connection in the disclosed port range. Stateful packet inspection firewalls handle this operation automatically. If the user needs to establish this on their own, they are then aware of the secondary connection ports.

В реестре прописали что в качестве разрешенного динамического диапозона можно использовать только определённые порты, выделилил 20 штук, по скану портов Wоnderware больше 7 динамических портов не использует
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\internet]
"Ports"=hex(7):35,00,30,00,30,00,30,00,30,00,2d,00,35,00,30,00,30,00,32,00,30,\
00,00,00,00,00
"PortsInternetAvailable"="Y"
"UseInternetPorts"="Y"

https://support.microsoft.com/ru-ru/help/154596.

Сетевая структура доменная, сейчас простучу все описаные вами порты, отпишу

Развернул 2 машины локально, убрал все разрешающие правила, добавил блокирующие правила на все порты порты кроме 1 динамического, состояние отображается, если я блокирую только тот 1 динамически то состояние не отображается, но и задеплоить машину нельзя. А у нас она деплоится, но состояние мы не видим.

У таджикских физиков-ядерщиков возникла неразрешимая проблема: какие бы эксперименты в области ядерных технологий они не проводили, в результате всё время получается ... анаша.

К чему это я?

Вы можете экспериментировать с любым кол-вом ПК, открывать/закрывать порты с номерами из последнего розыгрыша Спортлото, скурпулёзно записывать результаты... Но у WW есть дока, в которой перечислены используемые её программными компонентами порты. И сперва необходимо выполнить рекомендации/требования разработчика ПО.
И таки...
Deploy ведётся через DCOM (порт 135)
А общение между Платформами ведётся через другой порт (5026) и совсем другой протокол (NMX).
Жизнь, она такая ... многогранная.

Порты открыты, деплоится изумительно, в ObjectViewr теги смотрятся, но в SMC нет статуса и невозможно управлять состоянием движков

Отключите любые сторонние фаерволы.
Включите встроенный в Win Брендмауэр.
Запустите OSConfiguration Utility (C:\Program Files (x86)\Common Files\ArchestrA). Она сама пропишет необходимые исключения в Брендмауэр.
Повторить на всех серверах/станциях.

Если по-прежнему не робит - проверьте активное сетевое оборудование на предмет залоченных портов. А также логи журналов ОС и SMC.

Оказалось всё просто, заблокированы порты динамического диапазона в одну из сторон. Безопасники очень ругаются почему необходимо открывать порты в обе стороны, ведь файрвол при одной сессии пропускает в обе стороны, а Wonderware почему то создаёт с обоих сторон свои сессии, а предыдущую закрывает.


Извините за нубство =)