Problembehandlung bei der Konnektivität der SMS-Administratorkonsole

In diesem Artikel wird beschrieben, wie Sie Probleme mit einer neuen oder einer vorhandenen SMS-Administratorkonsole beheben, um zu ermitteln, warum keine Verbindung mit dem Standortserver hergestellt werden kann.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 317872

Zusammenfassung

Wenn Sie SMS verwenden und versuchen, eine Verbindung mit dem Standortserver herzustellen, erhalten Sie möglicherweise die Meldung "Verbindung fehlgeschlagen". Oder die Knoten werden möglicherweise nicht angezeigt, nachdem Sie eine Verbindung hergestellt haben. Darüber hinaus können Fehler, die den folgenden ähneln, in der AdminUI.log-Datei auf dem Server protokolliert werden:

Fehler: Möglicher Benutzeroberflächenverbindungsfehlercode ist -2147023174 [0x800706ba]

Fehler: Möglicher Ui-Verbindungsfehlercode ist -2146959355 [0x80080005]

Fehler: Möglicher Benutzeroberflächenverbindungsfehlercode ist -2147217394

Fehler: Möglicher Ui-Verbindungsfehlercode ist -2147217389[0x80041013] Fehler beim Ausführen der GetProviderVersion-Methode! Die Funktion GetProviderVersion gibt eine leere Zeichenfolge von ProviderVersion zurück. Fehler beim Wbem-Aufruf: T_WbemSyncEnumToContainer_Core, Rückgabecode: -2147217389 ProviderVersion kann nicht abgerufen werden. SiteCode – SiteServerName, Anbieterversion: Fehler beim Festlegen der Verbindung. Fehlercode: -2147217389

Error(ConnectServer): Möglicher Benutzeroberflächenverbindungsfehlercode ist -2147024891

Fehler: Möglicher Benutzeroberflächenverbindungsfehlercode ist -2147024891 [0x80070005]

[994] [<Date><Time>]: Error(CheckForDisconnect2): Ungültiger Dienstzeiger. Die WMI-Verbindung wurde getrennt. : -2147024891 [0x80070005]

Weitere Informationen

Gewähren des Zugriffs auf die SMS-Administratorkonsole

Um auf eine lokale oder Remote-SMS-Administratorkonsole zugreifen zu können, müssen Benutzer Mitglieder der lokalen Gruppe SMS-Administratoren sein. Der Gruppe SMS-Administratoren werden explizit Konto aktivieren und Remoteaktivierung für den Root\SMS-Namespace gewährt. Die Gruppe SMS-Administratoren bietet ihren Mitgliedern über WMI Zugriff auf den SMS-Anbieter. Fügen Sie Benutzer zur Gruppe SMS-Administratoren hinzu, wenn sie auf die SMS-Administratorkonsole zugreifen müssen, aber nicht lokale Administratoren sein müssen. Wenn Sie eine andere lokale Gruppe verwenden möchten, um Zugriff auf die SMS-Administratorkonsole zu gewähren, müssen Sie dieser lokalen Gruppe oder der lokalen Domänengruppe auch die gleiche WMI-Berechtigung wie die GRUPPE SMS-Administratoren gewähren. Führen Sie die folgenden Schritte aus, um Zugriff auf die SMS-Administratorkonsole zu gewähren:

1. Erstellen Sie eine globale Gruppe für die Domäne, die Benutzer enthält, die spezifischen Zugriff auf die SMS-Administratorkonsole benötigen.

2. Fügen Sie diese globale Gruppe oder das explizite Domänenbenutzerkonto der lokalen Gruppe SMS-Administratoren hinzu.

3. Konfigurieren Sie die SMS-Berechtigungen für die globale Gruppe, die Sie erstellt haben.

   Hinweis

   • Um diesen Schritt ausführen zu können, müssen Sie Administrator sein und über vollständige Berechtigungen für die Website verfügen.
   • Wenn Sie eine Verbindung mit der Datenbank herstellen können, die Knoten aber nicht aufgelistet sind, überprüfen Sie die SMS-Berechtigungen, die der globalen Gruppe oder einem bestimmten Benutzer im Knoten Sicherheit der SMS-Administratorkonsole erteilt werden. Bestimmen Sie beispielsweise, ob der Auflistungsknoten, der Paketknoten oder andere Knoten Inhalte anzeigen.

   Welche Berechtigungen Sie erteilen, hängt von der Funktionalität ab, die von den Mitgliedern dieser globalen Gruppe ausgeführt werden soll. Klicken Sie zum Erteilen von Berechtigungen in der SMS-Administratorkonsole mit der rechten Maustaste auf den Knoten Sicherheitsrechte, zeigen Sie auf Alle Aufgaben , und klicken Sie dann auf SMS-Benutzer verwalten, um den Sicherheits-Assistenten zu starten.

4. Verwenden Sie den Assistenten, um die Sicherheitseinstellungen von Benutzern und Gruppen hinzuzufügen, zu entfernen oder zu ändern.

Problembehandlung bei der Konnektivität der SMS-Administratorkonsole

Wenn Sie eine SMS-Remote-Administratorkonsole testen, stellen Sie sicher, dass das neueste SMS Service Pack auf diese Konsole angewendet wurde. Wenn das Service Pack nicht angewendet wurde, wird möglicherweise ein Fehler ähnlich dem folgenden in der AdminUI.log-Datei protokolliert:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! Fehler beim Festlegen der Verbindung. Fehlercode: -2147217407 Führen Sie das Setupprogramm aus der Service Pack-Quelle aus, um zu bestimmen, ob die SMS-Administratorkonsole die einzige Komponente ist, die aktualisiert werden muss.

Berücksichtigen Sie die folgenden Probleme, um die Konnektivität der SMS-Administratorkonsole zu beheben:

• Wird auf dem SMS-Standortserver Microsoft Windows Server 2003 mit Service Pack 1 (SP1) ausgeführt?

  In Windows Server 2003 mit SP1 wird eine neue lokale Gruppe mit dem Namen Verteilte COM-Benutzer erstellt. Um das Konnektivitätsproblem in Windows Server 2003 Service Pack 1 zu beheben, fügen Sie die Benutzer, die versuchen, Remoteverbindungen zur SMS-Administratorkonsole herzustellen, der lokalen Gruppe Verteilte COM-Benutzer hinzu.

• Ist der Benutzer Mitglied einer globalen Gruppe, die Mitglied der Gruppe SMS-Administratoren ist, oder ist der Benutzer explizit in der Gruppe SMS-Administratoren definiert?

  Die Gruppe SMS-Administratoren wird während der Installation des SMS-Standorts erstellt. Wenn ein Standort auf einem Mitgliedsserver installiert wurde, handelt es sich bei der Gruppe SMS-Administratoren um eine lokale Gruppe im lokalen Sicherheitskonten-Manager (SAM). Wenn ein Standortserver ein Domänencontroller ist, ist die Gruppe SMS-Administratoren eine lokale Gruppe in der Domäne. Der Benutzer muss zur Gruppe SMS-Administratoren gehören, da dieser Gruppe die erforderlichen Berechtigungen für den SMS- und SMS_site-Codenamespace im WMI-Repository (Windows Management Instrumentation) erteilt werden, wenn die SMS-Website erstellt wird.

• Hatte dieser Server eine vorherige Installation von SMS?

  Wenn auf dem Server bereits eine SMS-Installation durchgeführt wurde, gibt es möglicherweise mehrere Standortcodes in der SMS_ProviderLocation Klasse, die sich im SMS-Namespace des Standortservers befindet. Löschen Sie alle Standortcodes, die auf dem Standortserver nicht mehr vorhanden sind. Sie können das WBEMtest-Tool verwenden, um die SMS_ProverLocation-Klasse anzuzeigen.

• Bestätigen Sie auf dem Standortserver eigenschafteneinstellungen, die im hilfsprogramm Dcomcnfg.exe definiert sind.

  Um die eigenschaften anzuzeigen, die im hilfsprogramm Dcomcnfg.exe definiert sind, klicken Sie auf die Registerkarte Standardeigenschaften, und bestätigen Sie dann die folgenden Einstellungen:

  1. Das Kontrollkästchen Verteiltes COM auf diesem Computer aktivieren ist aktiviert.
  2. Die Standardauthentifizierungsebene ist auf Verbinden festgelegt.
  3. Die Standardidentitätswechselebene ist auf Identifizieren festgelegt.

• Wenn Sie eine SMS-Remote-Administratorkonsole testen, stellen Sie sicher, dass das neueste SMS Service Pack auf diese Konsole angewendet wurde.

  Führen Sie das Setupprogramm aus der Service Pack-Quelle aus, um zu ermitteln, ob die SMS-Administratorkonsole die einzige Komponente ist, die aktualisiert werden muss.

Nachdem Sie diese Probleme berücksichtigt haben, führen Sie die in den folgenden Abschnitten beschriebenen Problembehandlungsverfahren aus.

Problembehandlung bei der Sms-Namespacekonnektivität

Stellen Sie sicher, dass der Benutzer eine Verbindung mit dem SMS-Namespace und den SMS_"sitecode"-Namespaces herstellen kann. Gehen Sie dazu wie folgt vor:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann wbemtest ein.
2. Klicken Sie auf Verbinden, geben Sie \\siteserver\root\sms ein, und klicken Sie dann auf Anmelden.
3. Klicken Sie auf Enumerationsklassen, dann auf Rekursiv und dann auf OK.
4. Doppelklicken Sie in der Liste Abfrageergebnis auf SMS_ProviderLocation.
5. Klicken Sie auf Instanzen, und doppelklicken Sie dann auf die Zeile, die den Zielstandortcode enthält. Beispiel: SMS_ProviderLocation.SiteCode="xxx."
6. Suchen Sie im Abschnitt Eigenschaften die Zeile NamespacePath. Möglicherweise müssen Sie auf diese Zeile doppelklicken, um die gesamte Zeile anzuzeigen.
7. Kopieren Sie den NamespacePath-Wert in die Zwischenablage. Kopieren Sie beispielsweise den folgenden Wert:\\ server_name\root\sms\site_xxx.

Wenn Sie dieses Verfahren erfolgreich abschließen, können Sie eine Verbindung mit dem Standortserver herstellen und den SMS-Namespace auflisten.

Problembehandlung bei der Serverkonnektivität

Bestimmen Sie, ob Sie eine Verbindung mit dem Server herstellen können, auf dem sich der Anbieter befindet. Der Server wird im NamespacePath-Wert definiert, den Sie im Abschnitt "Problembehandlung bei der Sms-Namespacekonnektivität" festgelegt haben. In der Regel handelt es sich bei diesem Server um denselben Server.

1. Schließen Sie alle WBEMtest-Fenster, die möglicherweise geöffnet sind.
2. Klicken Sie auf Verbinden, fügen Sie den NamespacePath ein, den Sie in Schritt 7 kopiert haben, und klicken Sie dann auf Anmelden.
3. Klicken Sie auf Enumerationsklassen, dann auf Rekursiv und dann auf OK.
4. Doppelklicken Sie in der Liste Abfrageergebnis auf SMS_Site.

Wenn Beim Ausführen dieses Verfahrens die Fehlermeldung "Zugriff verweigert" angezeigt wird, kann dies auf eine der folgenden Ursachen zurückzuführen sein:

1. Der Sicherheitskonfigurations-Assistent wurde auf dem Server ausgeführt, der den SMS-Anbieter hostet. Der Assistent für die Sicherheitskonfiguration kann den SMS-Anbieter jedoch nicht erkennen. Wenn Sie den Assistenten auf dem Server ausführen, auf dem der SMS-Anbieter installiert ist, müssen Sie den Remote-WMI-Dienst im Assistenten aktivieren. Wenn Sie Remote-WMI nicht aktivieren, können die SMS-Administratorkonsole auf dem Standortserver und andere Remotekonsolen keine Verbindung mit dem SMS-Namespace in WMI herstellen. Gehen Sie wie folgt vor, um Remote-WMI im Assistenten zu aktivieren:

   Wählen Sie remote WMI auf der Seite Verwaltung und andere Optionen auswählen des Sicherheitskonfigurations-Assistenten aus.

   Hinweis

   Weitere Informationen zum Schützen von SMS-Standortsystemen finden Sie auf der folgenden Microsoft-Website: https://technet.microsoft.com/library/cc179764.aspx

2. Das verwendete Konto verfügt nicht über die entsprechenden Berechtigungen für den Namespace des Anbieters. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu ändern oder zu überprüfen:

   1. Klicken Sie auf dem Server, auf dem Sie die SMS-Website aufgelistet haben, auf Start, klicken Sie auf Ausführen, geben Sie wmimgmt.msc ein, und klicken Sie dann auf OK.

   2. Klicken Sie mit der rechten Maustaste auf WMI-Steuerelement, und klicken Sie dann auf Eigenschaften.

   3. Erweitern Sie auf der Registerkarte Sicherheitden Eintrag Stamm, und klicken Sie dann auf SMS.

   4. Klicken Sie im Ergebnisbereich auf Sicherheit , um die Berechtigungen anzuzeigen.

   5. Klicken Sie auf Erweitert, klicken Sie auf SMS-Administratoren, und klicken Sie dann auf Anzeigen-Bearbeiten.

      Für den SMS-Namespace muss die Gruppe SMS-Administratoren über die folgenden Berechtigungen verfügen:

      • Konto aktivieren
      • Remoteaktiviere

   6. Wiederholen Sie die Schritte a bis e, um die Gruppe SMS-Administratoren für den SMS_ xxx-Namespace zu untersuchen. (xxx ist ein Platzhalter für den Websitecode.) Erteilen Sie dann dem Benutzer oder der Gruppe die Berechtigung Remoteaktivierung . Wenn der Benutzer oder die Gruppe nicht über die entsprechenden WMI-Berechtigungen in Sicherheit für den SMS-Namespace verfügt, wird möglicherweise das folgende Ereignis in der AdminUI.log-Datei protokolliert:

Weitere Sicherheitsprobleme

Verwenden Sie die in diesem Abschnitt beschriebenen Problembehandlungsverfahren, wenn eine der folgenden Bedingungen zutrifft:

• Benutzern wird weiterhin der Zugriff verweigert, wenn sie versuchen, eine Verbindung mit der Konsole herzustellen, nachdem Sie den entsprechenden Konten das Recht "Remoteaktivieren" in der WMI-Sicherheit gewährt haben.
• Die Konsole ist nur teilweise verfügbar.

Überprüfen der Konfiguration der Windows-Firewall

Windows XP SP2 und Windows Server 2003 SP1 enthalten das Feature Windows-Firewall. Wenn Sie die SMS-Verwaltungskonsole auf einem Windows XP SP2-basierten oder windows Server 2003 SP1-basierten Computer ausführen, auf dem die Firewall aktiviert ist, müssen Sie das Unsecapp.exe Programm und TCP-Port 135 aktivieren, um die Windows-Firewall zu durchlaufen. Gehen Sie dazu wie folgt vor:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Siefirewall.cplein, und klicken Sie dann auf OK.

2. Klicken Sie auf der Registerkarte Allgemein auf Ein , um die Firewall zu aktivieren. Deaktivieren Sie das Kontrollkästchen Ausnahmen nicht zulassen .

3. Klicken Sie auf der Registerkarte Ausnahmen auf Programm hinzufügen.

4. Klicken Sie auf Durchsuchen, geben Sie %windir%\System32\Wbem\Unsecapp.exe in das Feld Dateiname ein, und klicken Sie dann auf Öffnen. Wenn Sie den Bereich definieren müssen, klicken Sie auf Bereich ändern, und klicken Sie dann auf OK. Klicken Sie auf OK , um das Dialogfeld Programm hinzufügen zu schließen.

5. Aktivieren Sie in der Liste Programme und Dienste das Kontrollkästchen Unsecapp.exe .

6. Klicken Sie auf Port hinzufügen.

7. Geben Sie im Feld Portnummerden Wert 135 ein. Wählen Sie TCP aus, und geben Sie dann einen Namen für die Ausnahme in das Feld Name ein. Wenn Sie den Bereich definieren müssen, klicken Sie auf Bereich ändern, und klicken Sie dann auf OK. Klicken Sie auf OK , um das Dialogfeld Port hinzufügen zu schließen.

8. Aktivieren Sie in der Liste Programme und Dienste das Kontrollkästchen für die Ausnahme, die Sie in Schritt 7 hinzugefügt haben.

9. Klicken Sie auf OK.

Überprüfen der DCOM-Sicherheitseinstellungen

Sie können dieses Problem möglicherweise nicht beheben, indem Sie diese Ausnahmen zur Windows-Firewall hinzufügen. Möglicherweise müssen Sie anonyme Remoteberechtigungen in DCOM für den Clientcomputer festlegen. Führen Sie die folgenden Schritte aus, um dies auf dem Windows XP SP2-basierten Computer zu tun, auf dem die SMS-Administratorkonsole ausgeführt wird:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Siedcomcnfg.exeein, und klicken Sie dann auf OK.

2. Suchen Sie den Stammknoten Konsole, erweitern Sie Komponentendienste, erweitern Sie Computer, und klicken Sie dann auf Arbeitsplatz.

3. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften.

4. Klicken Sie unter Eigenschaften des eigenen Computers auf die Registerkarte COM-Sicherheit .

5. Klicken Sie unter Zugriffsberechtigungen auf Grenzwerte bearbeiten.

6. Klicken Sie auf ANONYME ANMELDUNG.

7. Klicken Sie unter Berechtigungen für ANONYME ANMELDUNG auf Einstellung für Remotezugriff zulassen.

8. Klicken Sie zweimal auf OK.

9. Restart your computer.

Bestimmen, ob die DCOM-Standardberechtigungen geändert wurden

Suchen Sie unter dem folgenden Registrierungsunterschlüssel nach dem Wert DefaultAccessPermission: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

Dies gibt an, dass die DCOM-Standardberechtigungen geändert wurden. Wenn dieser Wert nicht vorhanden ist, sind die DCOM-Standardberechtigungen wirksam. Um dieses Problem zu beheben, löschen Sie den DefaultAccessPermission-Wert. Dadurch werden alle DCOM-Standardberechtigungen zurückgesetzt. Dies ist ein letztes Mittel und ist nicht garantiert, um das Problem zu beheben.

Führen Sie die folgenden Schritte aus, um den DefaultAccessPermission-Wert zu löschen:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf DefaultAccessPermission, und klicken Sie dann auf Löschen.

4. Klicken Sie im Dialogfeld Wert löschen bestätigen auf Ja.

5. Beenden Sie den Registrierungs-Editor.

6. Melden Sie sich vom Computer ab, und melden Sie sich dann wieder am Computer an.

Einschließen der Sicherheitsgruppe "Anonyme Anmeldung" in die Sicherheitsgruppe "Jeder"

Wenn die zuvor beschriebenen Verfahren das Berechtigungsproblem für die SMS-Administratorkonsole nicht beheben, kann es schwierig sein, die folgenden Schritte auszuführen:

• Ermitteln Sie, welche Ressource anonymen Zugriff auf dem Computer erfordert, auf dem Windows XP ausgeführt wird.
• Ändern der Berechtigungen für alle erforderlichen RessourcenIn diesen Situationen müssen Sie möglicherweise erzwingen, dass der Computer, auf dem Windows XP ausgeführt wird, die Sicherheitsgruppe Anonyme Anmeldung in die Sicherheitsgruppe Jeder einschließt. Um diese Funktionalität zu unterstützen, enthält Windows XP den Registrierungseintrag EveryoneIncludesAnonymous.

Wenn der Registrierungseintrag EveryoneIncludesAnonymous auf REG_DWORD 0x1 festgelegt ist, enthält die lokale Sicherheitsautorität (LSA) die Sicherheits-ID (SID) der Sicherheitsgruppe Jeder im Zugriffstoken des anonymen Benutzers. Verwenden Sie eine der folgenden Methoden, um den Wert des Registrierungseintrags EveryoneIncludesAnonymous festzulegen.

Methode 1: Festlegen des Registrierungseintrags EveryoneIncludesAnonymous mithilfe lokaler Sicherheitseinstellungen

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Control admintools ein, und klicken Sie dann auf OK.

2. Doppelklicken Sie entweder auf Lokale Sicherheitsrichtlinie oder Domänensicherheitsrichtlinie (nur auf Domänencontrollern).

3. Doppelklicken Sie auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.

4. Klicken Sie mit der rechten Maustaste auf Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer gelten lassen, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie auf Aktiviert, damit anonyme Benutzer Mitglieder der Sicherheitsgruppe Jeder sein können. Klicken Sie auf Deaktiviert, um zu verhindern, dass die Sicherheitsgruppen-SID jeder in das Zugriffstoken des anonymen Benutzers aufgenommen wird. Dies ist die Standardeinstellung in Windows XP.

Methode 2: Festlegen des Registrierungswerts EveryoneIncludesAnonymous mithilfe von Registry Editor

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

2. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie dann auf den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

3. Klicken Sie mit der rechten Maustaste auf JederEinschließenAnonymous, und klicken Sie dann auf Ändern.

4. Damit anonyme Benutzer Mitglieder der Sicherheitsgruppe Jeder sein können, geben Sie 1 in das Feld Wertdaten ein. Geben Sie im Feld Wertdaten den Wert 0 ein, um zu verhindern, dass die Sicherheitsgruppen-SID jeder in das Zugriffstoken des anonymen Benutzers aufgenommen wird. Standardmäßig ist der Wert EveryoneIncludesAnonymous in Windows XP auf 0 festgelegt.

5. Beenden Sie den Registrierungs-Editor.

6. Starten Sie den Computer neu.

Zusätzliche Konnektivitätstests

Starten Sie das WMI-Steuerelement auf dem Standortserver. Starten Sie das WMI-Steuerelement nicht auf dem Anbieterserver, wenn dieser Server anders ist. Klicken Sie auf die Registerkarte Protokollierung, und legen Sie dann den Protokolliergrad auf Ausführlich fest, um die Protokollierung auf die Datei Windows_folder\System32\Wbem\Logs\Wbemcore.log zu erhöhen.

Analysieren Sie dieses Protokoll auf dem Standortserver. Der gesamte generierte WMI-Datenverkehr wird angezeigt. Suchen Sie nach der Abfrage für SMS_Providerlocation, die aufgetreten ist, als eine SMS-Administratorkonsole versucht hat, eine Verbindung herzustellen. Wenn diese Abfrage vorhanden ist, können Sie bestätigen, dass die Kommunikation zwischen der Konsole und dem Standortserver besteht. Testen Sie die Konnektivität vom Standortserver zurück zur anfordernden SMS-Administratorkonsole. In den folgenden Szenarien ist möglicherweise keine Konnektivität vorhanden:

• Der RPC-Server (Remote Procedure Call) ist nicht verfügbar.

• Es gibt ein Problem mit der DNS-Namensauflösung. Die Fehlermeldung "Verbindung fehlgeschlagen" kann auch auftreten, wenn die Namensauflösung nicht ordnungsgemäß abgeschlossen wurde. Verwenden Sie das WBEMtest-Tool, und versuchen Sie, mithilfe der IP-Adresse eine Verbindung mit dem Standortserver herzustellen, um festzustellen, ob ein Problem mit der Namensauflösung auftritt. Verwenden Sie beispielsweise \111.222.333.444\root\default als Adresse. Wenn Sie eine Verbindung herstellen können, wenn Sie die IP-Adresse verwenden, aber keine Verbindung herstellen können, wenn Sie den netBIOS-Namen des Standortservers verwenden, tritt ein Problem mit der Namensauflösung auf. Um dieses Problem zu beheben, bestätigen Sie entweder die WINS- oder DIE DNS-Konfigurationen.

Wenn Sie Knoten in einer SMS-Remoteadministratorkonsole erweitern, stellt der SMS-Standortserver eine DCOM-Verbindung mit dem Computer her, auf dem die Konsole installiert ist. Wenn für den Computer, auf dem die Konsole installiert ist, ein ungültiger DNS-Eintrag vorhanden ist, versucht der SMS-Standortserver möglicherweise, eine Verbindung mit der falschen IP-Adresse herzustellen. In diesem Fall kann der Konsolenknoten nicht erweitert werden, und der Konsolencomputer protokolliert den Fehler "WMI-Verbindung wurde getrennt" im AdminUI.log. Führen Sie zur Problembehandlung den nslookup <console_computer_name> Befehl aus, um sicherzustellen, dass der Name in die richtige IP-Adresse aufgelöst wird. Wenn eine ungültige DNS-Registrierung für den Konsolencomputer vorhanden ist, entfernen Sie die ungültige DNS-Registrierung. Bestimmen Sie außerdem, wie die ungültige DNS-Registrierung erstellt wurde, um zu verhindern, dass sie erneut auftritt. Beispielsweise hat der Konsolencomputer möglicherweise eine VPN-Adresse registriert, aber die VPN-Adresse wurde nicht aus DNS entfernt, als das VPN getrennt wurde. Nachdem Sie das DNS-Problem behoben haben, führen Sie den folgenden Befehl an einer Eingabeaufforderung auf dem SMS 2003-Standortserver aus: ipconfig /flushdns.

Wenn Sie den vollqualifizierten Domänennamen des Windows XP SP2-basierten Computers nicht mithilfe von DNS auflösen können, erstellen Sie einen Eintrag in der Hostdatei auf dem SMS 2003-Standortserver, um den vollqualifizierten Domänennamen des Windows XP SP2-basierten Computers seiner IP-Adresse zuzuordnen.

Bekannte Probleme mit Microsoft ISA-Server oder Prüfpunkt-VPN-Software

Wenn Sie einige Knoten auf einer Remotekonsole nicht über eine Remoteverbindung von einem Windows 2003 SP1-Computer erweitern können, können aufrufbasierte Remoteprozedurvorgänge fehlschlagen, wenn bestimmte Firewall- und VPN-Produkte Netzwerkanforderungen ablehnen. Diese Netzwerkanforderungen können auf Computern fehlschlagen, auf denen Sie Windows Server 2003 Service Pack 1 (SP1) auf einen Windows Server 2003-basierten Computer anwenden oder wenn Ihr OEM- oder Einzelhandelsinstallationsmedium SP1-Updates enthält. Die folgenden Produkte können diese Netzwerkanforderungen ablehnen:

• Firewall- oder VPN-Produkte (Virtual Private Network) von Checkpoint Software Technologies
• ISA (Microsoft Internet Security and Acceleration Server)

Dieses Problem kann auch auftreten, wenn die folgenden Bedingungen zutreffen:

• Die RPC-Verbindung vom Client erfolgt über TCP-Port 135 und ist aktiviert.
• Die Antwort des zentralen Standortservers erfolgt über kurzlebige Ports, die sich über Port 1024 befinden, und die Firewall blockiert diesen Portbereich. Um dieses Problem zu beheben, konfigurieren Sie den Client und den Server so, dass sie den Bereich der Ports einschränken, die von der RPC-Verbindung verwendet werden, und aktivieren Sie dann diesen Bereich in der Firewall. Verwenden Sie dazu die Methode, die im folgenden Artikel in der Microsoft Knowledge Base beschrieben wird: 154596 Konfigurieren der dynamischen RPC-Portzuordnung für die Verwendung von Firewalls

References

Weitere Informationen zum Schützen von WMI-Remoteverbindungen finden Sie auf der folgenden Microsoft-Website: Verwalten der WMI-Sicherheit.