Solución de problemas de conectividad de consola de administrador de SMS

En este artículo se describe cómo solucionar problemas de una consola de administrador de SMS nueva o existente para determinar por qué no se puede conectar al servidor de sitio.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 317872

Resumen

Si usa SMS e intenta conectarse al servidor de sitio, es posible que reciba un mensaje "Error de conexión". O bien, es posible que los nodos no se muestren después de conectarse. Además, se pueden registrar errores similares a los siguientes en el archivo AdminUI.log en el servidor:

Error: El posible código de error de conexión de la interfaz de usuario es -2147023174 [0x800706ba]

Error: El código de error de conexión de la interfaz de usuario posible es -2146959355 [0x80080005]

Error: El posible código de error de conexión de la interfaz de usuario es -2147217394

Error: El posible código de error de conexión de la interfaz de usuario es -2147217389[0x80041013] No se pudo ejecutar el método GetProviderVersion! La función GetProviderVersion devuelve una cadena vacía de ProviderVersion. Error en la llamada a Wbem: T_WbemSyncEnumToContainer_Core, código de retorno: -2147217389 No se puede obtener ProviderVersion. SiteCode- SiteServerName, Provider Version: No se pudo establecer la conexión. código de error: -2147217389

Error(ConnectServer): el posible código de error de conexión de la interfaz de usuario es -2147024891

Error: El posible código de error de conexión de la interfaz de usuario es -2147024891 [0x80070005]

[994] [<fecha><y hora>]: Error(CheckForDisconnect2): puntero de servicio no válido. Se ha quitado la conexión WMI. : -2147024891 [0x80070005]

Más información

Concesión de acceso a la consola de administrador de SMS

Para acceder a una consola de administrador de SMS local o remota, los usuarios deben ser miembros del grupo local administradores de SMS. Al grupo Administradores de SMS se le concede explícitamente Habilitar cuenta y Habilitar remotamente en el espacio de nombres Raíz\SMS. El grupo Administradores de SMS proporciona a sus miembros acceso al proveedor de SMS, a través de WMI. Agregue Usuarios al grupo Administradores de SMS cuando necesiten acceder a la consola de administrador de SMS, pero no tienen que ser administradores locales. Si desea usar un grupo local diferente para conceder acceso a la consola de administrador de SMS, también debe conceder a ese grupo local o local de dominio el mismo permiso WMI que el grupo administradores de SMS. Para conceder acceso a la consola de administrador de SMS, siga estos pasos:

1. Cree un grupo global para el dominio que contenga usuarios que requieran acceso específico a la consola del administrador de SMS.

2. Agregue este grupo global o la cuenta de usuario de dominio explícito al grupo local de administradores de SMS.

3. Configure los permisos de SMS para el grupo global que ha creado.

   Nota:

   • Para completar este paso, debe ser administrador y tener permisos completos en el sitio.
   • Si puede conectarse a la base de datos, pero si los nodos no están enumerados, examine los permisos de SMS que se conceden al grupo global o a un usuario específico en el nodo Seguridad de la consola del administrador de SMS. Por ejemplo, determine si el nodo de colecciones, el nodo de paquetes u otros nodos muestran contenido.

   Los permisos que concede dependen de la funcionalidad que quiera que realicen los miembros de este grupo global. Para conceder permisos, haga clic con el botón derecho en el nodo Derechos de seguridad de la consola de administrador de SMS, seleccione Todas las tareas y, a continuación, haga clic en Administrar usuarios de SMS para iniciar el Asistente para seguridad.

4. Use el asistente para agregar, quitar o modificar la configuración de seguridad de los usuarios y de los grupos.

Solución de problemas de conectividad de consola de administrador de SMS

Si va a probar una consola de administrador de SMS remota, asegúrese de que se ha aplicado el service Pack de SMS más reciente a esta consola. Si no se ha aplicado el Service Pack, se puede registrar un error similar al siguiente en el archivo AdminUI.log:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! No se pudo establecer la conexión. Código de error: -2147217407 Ejecute el programa de instalación desde el origen del Service Pack para determinar si la consola de administrador de SMS es el único componente que se debe actualizar.

Para solucionar problemas de conectividad de la consola del administrador de SMS, tenga en cuenta los siguientes problemas:

• ¿El servidor de sitio SMS ejecuta Microsoft Windows Server 2003 con Service Pack 1 (SP1)?

  En Windows Server 2003 con SP1, se crea un nuevo grupo local denominado Usuarios COM distribuidos. Para resolver el problema de conectividad en Windows Server 2003 Service Pack 1, agregue los usuarios que intentan realizar conexiones remotas a la consola de administrador de SMS al grupo local Usuarios COM distribuidos.

• ¿El usuario es miembro de un grupo global que es miembro del grupo administradores de SMS o está definido explícitamente en el grupo administradores de SMS?

  El grupo Administradores de SMS se crea durante la instalación del sitio SMS. Si se instaló un sitio en un servidor miembro, el grupo Administradores de SMS es un grupo local en el Administrador de cuentas de seguridad (SAM) local. Si un servidor de sitio es un controlador de dominio, el grupo Administradores de SMS es un grupo local del dominio. El usuario debe pertenecer al grupo Administradores de SMS porque a este grupo se le conceden los permisos necesarios para el espacio de nombres SMS y SMS_site código en el repositorio de Instrumental de administración de Windows (WMI) cuando se compila el sitio SMS.

• ¿Este servidor ha tenido una instalación anterior de SMS?

  Si el servidor ha tenido una instalación anterior de SMS, puede haber varios códigos de sitio en la clase SMS_ProviderLocation que se encuentra en el espacio de nombres SMS del servidor de sitio. Elimine cualquier código de sitio que ya no exista en el servidor de sitio. Puede usar la herramienta WBEMtest para ver la clase SMS_ProverLocation.

• En el servidor de sitio, confirme la configuración de propiedades definida en la utilidad Dcomcnfg.exe.

  Para ver las propiedades definidas en la utilidad Dcomcnfg.exe, haga clic en la pestaña Propiedades predeterminadas y, a continuación, confirme la siguiente configuración:

  1. La casilla Habilitar COM distribuida en este equipo está activada.
  2. El nivel de autenticación predeterminado se establece en Conectar.
  3. El nivel de suplantación predeterminado se establece en Identificar.

• Si va a probar una consola de administrador de SMS remota, asegúrese de que se ha aplicado el service Pack de SMS más reciente a esta consola.

  Ejecute el programa de instalación desde el origen del Service Pack para determinar si la consola de administrador de SMS es el único componente que se debe actualizar.

Después de tener en cuenta estos problemas, complete los procedimientos de solución de problemas que se describen en las secciones siguientes.

Solución de problemas de conectividad del espacio de nombres SMS

Asegúrese de que el usuario puede conectarse al espacio de nombres SMS y a los espacios de nombres de SMS_'sitecode'. Para ello, siga estos pasos:

1. Haga clic en Inicio, en Ejecutary, a continuación, escriba wbemtest.
2. Haga clic en Conectar, escriba \\siteserver\root\sms y, a continuación, haga clic en Iniciar sesión.
3. Haga clic en Enumeración de clases, haga clic en Recursivoy, a continuación, haga clic en Aceptar.
4. En la lista Resultado de la consulta , haga doble clic en SMS_ProviderLocation.
5. Haga clic en Instancias y, a continuación, haga doble clic en la línea que contiene el código de sitio de destino. Por ejemplo, SMS_ProviderLocation.SiteCode="xxx".
6. En la sección Propiedades , busque la línea NamespacePath. Es posible que tenga que hacer doble clic en esta línea para ver toda la línea.
7. Copie el valor de NamespacePath en el Portapapeles. Por ejemplo, copie el siguiente valor:\\ server_name\root\sms\site_xxx.

Si completa correctamente este procedimiento, puede conectarse al servidor de sitio y enumerar el espacio de nombres SMS.

Solución de problemas de conectividad de servidor

Determine si puede conectarse al servidor en el que se encuentra el proveedor. El servidor se define en el valor de NamespacePath que ha determinado en la sección "Cómo solucionar problemas de conectividad de espacio de nombres SMS". Normalmente, este servidor es el mismo servidor.

1. Cierre todas las ventanas de WBEMtest que puedan estar abiertas.
2. Haga clic en Conectar, pegue namespacePath que copió en el paso 7 y, a continuación, haga clic en Inicio de sesión.
3. Haga clic en Enumeración de clases, haga clic en Recursivoy, a continuación, haga clic en Aceptar.
4. En la lista Resultado de la consulta , haga doble clic en SMS_Site.

Si recibe un mensaje de error "acceso denegado" al realizar este procedimiento, esto puede deberse a una de las causas siguientes:

1. El Asistente para configuración de seguridad se ha ejecutado en el servidor que hospeda el proveedor de SMS. Sin embargo, el Asistente para configuración de seguridad no puede reconocer el proveedor de SMS. Si ejecuta el asistente en el servidor que tiene instalado el proveedor de SMS, debe habilitar el servicio WMI remoto en el asistente. A menos que habilite WMI remoto, la consola de administrador de SMS en el servidor de sitio y cualquier otra consola remota no se puede conectar al espacio de nombres SMS en WMI. Para habilitar WMI remoto en el asistente, haga lo siguiente:

   Seleccione WMI remoto en la página Seleccionar administración y otras opciones del Asistente para configuración de seguridad.

   Nota:

   Para obtener más información sobre cómo proteger los sistemas de sitio de SMS, visite el siguiente sitio web de Microsoft: https://technet.microsoft.com/library/cc179764.aspx

2. La cuenta que se usa no tiene los permisos adecuados para el espacio de nombres del proveedor. Para modificar o comprobar los permisos, siga estos pasos:

   1. En el servidor en el que enumeró el sitio SMS, haga clic en Inicio, en Ejecutar, escriba wmimgmt.msc y, a continuación, haga clic en Aceptar.

   2. Haga clic con el botón derecho en Control WMI y, a continuación, haga clic en Propiedades.

   3. En la pestaña Seguridad , expanda Raízy, a continuación, haga clic en SMS.

   4. Haga clic en Seguridad en el panel de resultados para ver los permisos.

   5. Haga clic en Opciones avanzadas, en Administradores de SMSy, a continuación, haga clic en Ver y editar.

      Para el espacio de nombres SMS, el grupo Administradores de SMS debe tener los permisos siguientes:

      • Habilitación de la cuenta
      • Habilitación remota

   6. Repita los pasos a través de e para examinar el grupo administradores de SMS para el espacio de nombres SMS_ xxx . (xxx es un marcador de posición para el código de sitio). A continuación, conceda permiso habilitar remotamente al usuario o al grupo. Si el usuario o el grupo no tienen los permisos WMI adecuados en Seguridad para el espacio de nombres SMS, es posible que el siguiente evento se registre en el archivo AdminUI.log:

Otros problemas de seguridad

Use los procedimientos de solución de problemas que se describen en esta sección si se cumple alguna de las condiciones siguientes:

• A los usuarios se les sigue denegando el acceso cuando intentan conectarse a la consola después de que haya concedido a las cuentas adecuadas el derecho "Habilitación remota" en la seguridad de WMI.
• La consola solo está parcialmente disponible.

Comprobación de la configuración de Firewall de Windows

Windows XP SP2 y Windows Server 2003 SP1 incluyen la característica Firewall de Windows. Si ejecutas la Consola de administrador de SMS en un equipo basado en Windows XP SP2 o windows Server 2003 SP1 que tenga habilitado el firewall, debes habilitar el programa de Unsecapp.exe y el puerto TCP 135 para que pasen a través del Firewall de Windows. Para ello, siga estos pasos:

1. Haga clic en Inicio, en Ejecutar, escriba firewall.cply, a continuación, haga clic en Aceptar.

2. En la pestaña General , haga clic en Activado para activar el firewall. Haga clic para desactivar la casilla No permitir excepciones .

3. En la pestaña Excepciones , haga clic en Agregar programa.

4. Haga clic en Examinar, escriba %windir%\System32\Wbem\Unsecapp.exe en el cuadro Nombre de archivo y, a continuación, haga clic en Abrir. Si tiene que definir el ámbito, haga clic en Cambiar ámbitoy, a continuación, haga clic en Aceptar. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar un programa .

5. En la lista Programas y servicios , haga clic para activar la casilla Unsecapp.exe .

6. Haga clic en Agregar puerto.

7. En el cuadro Número de puerto , escriba 135. Seleccione TCP y escriba un nombre para la excepción en el cuadro Nombre . Si tiene que definir el ámbito, haga clic en Cambiar ámbitoy, a continuación, haga clic en Aceptar. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar puerto .

8. En la lista Programas y servicios , haga clic para activar la casilla de la excepción que agregó en el paso 7.

9. Haga clic en Aceptar.

Comprobación de la configuración de seguridad de DCOM

Es posible que no resuelva este problema agregando estas excepciones a Firewall de Windows. Es posible que tenga que establecer permisos remotos anónimos en DCOM para el equipo cliente. Para hacerlo en el equipo basado en Windows XP SP2 que ejecuta la consola de administrador de SMS, siga estos pasos:

1. Haga clic en Inicio, en Ejecutar, escriba dcomcnfg.exey, a continuación, haga clic en Aceptar.

2. Busque el nodo raíz de la consola, expanda Servicios de componentes, equiposy, a continuación, haga clic en Mi equipo.

3. Haga clic con el botón secundario del ratón en Mi PC y, a continuación, haga clic en Propiedades.

4. En Propiedades de mi equipo, haga clic en la pestaña Seguridad COM .

5. En Permisos de acceso, haga clic en Editar límites.

6. Haga clic en INICIO DE SESIÓN ANÓNIMO.

7. En Permisos para ANONYMOUS LOGON, haga clic en Permitir configuración para acceso remoto.

8. Haga clic en Aceptar dos veces.

9. Restart your computer.

Determinar si se han cambiado los permisos de DCOM predeterminados

Compruebe el valor DefaultAccessPermission en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

Esto indica que se han cambiado los permisos de DCOM predeterminados. Si este valor no existe, los permisos DCOM predeterminados están en vigor. Para resolver este problema, elimine el valor DefaultAccessPermission. Esto restablecerá todos los permisos DCOM predeterminados. Se trata de una medida de último recurso y no se garantiza corregir el problema.

Para eliminar el valor DefaultAccessPermission, siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

2. Busque y haga clic en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

3. En el panel derecho, haga clic con el botón derecho en DefaultAccessPermissiony, a continuación, haga clic en Eliminar.

4. En el cuadro de diálogo Confirmar eliminación de valor , haga clic en Sí.

5. Salga del Editor del Registro.

6. Cierre la sesión del equipo y vuelva a iniciar sesión en el equipo.

Incluir el grupo de seguridad Inicio de sesión anónimo en el grupo de seguridad Todos los usuarios

Si los procedimientos descritos anteriormente no resuelven el problema de permisos para la consola del administrador de SMS, puede ser difícil hacer lo siguiente:

• Determine qué recurso requiere acceso anónimo en el equipo que ejecuta Windows XP.
• Modifique los permisos en todos los recursos necesariosEn estas situaciones, es posible que tenga que forzar al equipo que ejecuta Windows XP a incluir el grupo de seguridad Inicio de sesión anónimo en el grupo de seguridad Todos los usuarios. Para admitir esta funcionalidad, Windows XP incluye la entrada del Registro EveryoneIncludesAnonymous.

Si la entrada del registro EveryoneIncludesAnonymous está establecida en REG_DWORD 0x1, la entidad de seguridad local (LSA) incluye el identificador de seguridad (SID) del grupo de seguridad Todos los usuarios en el token de acceso del usuario anónimo. Para establecer el valor de la entrada del Registro EveryoneIncludesAnonymous, use cualquiera de los métodos siguientes.

Método 1: Establecer la entrada del Registro EveryoneIncludesAnonymous mediante la configuración de seguridad local

1. Haga clic en Inicio, en Ejecutar, escriba Control admintoolsy, a continuación, haga clic en Aceptar.

2. Haga doble clic en Directiva de seguridad local o Directiva de seguridad de dominio (solo en controladores de dominio).

3. Haga doble clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.

4. Haga clic con el botón derecho en Acceso a la red: permita que todos los permisos se apliquen a usuarios anónimos y, a continuación, haga clic en Propiedades.

5. Para permitir que los usuarios anónimos sean miembros del grupo de seguridad Todos, haga clic en Habilitado. Para evitar la inclusión del SID del grupo de seguridad Todos en el token de acceso del usuario anónimo, haga clic en Deshabilitado. Esta es la configuración predeterminada en Windows XP.

Método 2: establezca el valor del Registro EveryoneIncludesAnonymous mediante Editor

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

2. Busque y haga clic en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

3. Haga clic con el botón derecho en EveryoneIncludesAnonymousy, a continuación, haga clic en Modificar.

4. Para permitir que los usuarios anónimos sean miembros del grupo de seguridad Todos, escriba 1 en el cuadro Datos de valor . Para evitar la inclusión del SID del grupo de seguridad Todos en el token de acceso del usuario anónimo, escriba 0 en el cuadro Datos de valor . De forma predeterminada, el valor EveryoneIncludesAnonymous se establece en 0 en Windows XP.

5. Salga del Editor del Registro.

6. Reinicie el equipo.

Pruebas de conectividad adicionales

Inicie el control WMI en el servidor de sitio. No inicie el control WMI en el servidor del proveedor si este servidor es diferente. Haga clic en la pestaña Registro y establezca el nivel de registro en Detallado para aumentar el registro al archivo Windows_folder\System32\Wbem\Logs\Wbemcore.log.

Analice este registro en el servidor de sitio. Verá todo el tráfico WMI que se genera. Busque la consulta de SMS_Providerlocation que se produjo cuando una consola de administrador de SMS intentó conectarse. Si esta consulta está presente, puede confirmar que hay comunicación entre la consola y el servidor de sitio. Vuelva a probar la conectividad desde el servidor de sitio a la consola de administrador de SMS solicitante. Es posible que la conectividad no exista en los siguientes escenarios:

• El servidor de llamada a procedimiento remoto (RPC) no está disponible.

• Hay un problema de resolución de nombres DNS. El mensaje de error "Error de conexión" también puede producirse si la resolución de nombres no se completa correctamente. Para determinar si está experimentando un problema de resolución de nombres, use la herramienta WBEMtest e intente conectarse al servidor de sitio mediante la dirección IP. Por ejemplo, use \111.222.333.444\root\default como dirección. Si puede conectarse cuando use la dirección IP, pero no puede conectarse cuando use el nombre netBIOS del servidor de sitio, experimenta un problema de resolución de nombres. Para resolver este problema, confirme las configuraciones WINS o DNS.

Al expandir nodos en una consola de administrador de SMS remota, el servidor de sitio SMS realiza una conexión DCOM al equipo en el que está instalada la consola. Si existe un registro DNS no válido para el equipo en el que está instalada la consola, el servidor de sitio SMS puede intentar conectarse a la dirección IP incorrecta. Cuando esto ocurre, el nodo de consola no se expandirá y el equipo de consola registrará el error "Se ha quitado la conexión WMI" en el AdminUI.log. Para solucionar este problema, ejecute el nslookup <console_computer_name> comando para asegurarse de que el nombre se resuelve en la dirección IP correcta. Si existe un registro DNS no válido para el equipo de consola, quite el registro DNS no válido. Además, determine cómo se creó el registro DNS no válido para evitar que vuelva a producirse. Por ejemplo, es posible que el equipo de consola haya registrado una dirección VPN, pero la dirección VPN no se quitó de DNS cuando se desconectó la VPN. Después de resolver el problema de DNS, ejecute el siguiente comando en un símbolo del sistema en el servidor de sitio de SMS 2003: ipconfig /flushdns.

Si no puede resolver el nombre de dominio completo del equipo basado en Windows XP SP2 mediante DNS, cree una entrada en el archivo hosts en el servidor de sitio SMS 2003 para asignar el nombre de dominio completo del equipo basado en Windows XP SP2 a su dirección IP.

Problemas conocidos con el servidor ISA de Microsoft o el software VPN de punto de control

Si no puede expandir algunos nodos de una consola remota a través de una conexión remota desde un equipo Con Windows 2003 SP1, es posible que se produzcan errores en las operaciones basadas en llamadas a procedimientos remotos si determinados productos de VPN y firewall deniegan las solicitudes de red. Estas solicitudes de red pueden producir un error en los equipos en los que se aplica Windows Server 2003 Service Pack 1 (SP1) a un equipo basado en Windows Server 2003 o los medios de instalación de OEM o minoristas incluyen actualizaciones de SP1. Los siguientes productos pueden denegar estas solicitudes de red:

• Productos de firewall o red privada virtual (VPN) de Checkpoint Software Technologies
• Microsoft Internet Security and Acceleration (ISA) Server

Este problema también puede producirse cuando se cumplen las condiciones siguientes:

• La conexión RPC desde el cliente se realiza a través del puerto TCP 135 y está habilitada.
• La respuesta del servidor de sitio central es sobre los puertos efímeros que están por encima del puerto 1024 y el firewall está bloqueando ese intervalo de puertos. Para resolver este problema, configure el cliente y el servidor para restringir el intervalo de puertos que usa la conexión RPC y, a continuación, habilite ese intervalo en el firewall. Para ello, use el método que se describe en el artículo siguiente de Microsoft Knowledge Base: 154596 Configuración de la asignación dinámica de puertos RPC para que funcione con firewalls.

Referencias

Para obtener más información sobre cómo ayudar a proteger las conexiones WMI remotas, visite el siguiente sitio web de Microsoft: Mantenimiento de la seguridad de WMI.