Come risolvere i problemi di connettività della console di amministrazione SMS

Questo articolo descrive come risolvere i problemi di una console di amministrazione SMS nuova o esistente per determinare il motivo per cui non può connettersi al server del sito.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 317872

Riepilogo

Se si usa SMS e si tenta di connettersi al server del sito, è possibile che venga visualizzato un messaggio "Connessione non riuscita". In alternativa, i nodi potrebbero non essere visualizzati dopo la connessione. Inoltre, gli errori simili ai seguenti possono essere registrati nel file AdminUI.log nel server:

Errore: possibile codice di errore di connessione dell'interfaccia utente è -2147023174 [0x800706ba]

Errore: possibile codice di errore di connessione dell'interfaccia utente è -2146959355 [0x80080005]

Errore: possibile codice di errore di connessione dell'interfaccia utente è -2147217394

Errore: possibile codice di errore di connessione dell'interfaccia utente è -2147217389[0x80041013] Impossibile eseguire il metodo GetProviderVersion! La funzione GetProviderVersion restituisce una stringa vuota di ProviderVersion. Chiamata Wbem non riuscita: T_WbemSyncEnumToContainer_Core, codice restituito: -2147217389 Non è possibile ottenere ProviderVersion. SiteCode - SiteServerName, Versione provider: non è stato possibile impostare la connessione. codice di errore: -2147217389

Error(ConnectServer): possibile codice di errore di connessione dell'interfaccia utente è -2147024891

Errore: possibile codice di errore di connessione dell'interfaccia utente è -2147024891 [0x80070005]

[994] [<date><time>]: Error(CheckForDisconnect2): puntatore al servizio non valido. La connessione WMI è stata eliminata. : -2147024891 [0x80070005]

Ulteriori informazioni

Come concedere l'accesso alla console di amministrazione di SMS

Per accedere a una console di amministrazione SMS locale o remota, gli utenti devono essere membri del gruppo locale SMS Admins. Al gruppo SMS Admins vengono concessi in modo esplicito l'abilitazione dell'account e dell'abilitazione remota nello spazio dei nomi Root\SMS. Il gruppo SMS Admins fornisce ai membri l'accesso al provider SMS tramite WMI. Aggiungere utenti al gruppo SMS Admins quando devono accedere alla console di amministrazione di SMS, ma non devono essere amministratori locali. Se si vuole usare un gruppo locale diverso per concedere l'accesso alla console di amministrazione di SMS, è anche necessario concedere a tale gruppo locale o locale di dominio la stessa autorizzazione WMI del gruppo SMS Admins. Per concedere l'accesso alla console di amministrazione di SMS, seguire questa procedura:

1. Creare un gruppo globale per il dominio che contiene gli utenti che richiedono l'accesso specifico alla console di amministrazione di SMS.

2. Aggiungere questo gruppo globale o l'account utente di dominio esplicito al gruppo SMS Admins locale.

3. Configurare le autorizzazioni SMS per il gruppo globale creato.

   Nota

   • Per completare questo passaggio, è necessario essere un amministratore e disporre delle autorizzazioni complete per il sito.
   • Se è possibile connettersi al database, ma se i nodi non sono enumerati, esaminare le autorizzazioni SMS concesse al gruppo globale o a un utente specifico nel nodo Sicurezza della console di amministrazione sms. Ad esempio, determinare se il nodo delle raccolte, il nodo pacchetti o altri nodi visualizzano contenuto.

   Le autorizzazioni concesse dipendono dalla funzionalità che si vuole che i membri di questo gruppo globale eseguano. Per concedere le autorizzazioni, fare clic con il pulsante destro del mouse sul nodo Diritti di sicurezza nella console di amministrazione di SMS, scegliere Tutte le attività e quindi fare clic su Gestisci utenti SMS per avviare la Sicurezza guidata.

4. Usare la procedura guidata per aggiungere, rimuovere o modificare le impostazioni di sicurezza degli utenti e dei gruppi.

Come risolvere i problemi di connettività della console di amministrazione SMS

Se si sta testando una console di amministrazione SMS remota, assicurarsi che il Service Pack SMS più recente sia stato applicato a questa console. Se il Service Pack non è stato applicato, nel file di AdminUI.log potrebbe essere registrato un errore simile al seguente:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! Impossibile impostare la connessione. codice di errore: -2147217407 Eseguire il programma di installazione dall'origine service pack per determinare se la console di amministrazione sms è l'unico componente che deve essere aggiornato.

Per risolvere i problemi di connettività della console di amministrazione SMS, considerare i problemi seguenti:

• Il server del sito SMS esegue Microsoft Windows Server 2003 con Service Pack 1 (SP1)?

  In Windows Server 2003 con SP1 viene creato un nuovo gruppo locale denominato Utenti COM distribuiti. Per risolvere il problema di connettività in Windows Server 2003 Service Pack 1, aggiungere gli utenti che tentano di stabilire connessioni remote alla console di amministrazione di SMS al gruppo locale Utenti COM distribuiti.

• L'utente è un membro di un gruppo globale membro del gruppo SMS Admins o l'utente è definito in modo esplicito nel gruppo SMS Admins?

  Il gruppo SMS Admins viene creato durante l'installazione del sito SMS. Se un sito è stato installato in un server membro, il gruppo SMS Admins è un gruppo locale in Security Accounts Manager (SAM) locale. Se un server del sito è un controller di dominio, il gruppo SMS Admins è un gruppo locale nel dominio. L'utente deve appartenere al gruppo SMS Admins perché a questo gruppo vengono concesse le autorizzazioni necessarie per sms e SMS_site spazio dei nomi del codice nel repository Strumentazione gestione Windows (WMI) quando viene compilato il sito SMS.

• Il server ha avuto un'installazione precedente di SMS?

  Se il server ha avuto un'installazione precedente di SMS, potrebbero essere presenti più codici del sito nella classe SMS_ProviderLocation che si trova nello spazio dei nomi SMS del server del sito. Eliminare qualsiasi codice del sito che non esiste più nel server del sito. È possibile usare lo strumento WBEMtest per visualizzare la classe SMS_ProverLocation.

• Nel server del sito verificare le impostazioni delle proprietà definite nell'utilità Dcomcnfg.exe.

  Per visualizzare le proprietà definite nell'utilità Dcomcnfg.exe, fare clic sulla scheda Proprietà predefinite e quindi confermare le impostazioni seguenti:

  1. La casella di controllo Abilita COM distribuito in questo computer è selezionata.
  2. Il livello di autenticazione predefinito è impostato su Connetti.
  3. Il livello di rappresentazione predefinito è impostato su Identifica.

• Se si sta testando una console di amministrazione SMS remota, assicurarsi che il Service Pack SMS più recente sia stato applicato a questa console.

  Eseguire il programma di installazione dall'origine service pack per determinare se la console di amministrazione di SMS è l'unico componente che deve essere aggiornato.

Dopo aver considerato questi problemi, completare le procedure di risoluzione dei problemi descritte nelle sezioni seguenti.

Risoluzione dei problemi di connettività dello spazio dei nomi SMS

Assicurarsi che l'utente possa connettersi allo spazio dei nomi SMS e agli spazi dei nomi SMS_ 'codicesito'. A tal fine, attenersi alla seguente procedura:

1. Fare clic su Start, fare clic su Esegui e quindi digitare wbemtest.
2. Fare clic su Connetti, digitare \\siteserver\root\sms e quindi fare clic su Account di accesso.
3. Fare clic su Classi di enumerazione, fare clic su Ricorsivo e quindi fare clic su OK.
4. Nell'elenco Risultati query fare doppio clic su SMS_ProviderLocation.
5. Fare clic su Istanze e quindi fare doppio clic sulla riga che contiene il codice del sito di destinazione. Ad esempio, SMS_ProviderLocation.SiteCode="xxx".
6. Nella sezione Proprietà individuare la riga NamespacePath. Potrebbe essere necessario fare doppio clic su questa riga per visualizzare l'intera riga.
7. Copiare il valore NamespacePath negli Appunti. Copiare ad esempio il valore seguente:\\ server_name\root\sms\site_xxx.

Se questa procedura viene completata correttamente, è possibile connettersi al server del sito ed enumerare lo spazio dei nomi SMS.

Come risolvere i problemi di connettività del server

Determinare se è possibile connettersi al server in cui si trova il provider. Il server è definito nel valore NamespacePath determinato nella sezione "Come risolvere i problemi di connettività dello spazio dei nomi SMS". In genere, questo server è lo stesso server.

1. Chiudere tutte le finestre WBEMtest che potrebbero essere aperte.
2. Fare clic su Connetti, incollare namespacepath copiato nel passaggio 7 e quindi fare clic su Account di accesso.
3. Fare clic su Classi di enumerazione, fare clic su Ricorsivo e quindi fare clic su OK.
4. Nell'elenco Risultati query fare doppio clic su SMS_Site.

Se viene visualizzato un messaggio di errore "Accesso negato" quando si esegue questa procedura, è possibile che si verifichi una delle cause seguenti:

1. La Configurazione guidata sicurezza è stata eseguita nel server che ospita il provider SMS. Tuttavia, la Configurazione guidata sicurezza non è in grado di riconoscere il provider SMS. Se si esegue la procedura guidata nel server in cui è installato il provider SMS, è necessario abilitare il servizio WMI remoto nella procedura guidata. A meno che non si abiliti WMI remoto, la console amministratore SMS nel server del sito e in qualsiasi altra console remota non può connettersi allo spazio dei nomi SMS in WMI. Per abilitare WMI remoto nella procedura guidata, eseguire le operazioni seguenti:

   Selezionare WMI remoto nella pagina Seleziona amministrazione e altre opzioni della Configurazione guidata sicurezza.

   Nota

   Per altre informazioni su come proteggere i sistemi del sito SMS, visitare il seguente sito Web Microsoft: https://technet.microsoft.com/library/cc179764.aspx

2. L'account utilizzato non dispone delle autorizzazioni appropriate per lo spazio dei nomi del provider. Per modificare o verificare le autorizzazioni, seguire questa procedura:

   1. Nel server in cui è stato enumerato il sito SMS fare clic sul pulsante Start, scegliere Esegui, digitare wmimgmt.msc e quindi fare clic su OK.

   2. Fare clic con il pulsante destro del mouse su Controllo WMI e quindi scegliere Proprietà.

   3. Nella scheda Sicurezza espandere Radice e quindi fare clic su SMS.

   4. Fare clic su Sicurezza nel riquadro dei risultati per visualizzare le autorizzazioni.

   5. Fare clic su Avanzate, fare clic su SMS Admins e quindi su Visualizza-modifica.

      Per lo spazio dei nomi SMS, il gruppo SMS Admins deve avere le autorizzazioni seguenti:

      • Abilitare l'account
      • Abilitazione remota

   6. Ripetere i passaggi da a a a e per esaminare il gruppo SMS Admins per lo spazio dei nomi SMS_ xxx . Xxx è un segnaposto per il codice del sito. Concedere quindi l'autorizzazione Abilita remoto all'utente o al gruppo. Se l'utente o il gruppo non dispone delle autorizzazioni WMI appropriate in Sicurezza per lo spazio dei nomi SMS, è possibile che l'evento seguente venga registrato nel file AdminUI.log:

Altri problemi di sicurezza

Usare le procedure di risoluzione dei problemi descritte in questa sezione se è vera una delle condizioni seguenti:

• Agli utenti viene comunque negato l'accesso quando tentano di connettersi alla console dopo aver concesso agli account appropriati il diritto "Remote Enable" nella sicurezza WMI.
• La console è disponibile solo parzialmente.

Verificare la configurazione di Windows Firewall

Windows XP SP2 e Windows Server 2003 SP1 includono la funzionalità Windows Firewall. Se si esegue la console di amministrazione di SMS in un computer basato su Windows XP SP2 o windows server 2003 SP1 con il firewall abilitato, è necessario abilitare il programma Unsecapp.exe e la porta TCP 135 per passare attraverso Windows Firewall. A tal fine, attenersi alla seguente procedura:

1. Fare clic su Start, fare clic su Esegui, digitare firewall.cple quindi fare clic su OK.

2. Nella scheda Generale fare clic su Sì per attivare il firewall. Fare clic per deselezionare la casella di controllo Non consentire eccezioni .

3. Nella scheda Eccezioni fare clic su Aggiungi programma.

4. Fare clic su Sfoglia, digitare %windir%\System32\Wbem\Unsecapp.exe nella casella Nome file e quindi fare clic su Apri. Se è necessario definire l'ambito, fare clic su Modifica ambito e quindi su OK. Fare clic su OK per chiudere la finestra di dialogo Aggiungi programma .

5. Nell'elenco Programmi e servizi fare clic per selezionare la casella di controllo Unsecapp.exe .

6. Fare clic su Aggiungi porta.

7. Nella casella Numero porta digitare 135. Selezionare TCP e quindi digitare un nome per l'eccezione nella casella Nome . Se è necessario definire l'ambito, fare clic su Modifica ambito e quindi su OK. Fare clic su OK per chiudere la finestra di dialogo Aggiungi porta .

8. Nell'elenco Programmi e servizi fare clic per selezionare la casella di controllo relativa all'eccezione aggiunta nel passaggio 7.

9. Fare clic su OK.

Controllare le impostazioni di sicurezza DCOM

È possibile che questo problema non venga risolto aggiungendo queste eccezioni a Windows Firewall. Potrebbe essere necessario impostare autorizzazioni remote anonime in DCOM per il computer client. A tale scopo, nel computer basato su Windows XP SP2 che esegue la console di amministrazione di SMS, seguire questa procedura:

1. Fare clic su Start, fare clic su Esegui, digitare dcomcnfg.exee quindi fare clic su OK.

2. Individuare il nodo radice della console, espandere Servizi componenti, Computer e quindi fare clic su Risorse del computer.

3. Fare clic con il pulsante destro del mouse su Risorse del computer e quindi su Proprietà.

4. In Proprietà computer personale fare clic sulla scheda Sicurezza COM .

5. In Autorizzazioni di accesso fare clic su Modifica limiti.

6. Fare clic su ACCESSO ANONIMO.

7. In Autorizzazioni per ACCESSO ANONIMO fare clic su Consenti impostazione per Accesso remoto.

8. Fare due volte clic su OK.

9. Restart your computer.

Determinare se le autorizzazioni DCOM predefinite sono state modificate

Controllare il valore DefaultAccessPermission nella sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

Indica che le autorizzazioni DCOM predefinite sono state modificate. Se questo valore non esiste, sono attive le autorizzazioni DCOM predefinite. Per risolvere il problema, eliminare il valore DefaultAccessPermission. Verranno reimpostate tutte le autorizzazioni DCOM predefinite. Si tratta di una misura di ultima istanza e non è garantito per correggere il problema.

Per eliminare il valore DefaultAccessPermission, seguire questa procedura:

1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

2. Individuare e quindi fare clic sulla sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

3. Nel riquadro destro fare clic con il pulsante destro del mouse su DefaultAccessPermission e quindi scegliere Elimina.

4. Nella finestra di dialogo Conferma eliminazione valore fare clic su Sì.

5. Uscire dall'editor del Registro di sistema.

6. Disconnettersi dal computer e quindi accedere di nuovo al computer.

Includere il gruppo di sicurezza Accesso anonimo nel gruppo di sicurezza Everyone

Se le procedure descritte in precedenza non consentono di risolvere il problema delle autorizzazioni per la console di amministrazione di SMS, potrebbe essere difficile eseguire le operazioni seguenti:

• Determinare quale risorsa richiede l'accesso anonimo nel computer che esegue Windows XP.
• Modificare le autorizzazioni per tutte le risorse necessarieIn queste situazioni, potrebbe essere necessario forzare il computer che esegue Windows XP a includere il gruppo di sicurezza Accesso anonimo nel gruppo di sicurezza Everyone. Per supportare questa funzionalità, Windows XP include la voce del Registro di sistema EveryoneIncludesAnonymous.

Se la voce del Registro di sistema EveryoneIncludesAnonymous è impostata su REG_DWORD 0x1, l'autorità di sicurezza locale (LSA) include l'identificatore di sicurezza (SID) del gruppo di sicurezza Everyone nel token di accesso dell'utente anonimo. Per impostare il valore della voce del Registro di sistema EveryoneIncludesAnonymous, utilizzare uno dei metodi seguenti.

Metodo 1: Impostare la voce del Registro di sistema EveryoneIncludesAnonymous usando le impostazioni di sicurezza locali

1. Fare clic su Start, fare clic su Esegui, digitare Control admintools e quindi fare clic su OK.

2. Fare doppio clic su Criteri di sicurezza locali o Criteri di sicurezza del dominio (solo nei controller di dominio).

3. Fare doppio clic su Criteri locali e quindi su Opzioni di sicurezza.

4. Fare clic con il pulsante destro del mouse su Accesso alla rete: consentire a tutti di applicare le autorizzazioni agli utenti anonimi e quindi fare clic su Proprietà.

5. Per abilitare gli utenti anonimi come membri del gruppo di sicurezza Everyone, fare clic su Abilitato. Per impedire l'inclusione del SID del gruppo di sicurezza Everyone nel token di accesso dell'utente anonimo, fare clic su Disabilitato. Questa è l'impostazione predefinita in Windows XP.

Metodo 2: Impostare il valore del Registro di sistema EveryoneIncludesAnonymous usando il registro di sistema Editor

1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

2. Individuare e quindi fare clic sulla chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

3. Fare clic con il pulsante destro del mouse su EveryoneIncludesAnonymous e quindi scegliere Modifica.

4. Per abilitare gli utenti anonimi come membri del gruppo di sicurezza Everyone, digitare 1 nella casella Dati valore . Per impedire l'inclusione del SID del gruppo di sicurezza Everyone nel token di accesso dell'utente anonimo, digitare 0 nella casella Dati valore . Per impostazione predefinita, il valore EveryoneIncludesAnonymous è impostato su 0 in Windows XP.

5. Uscire dall'editor del Registro di sistema.

6. Riavviare il computer.

Test di connettività aggiuntivi

Avviare il controllo WMI nel server del sito. Non avviare il controllo WMI nel server del provider se questo server è diverso. Fare clic sulla scheda Registrazione e quindi impostare il livello di registrazione su Verbose per aumentare la registrazione nel file Windows_folder\System32\Wbem\Logs\Wbemcore.log.

Analizzare questo log nel server del sito. Viene visualizzato tutto il traffico WMI generato. Cercare la query per SMS_Providerlocation che si è verificato quando una console di amministrazione SMS ha tentato di connettersi. Se questa query è presente, è possibile verificare che sia presente una comunicazione tra la console e il server del sito. Testare la connettività dal server del sito alla console dell'amministratore SMS richiedente. La connettività potrebbe non esistere negli scenari seguenti:

• Il server RPC (Remote Procedure Call) non è disponibile.

• Si è verificato un problema di risoluzione dei nomi DNS. Il messaggio di errore "Connessione non riuscita" può verificarsi anche se la risoluzione dei nomi non è stata completata correttamente. Per determinare se si verifica un problema di risoluzione dei nomi, usare lo strumento WBEMtest e provare a connettersi al server del sito usando l'indirizzo IP. Ad esempio, usare \111.222.333.444\root\default come indirizzo. Se è possibile connettersi quando si usa l'indirizzo IP, ma non è possibile connettersi quando si usa il nome netBIOS del server del sito, si verifica un problema di risoluzione dei nomi. Per risolvere questo problema, verificare le configurazioni WINS o DNS.

Quando si espandono i nodi in una console di amministrazione sms remota, il server del sito SMS stabilisce una connessione DCOM al computer in cui è installata la console. Se esiste un record DNS non valido per il computer in cui è installata la console, il server del sito SMS potrebbe provare a connettersi all'indirizzo IP errato. In questo caso, il nodo della console non verrà espanso e il computer console registrerà l'errore "Connessione WMI eliminata" nella AdminUI.log. Per risolvere questo problema, eseguire il nslookup <console_computer_name> comando per assicurarsi che il nome venga risolto nell'indirizzo IP corretto. Se esiste una registrazione DNS non valida per il computer console, rimuovere la registrazione DNS non valida. Determinare inoltre come è stata creata la registrazione DNS non valida per evitare che si ripeta. Ad esempio, il computer console potrebbe aver registrato un indirizzo VPN, ma l'indirizzo VPN non è stato rimosso dal DNS quando la VPN è stata disconnessa. Dopo aver risolto il problema DNS, eseguire il comando seguente al prompt dei comandi nel server del sito SMS 2003: ipconfig /flushdns.

Se non è possibile risolvere il nome di dominio completo del computer basato su Windows XP SP2 usando DNS, creare una voce nel file hosts nel server del sito SMS 2003 per eseguire il mapping del nome di dominio completo del computer basato su Windows XP SP2 al relativo indirizzo IP.

Problemi noti con il server MICROSOFT ISA o il software VPN checkpoint

Se non è possibile espandere alcuni nodi in una console remota tramite una connessione remota da un computer Windows 2003 SP1, le operazioni basate su chiamata a procedura remota potrebbero non riuscire se determinati prodotti firewall e VPN negano le richieste di rete. Queste richieste di rete potrebbero non riuscire nei computer in cui si applica Windows Server 2003 Service Pack 1 (SP1) a un computer basato su Windows Server 2003 o il supporto di installazione OEM o al dettaglio include gli aggiornamenti di SP1. I prodotti seguenti possono negare queste richieste di rete:

• Prodotti firewall o VPN (Virtual Private Network) di Checkpoint Software Technologies
• Microsoft Internet Security e Acceleration (ISA) Server

Questo problema può verificarsi anche quando si verificano le condizioni seguenti:

• La connessione RPC dal client è sulla porta TCP 135 ed è abilitata.
• La risposta dal server del sito centrale è su porte temporanee superiori alla porta 1024 e il firewall blocca tale intervallo di porte. Per risolvere questo problema, configurare il client e il server per limitare l'intervallo di porte usate dalla connessione RPC e quindi abilitare tale intervallo nel firewall. A tale scopo, usare il metodo descritto nell'articolo seguente della Microsoft Knowledge Base: 154596 Come configurare l'allocazione dinamica delle porte RPC per l'uso con i firewall

Riferimenti

Per altre informazioni su come proteggere le connessioni WMI remote, visitare il seguente sito Web Microsoft: Gestione della sicurezza WMI.