Como solucionar problemas de conectividade do console do Administrador de SMS

  • Artigo

Este artigo descreve como solucionar problemas de um console de administrador de SMS novo ou existente para determinar por que ele não pode se conectar ao servidor do site.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 317872

Resumo

Se você estiver usando SMS e tentar se conectar ao servidor do site, poderá receber uma mensagem "Falha de Conexão". Ou os nós podem não ser exibidos depois que você estiver conectado. Além disso, erros semelhantes aos seguintes podem ser registrados no arquivo AdminUI.log no servidor:

Erro: o possível código de erro de conexão da interface do usuário é -2147023174 [0x800706ba]

Erro: o possível código de erro de conexão da interface do usuário é -2146959355 [0x80080005]

Erro: o possível código de erro de conexão da interface do usuário é -2147217394

Erro: o possível código de erro de conexão da interface do usuário é -2147217389[0x80041013] Falha ao executar o método GetProviderVersion! A função GetProviderVersion retorna uma cadeia de caracteres vazia de ProviderVersion. Falha na chamada Wbem: T_WbemSyncEnumToContainer_Core, código de retorno: -2147217389 Não conseguimos obter o ProviderVersion. SiteCode – SiteServerName, Versão do Provedor: falha ao definir a conexão. código de erro: -2147217389

Erro(ConnectServer): o possível código de erro de conexão da interface do usuário é -2147024891

Erro: o possível código de erro de conexão da interface do usuário é -2147024891 [0x80070005]

[994] [<hora> da data><]: Erro(CheckForDisconnect2): Ponteiro de serviço inválido. A conexão WMI foi descartada. : -2147024891 [0x80070005]

Mais informações

Como conceder acesso ao console do Administrador de SMS

Para acessar um console de administrador de SMS local ou remoto, os usuários devem ser membros do grupo local de administradores de SMS. O grupo de administradores de SMS recebe explicitamente habilitar conta e habilitação remota no namespace Root\SMS. O grupo de administradores de SMS fornece aos seus membros acesso ao Provedor de SMS por meio do WMI. Adicione usuários ao grupo de administradores de SMS quando precisarem acessar o console do Administrador de SMS, mas não precisam ser administradores locais. Se você quiser usar um grupo local diferente para conceder acesso ao console do Administrador de SMS, também deverá conceder a esse grupo local ou de domínio a mesma permissão WMI que o grupo de administradores sms. Para conceder acesso ao console do Administrador de SMS, siga estas etapas:

  1. Crie um grupo global para o domínio que contém usuários que exigem acesso específico ao console do Administrador de SMS.

  2. Adicione esse grupo global ou a conta de usuário de domínio explícita ao grupo de administradores de SMS local.

  3. Configure as permissões SMS para o grupo global que você criou.

    Observação

    • Para concluir esta etapa, você deve ser um administrador e ter permissões completas no site.
    • Se você puder se conectar ao banco de dados, mas se os nós não forem enumerados, examine as permissões SMS concedidas ao grupo global ou a um usuário específico no nó Segurança do console do Administrador de SMS. Por exemplo, determine se o nó coleções, o nó pacotes ou outros nós exibem qualquer conteúdo.

    As permissões concedidas dependem da funcionalidade que você deseja que os membros desse grupo global executem. Para conceder permissões, clique com o botão direito do mouse no nó Direitos de segurança no console do Administrador de SMS, aponte para Todas as tarefas e clique em Gerenciar Usuários de SMS para iniciar o Assistente de Segurança.

  4. Use o assistente para adicionar, remover ou modificar as configurações de segurança dos usuários e dos grupos.

Como solucionar problemas de conectividade do console do Administrador de SMS

Se você estiver testando um console de administrador de SMS remoto, verifique se o pacote de serviços SMS mais recente foi aplicado a este console. Se o service pack não tiver sido aplicado, um erro semelhante ao seguinte poderá ser registrado no arquivo AdminUI.log:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! Falha ao definir a conexão. código de erro: -2147217407 Executar o programa de instalação da fonte do service pack para determinar se o console do Administrador de SMS é o único componente que deve ser atualizado.

Para solucionar problemas de conectividade do console do Administrador de SMS, considere os seguintes problemas:

  • O servidor de site sms está executando o Microsoft Windows Server 2003 com o Service Pack 1 (SP1)?

    No Windows Server 2003 com o SP1, um novo grupo local é criado com o nome de Usuários COM Distribuídos. Para resolve o problema de conectividade no Service Pack 1 do Windows Server 2003, adicione os usuários que estão tentando fazer conexões remotas com o console do Administrador de SMS ao grupo local Usuários COM Distribuídos.

  • O usuário é membro de um grupo global que é membro do grupo de administradores de SMS ou o usuário é explicitamente definido no Grupo de Administradores de SMS?

    O grupo de administradores de SMS é criado durante a instalação do site da SMS. Se um site foi instalado em um servidor membro, o grupo de administradores de SMS será um grupo local no SAM (Gerenciador de Contas de Segurança) local. Se um servidor de site for um controlador de domínio, o grupo de administradores de SMS será um grupo local no domínio. O usuário deve pertencer ao grupo de administradores de SMS porque esse grupo recebe as permissões necessárias para o sms e SMS_site namespace de código no repositório WMI (Instrumentação de Gerenciamento do Windows) quando o site sms é criado.

  • Esse servidor teve uma instalação anterior de SMS?

    Se o servidor tiver tido uma instalação anterior de SMS, poderá haver vários códigos de site na classe SMS_ProviderLocation que está localizada no namespace SMS do servidor do site. Exclua qualquer código de site que não exista mais no servidor do site. Você pode usar a ferramenta WBEMtest para exibir a classe SMS_ProverLocation.

  • No servidor do site, confirme as configurações de propriedade definidas no utilitário Dcomcnfg.exe.

    Para exibir as propriedades definidas no utilitário Dcomcnfg.exe, clique na guia Propriedades padrão e confirme as seguintes configurações:

    1. A caixa Habilitar COM Distribuída neste computador marcar está selecionada.
    2. O nível de Autenticação Padrão está definido como Conectar.
    3. O nível de representação padrão é definido como Identificar.

  • Se você estiver testando um console de administrador de SMS remoto, verifique se o pacote de serviços SMS mais recente foi aplicado a este console.

    Execute o programa de instalação da origem do service pack para determinar se o console do Administrador de SMS é o único componente que deve ser atualizado.

Depois de considerar esses problemas, conclua os procedimentos de solução de problemas descritos nas seções a seguir.

Solução de problemas de conectividade de namespace sms

Verifique se o usuário pode se conectar ao namespace sms e aos namespaces SMS_'sitecode'. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar e digite wbemtest.
  2. Clique em Conectar, digite\\siteserver\root\sms e clique em Logon.
  3. Clique em Classes de Enum, clique em Recursivo e clique em OK.
  4. Na lista Resultados da Consulta , clique duas vezes em SMS_ProviderLocation.
  5. Clique em Instâncias e clique duas vezes na linha que contém o código do site de destino. Por exemplo, SMS_ProviderLocation.SiteCode="xxx".
  6. Na seção Propriedades , localize a linha NamespacePath. Talvez você precise clicar duas vezes nessa linha para ver a linha inteira.
  7. Copie o valor NamespacePath para a área de transferência. Por exemplo, copie o seguinte valor:\\ server_name\root\sms\site_xxx.

Se você concluir esse procedimento com êxito, poderá se conectar ao servidor do site e enumerar o namespace sms.

Como solucionar problemas de conectividade do servidor

Determine se você pode se conectar ao servidor no qual o provedor está localizado. O servidor é definido no valor NamespacePath que você determinou na seção "Como solucionar problemas de conectividade de namespace SMS". Normalmente, esse servidor é o mesmo servidor.

  1. Feche todas as janelas WBEMtest que podem estar abertas.
  2. Clique em Conectar, cole o NamespacePath copiado na etapa 7 e clique em Logon.
  3. Clique em Classes de Enum, clique em Recursivo e clique em OK.
  4. Na lista Resultados da Consulta , clique duas vezes em SMS_Site.

Se você receber uma mensagem de erro "acesso negado" ao executar esse procedimento, isso pode ser devido a uma das seguintes causas:

  1. O Assistente de Configuração de Segurança foi executado no servidor que hospeda o Provedor de SMS. No entanto, o Assistente de Configuração de Segurança não consegue reconhecer o provedor de SMS. Se você executar o assistente no servidor que tem o Provedor de SMS instalado, você deverá habilitar o serviço WMI Remoto no assistente. A menos que você habilite o WMI Remoto, o console do Administrador de SMS no servidor do site e em qualquer outro console remoto não pode se conectar ao namespace SMS no WMI. Para habilitar a WMI Remota no assistente, faça o seguinte:

    Selecione WMI Remota na página Selecionar Administração e Outras Opções do Assistente de Configuração de Segurança.

    Observação

    Para obter mais informações sobre como proteger sistemas de sites sms, visite o seguinte site da Microsoft: https://technet.microsoft.com/library/cc179764.aspx

  2. A conta usada não tem as permissões apropriadas para o namespace do provedor. Para modificar ou verificar as permissões, siga estas etapas:

    1. No servidor no qual você enumerou o site de SMS, clique em Iniciar, clique em Executar, digite wmimgmt.msc e clique em OK.

    2. Clique com o botão direito do mouse em Controle WMI e clique em Propriedades.

    3. Na guia Segurança , expanda Raiz e clique em SMS.

    4. Clique em Segurança no painel de resultados para ver as permissões.

    5. Clique em Avançado, clique em Administradores de SMS e clique em Exibir-editar.

      Para o namespace sms, o grupo de administradores de SMS deve ter as seguintes permissões:

      • Habilitar conta
      • Habilitação remota

    6. Repita as etapas por e para examinar o grupo de administradores sms para o namespace SMS_ xxx . (xxx é um espaço reservado para o código do site.) Em seguida, conceda permissão de Habilitação Remota ao usuário ou ao grupo. Se o usuário ou o grupo não tiver permissões WMI apropriadas no Security para o namespace SMS, o seguinte evento poderá ser registrado no arquivo AdminUI.log:

Outros problemas de segurança

Use os procedimentos de solução de problemas descritos nesta seção se qualquer uma das seguintes condições for verdadeira:

  • Os usuários ainda têm acesso negado quando tentam se conectar ao console depois que você concedeu às contas apropriadas a "Habilitação Remota" diretamente na segurança da WMI.
  • O console só está parcialmente disponível.

Verificar a configuração do Firewall do Windows

O Windows XP SP2 e o Windows Server 2003 SP1 incluem o recurso firewall do Windows. Se você executar o Console de Administrador de SMS em um windows XP SP2 baseado ou em um computador baseado em SP1 do Windows Server 2003 que tenha o firewall habilitado, você deverá habilitar o programa Unsecapp.exe e a porta TCP 135 para passar pelo Firewall do Windows. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite firewall.cple clique em OK.

  2. Na guia Geral , clique em Ativar para ativar o firewall. Clique para limpar a caixa Não permitir exceções marcar.

  3. Na guia Exceções , clique em Adicionar Programa.

  4. Clique em Procurar, digite %windir%\System32\Wbem\Unsecapp.exe na caixa Nome do arquivo e clique em Abrir. Se você precisar definir o escopo, clique em Alterar escopo e clique em OK. Clique em OK para fechar a caixa de diálogo Adicionar um Programa .

  5. Na lista Programas e Serviços, clique para selecionar a caixa Unsecapp.exe marcar.

  6. Clique em Adicionar Porta.

  7. Na caixa Número da porta , digite 135. Selecione TCP e digite um nome para a exceção na caixa Nome . Se você precisar definir o escopo, clique em Alterar escopo e clique em OK. Clique em OK para fechar a caixa de diálogo Adicionar Porta .

  8. Na lista Programas e Serviços, clique para selecionar a caixa marcar para a exceção que você adicionou na etapa 7.

  9. Clique em OK.

Verificar as configurações de segurança do DCOM

Aviso

Não faça essas alterações a menos que você não possa resolve esse problema adicionando o programa Unsecapp.exe e a porta TCP 135 à lista de exceções.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

Você pode não resolve esse problema adicionando essas exceções ao Firewall do Windows. Talvez seja necessário definir permissões remotas anônimas no DCOM para o computador cliente. Para fazer isso no computador baseado no Windows XP SP2 que está executando o console do Administrador de SMS, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite dcomcnfg.exee clique em OK.

  2. Localize o nó raiz console, expanda Serviços de Componentes, expanda Computadores e clique em Meu Computador.

  3. Clique com o botão direito do mouse em Meu computador e, em seguida, clique em Propriedades.

  4. Em Minhas Propriedades do Computador, clique na guia Segurança COM .

  5. Em Permissões de Acesso, clique em Editar Limites.

  6. Clique em LOGON ANÔNIMO.

  7. Em Permissões para LOGON ANÔNIMO, clique em Permitir configuração para Acesso Remoto.

  8. Clique em OK duas vezes.

  9. Restart your computer.

Determinar se as permissões DCOM padrão foram alteradas

Verifique o valor DefaultAccessPermission na subchave do registro a seguir: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

Isso indica que as permissões DCOM padrão foram alteradas. Se esse valor não existir, as permissões DCOM padrão estarão em vigor. Para resolve esse problema, exclua o valor DefaultAccessPermission. Isso redefinirá todas as permissões DCOM padrão. Essa é uma medida de último recurso e não é garantida a correção do problema.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

Importante

Antes de excluir esse valor, verifique se você tentou resolve o problema seguindo as etapas de solução de problemas do DCOM neste artigo. Além disso, faça backup da subchave do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole registro.

Para excluir o valor DefaultAccessPermission, siga estas etapas:

  1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

  2. Localize e clique na subchave do registro a seguir: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

  3. No painel direito, clique com o botão direito do mouse em DefaultAccessPermission e clique em Excluir.

  4. Na caixa de diálogo Confirmar Exclusão de Valor , clique em Sim.

  5. Saia do Editor do Registro.

  6. Faça logon do computador e faça logon novamente no computador.

Incluir o grupo de segurança do Logon Anônimo no grupo de segurança Todos

Se os procedimentos descritos anteriormente não resolve o problema de permissões para o console do Administrador de SMS, talvez seja difícil fazer o seguinte:

  • Determine qual recurso requer acesso anônimo no computador que está executando o Windows XP.
  • Modificar as permissões em todos os recursos necessários Nessas situações, talvez seja necessário forçar o computador que está executando o Windows XP a incluir o grupo de segurança do Logon Anônimo no grupo de segurança Todos. Para dar suporte a essa funcionalidade, o Windows XP inclui a entrada de registro EveryoneIncludesAnonymous.

Se a entrada do Registro EveryoneIncludesAnonymous estiver definida como REG_DWORD 0x1, a Autoridade de Segurança Local (LSA) inclui o SID (identificador de segurança) do grupo de segurança Todos no token de acesso do usuário anônimo. Para definir o valor da entrada do registro EveryoneIncludesAnonymous, use um dos métodos a seguir.

Método 1: Defina a entrada do registro EveryoneIncludesAnonymous usando as configurações de segurança local

  1. Clique em Iniciar, clique em Executar, digite Administradores de Controle e clique em OK.

  2. Clique duas vezes em Política de Segurança Local ou Política de Segurança de Domínio (somente em controladores de domínio).

  3. Clique duas vezes em Políticas Locais e clique em Opções de Segurança.

  4. Clique com o botão direito do mouse no acesso à rede: permita que todas as permissões se apliquem a usuários anônimos e clique em Propriedades.

  5. Para permitir que usuários anônimos sejam membros do grupo de segurança Todos, clique em Habilitado. Para impedir a inclusão do SID do grupo de segurança Todos no token de acesso do usuário anônimo, clique em Desabilitado. Essa é a configuração padrão no Windows XP.

Método 2: defina o valor do registro EveryoneIncludesAnonymous usando o Registro Editor

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

  1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

  2. Localize e clique na seguinte chave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  3. Clique com o botão direito do mouse em EveryoneIncludesAnonymous e clique em Modificar.

  4. Para permitir que usuários anônimos sejam membros do grupo de segurança Todos, digite 1 na caixa de dados Valor . Para impedir a inclusão do SID do grupo de segurança Todos no token de acesso do usuário anônimo, digite 0 na caixa de dados Valor . Por padrão, o valor EveryoneIncludesAnonymous é definido como 0 no Windows XP.

  5. Saia do Editor do Registro.

  6. Reinicie o computador.

Observação

Essa alteração pode afetar as seguintes tecnologias baseadas no Windows:

  • Com
  • Dcom
  • IIS
  • Serviço de Enfileiramento de Mensagens
  • Qualquer outra tecnologia em que a autenticação anônima é frequentemente empregada.

Testes adicionais de conectividade

Inicie o Controle WMI no servidor do site. Não inicie o controle WMI no servidor do provedor se esse servidor for diferente. Clique na guia Log e defina o nível de log como Verbose para aumentar o log para o arquivo Windows_folder\System32\Wbem\Logs\Wbemcore.log.

Analise esse log no servidor do site. Você vê todo o tráfego WMI gerado. Procure a consulta por SMS_Providerlocation que ocorreu quando um console do Administrador de SMS tentou se conectar. Se essa consulta estiver presente, você poderá confirmar que há comunicação entre o console e o servidor do site. Teste a conectividade do servidor do site de volta ao console de administrador de SMS solicitado. A conectividade pode não existir nos seguintes cenários:

  • O servidor RPC (chamada de procedimento remoto) não está disponível.

  • Há um problema de resolução de nomes DNS. A mensagem de erro "Falha de conexão" também poderá ocorrer se a resolução de nomes não for concluída corretamente. Para determinar se você está enfrentando um problema de resolução de nomes, use a ferramenta WBEMtest e tente se conectar ao servidor do site usando o endereço IP. Por exemplo, use \111.222.333.444\root\default como o endereço. Se você puder se conectar quando usar o endereço IP, mas não puder se conectar quando usar o nome netBIOS do servidor do site, você está enfrentando um problema de resolução de nomes. Para resolve esse problema, confirme as configurações WINS ou DNS.

Quando você expande nós em um Console de Administrador de SMS remoto, o servidor do site sms faz uma conexão DCOM com o computador no qual o console está instalado. Se existir um registro DNS inválido para o computador no qual o console está instalado, o servidor do site de SMS poderá tentar se conectar ao endereço IP errado. Quando isso ocorrer, o nó de console não será expandido e o computador de console registrará o erro "A conexão WMI foi descartada" no AdminUI.log. Para solucionar problemas, execute o nslookup <console_computer_name> comando para garantir que o nome seja resolvido para o endereço IP correto. Se existir um registro DNS inválido para o computador de console, remova o registro DNS inválido. Além disso, determine como o registro DNS inválido foi criado para evitar que ele aconteça novamente. Por exemplo, o computador de console pode ter registrado um endereço VPN, mas o endereço VPN não foi removido do DNS quando a VPN foi desconectada. Depois de resolve o problema DNS, execute o seguinte comando em um prompt de comando no servidor do site do SMS 2003: ipconfig /flushdns.

Se você não puder resolve o nome de domínio totalmente qualificado do computador baseado em SP2 do Windows XP usando DNS, crie uma entrada no arquivo hosts no servidor de site SMS 2003 para mapear o nome de domínio totalmente qualificado do computador baseado em SP2 do Windows XP2 para seu endereço IP.

Problemas conhecidos com o servidor ISA da Microsoft ou o software VPN checkpoint

Se você não puder expandir alguns nós em um console remoto por meio de uma conexão remota de um computador Windows 2003 SP1, as operações baseadas em chamada de procedimento remoto poderão falhar se determinados produtos de firewall e VPN negarem solicitações de rede. Essas solicitações de rede podem falhar em computadores em que você aplica o Windows Server 2003 Service Pack 1 (SP1) a um computador baseado no Windows Server 2003 ou sua mídia de instalação do OEM ou varejo inclui atualizações do SP1. Os seguintes produtos podem negar essas solicitações de rede:

  • Produtos VPN (firewall ou rede virtual privada) da Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server

Esse problema também pode ocorrer quando as seguintes condições forem verdadeiras:

  • A conexão RPC do cliente é sobre a porta TCP 135 e está habilitada.
  • A resposta do servidor do site Central é sobre portas efêmeras que estão acima da porta 1024 e o firewall está bloqueando esse intervalo de portas. Para resolve esse problema, configure o cliente e o servidor para restringir o intervalo de portas usadas pela conexão RPC e habilite esse intervalo no firewall. Para fazer isso, use o método descrito no artigo a seguir na Base de Dados de Conhecimento da Microsoft: 154596 Como configurar a alocação de porta dinâmica do RPC para trabalhar com firewalls

Referências

Para obter mais informações sobre como ajudar a proteger conexões remotas do WMI, visite o seguinte site da Microsoft: Mantendo a Segurança WMI.