Como resolver a conectividade da consola de administrador do SMS

Se estiver a utilizar o SMS e tentar ligar ao servidor de site, poderá receber uma mensagem "Falha de ligação". Ou, os nós podem não ser apresentados depois de estar ligado. Além disso, os erros semelhantes à seguinte poderão ser registados no ficheiro AdminUI.log no servidor:Este artigo descreve como resolver um novo ou uma consola de administrador do SMS existente para determinar por que razão não é possível ligar para o servidor local.

Como conceder acesso à consola de administrador do SMS

Para aceder a uma consola de administrador do SMS local ou remota, os utilizadores tem de ser membros do grupo local Administradores do SMS. O grupo Admins do SMS é explicitamente concedido Activar conta e activar remoto no espaço de nomes Root\SMS. O grupo de administradores do SMS fornece os respectivos membros com acesso ao fornecedor de SMS, através do WMI. Adicione utilizadores ao grupo de administradores do SMS quando necessitarem de acesso de administrador do SMS da consola, mas não tem de ser administradores locais. Se pretender utilizar um grupo local diferente para conceder acesso à consola de administrador do SMS, que também tem de conceder esse local ou domínio local agrupe a mesma permissão WMI como o grupo de administradores do SMS. Para conceder acesso à consola de administrador do SMS, siga estes passos:

1. Crie um grupo global para o domínio que contém os utilizadores que necessitem de acesso específico a consola de administrador do SMS.
2. Adicione este grupo global ou a conta de utilizador de domínio explícitas ao grupo de administradores do SMS local.
3. Configure as permissões SMS para o grupo global que criou.
   
   notas
   • Para concluir este passo, tem de ser um administrador e têm permissões totais no site.
   • Se conseguir ligar à base de dados, mas se os nós não são enumerados, examine as permissões de SMS que são concedidas para o grupo global ou para um utilizador específico no nó de segurança da consola do administrador do SMS. Por exemplo, determine se o nó de colecções, o nó de pacotes ou outros nós apresentam qualquer conteúdo.
   As permissões que lhe concede dependem da funcionalidade que pretende que os membros deste grupo global para efectuar. Para conceder permissões, clique com o botão direito do rato no nó de direitos de segurança na consola de administrador do SMS, aponte para todas as tarefas e, em seguida, clique em Gerir utilizadores do SMS para iniciar o Assistente de segurança.
4. Utilize o Assistente para adicionar, remover ou modificar as definições de segurança de utilizadores e grupos.

Nota Para o SMS 2.0 Service Pack 3 (SP3) hierarquias em domínios do Microsoft Windows 2000, poderá ter de obter a correcção descrita no seguinte artigo da base de dados de conhecimento da Microsoft:Para obter mais informações sobre como conceder a utilizadores adicionais acesso à consola de administrador do SMS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:

Como resolver a conectividade da consola de administrador do SMS

Se estiver a testar uma consola de administrador do SMS remota, certifique-se de que foi aplicado o service pack mais recente do SMS para esta consola. Se não tiver sido aplicado o service pack, poderá ser registado um erro semelhante à seguinte no ficheiro AdminUI.log: Resolver problemas de conectividade de consola do administrador do SMS, considere as seguintes questões:

• É o servidor locais com SMS com o Microsoft Windows Server 2003 com Service Pack 1 (SP1)?
  
  No Windows Server 2003 com SP1, é criado um novo grupo local denominado utilizadores de COM distribuídos. Para resolver o problema de conectividade no Windows Server 2003 Service Pack 1, adicione os utilizadores que estão a tentar efectuar ligações remotas à consola de administrador do SMS ao grupo local utilizadores de COM distribuídos. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  913000  (http://support.microsoft.com/kb/913000/ ) Depois de instalar o Windows Server 2003 Service Pack 1, pode já não ligar a servidor de site SMS utilizando uma consola de administrador do SMS remota
  895952  (http://support.microsoft.com/kb/895952/ ) Recebe uma mensagem de erro "Não possui o privilégio apropriado" quando tenta abrir a consola de administrador de Microsoft Operations Manager (MOM) 2005
• É o utilizador um membro de um grupo global que seja membro do grupo de administradores do SMS ou é o utilizador explicitamente definido no grupo de administradores do SMS?
  
  O grupo Admins do SMS é criado durante a instalação de site SMS. Se um site tiver sido instalado num servidor membro, o grupo de administradores do SMS é um grupo local no local Contas de segurança ' Gestor de ' (SAM). Se um servidor local for um controlador de domínio, o grupo de administradores do SMS é um grupo local no domínio. O utilizador deve pertencer ao grupo Administradores de SMS porque este grupo é concedido as permissões necessárias ao espaço de SMS e SMS_site código nomes no repositório de Windows Management Instrumentation (WMI) quando é criado o site do SMS.
• Este servidor teve uma instalação anterior do SMS?
  
  Se o servidor teve uma instalação anterior do SMS, poderá existir vários códigos de site da classe SMS_ProviderLocation localizado no espaço de nomes do servidor de site SMS. Elimine um código qualquer site que já não existe no servidor do site. Pode utilizar a ferramenta WBEMtest para visualizar a classe SMS_ProverLocation .Para obter mais informações sobre o WBEMtest, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  239899  (http://support.microsoft.com/kb/239899/ ) Consola de administrador não consegue ligar após a reinstalação
• No servidor do site, confirme as definições de propriedade que são definidas no utilitário DCOMCNFG.exe.
  
  Para visualizar as propriedades que estão definidas no utilitário DCOMCNFG.exe, clique no separador Propriedades predefinidas e, em seguida, confirme as definições seguintes:
  1. A caixa de verificação Activar DCOM neste computador está seleccionada.
  2. O Nível de autenticação predefinido está definido para ligar .
  3. O Nível de representação predefinido está definido para identificar .
• Se estiver a testar uma consola de administrador do SMS remota, certifique-se de que foi aplicado o service pack mais recente do SMS para esta consola.
  
  Execute o programa de configuração da origem de pacote de serviço para determinar se a consola de administrador SMS é o componente único que tem de ser actualizado.

Depois de considerar estes problemas, conclua os procedimentos de resolução de problemas que são descritos nas secções seguintes.

Resolução de problemas conectividade de espaço de nomes do SMS

Certifique-se de que o utilizador pode ligar o espaço de nomes do SMS e espaços de nomes SMS_ 'sitecode'. Para o fazer, siga estes passos:

1. Clique em Iniciar , clique em Executar e, em seguida, escreva wbemtest .
2. Clique em ligar , escreva \\siteserver\root\sms e, em seguida, clique em Iniciar sessão .
3. Clique em Classes Enum , clique em recursiva e, em seguida, clique em OK .
4. Na lista de resultado da consulta, faça duplo clique sobre SMS_ProviderLocation .
5. Clique em instâncias e, em seguida, faça duplo clique a linha que contém o código do site de destino. Por exemplo, SMS_ProviderLocation.SiteCode= "xxx."
6. Na secção Propriedades , localize a linha NamespacePath. Poderá ser necessário fazer duplo clique nesta linha para ver toda a linha.
7. Copie o valor de NamespacePath para a área de transferência. Por exemplo, copie o seguinte valor:
   \\ server_name \root\sms\site_ xxx

Se concluir este procedimento com êxito, pode ligar ao servidor de site e enumerar o espaço de nomes do SMS.

A resolução de conectividade do servidor

Determine se pode ligar ao servidor que o fornecedor está localizado no. O servidor está definido no valor de NamespacePath que determinou na secção "Como resolver problemas de conectividade de espaço de nomes do SMS". Normalmente, este servidor é o mesmo servidor.

1. Feche todas as janelas de WBEMtest podem estar abertas.
2. Clique em ligar , colar NamespacePath que copiou no passo 7 e, em seguida, clique em Iniciar sessão .
3. Clique em Classes Enum , clique em recursiva e, em seguida, clique em OK
4. Na lista de Resultado da consulta , faça duplo clique sobre SMS_Site .

Se receber uma mensagem de erro "acesso negado" quando executar este procedimento, este poderá ser devido a uma das seguintes causas:

1. O assistente foi executado no servidor que hospeda o fornecedor de SMS. No entanto, o assistente não consegue reconhecer o fornecedor de SMS. Se executar o assistente no servidor com o fornecedor de SMS instalado, terá de activar o serviço WMI remoto no assistente. A menos que activar WMI remota , não consegue ligar a consola de administrador do SMS no servidor do site e as consolas remotos ao espaço de nomes SMS no WMI. Para activar a WMI remoto no assistente, efectue o seguinte:
   1. Seleccione WMI remota na página Seleccionar administração e outras opções do Assistente de configuração de segurança.
      
      Nota Para mais informações sobre como proteger os sistemas site SMS, visite o seguinte Web site da Microsoft:
      http://technet.microsoft.com/en-us/library/cc179764.aspx (http://technet.microsoft.com/en-us/library/cc179764.aspx)
2. A conta que é utilizada não tem as permissões adequadas para o espaço de nomes do fornecedor. Para modificar ou verificar as permissões, siga estes passos:
   1. No servidor no qual enumerar o site do SMS, clique em Iniciar , clique em Executar , escreva wmimgmt.msc e, em seguida, clique em OK .
   2. Clique com o botão direito do rato Controlo WMI e, em seguida, clique em Propriedades .
   3. No separador segurança , expanda raiz e, em seguida, faça clique sobre o SMS .
   4. Clique em segurança no painel de resultados para ver as permissões.
   5. Clique em Avançadas , clique em Administradores do SMS e, em seguida, clique em Editar vista .
      
      Espaço de nomes do SMS e o grupo de administradores do SMS tem de ter as seguintes permissões:
      • Activar conta
      • Activar remoto
   6. Repita os passos à e para examinar o grupo de administradores do SMS para o espaço de nomes do SMS_ xxx. (xxx é um marcador de posição para o código do site.) Em seguida, conceda permissão Activar remoto para o utilizador ou para o grupo. Se o utilizador ou grupo não tiver permissões adequadas do WMI em segurança para o espaço de nomes SMS, o evento seguinte poderá ser registado no ficheiro AdminUI.log:

      Error(ConnectServer): Código de erro possíveis UI ligação encontra--2147217405 [0x80041003]

Outras questões de segurança

Utilize os procedimentos de resolução de problemas descritos nesta secção se qualquer uma das seguintes condições for verdadeira:

• Os usuários são ainda o acesso negado quando tentam ligar à consola depois concedeu as contas adequadas a ? remoto activar ? para a direita na segurança WMI.
• A consola é apenas parcialmente disponível.

Verifique a configuração de Firewall do Windows

Windows XP SP2 e Windows Server 2003 SP1 incluem a funcionalidade Firewall do Windows. Se executar a Consola de administrador SMS num com o Windows XP SP2 ou um computador baseado no Windows Server 2003 SP1 que tem o firewall activado, tem de activar o programa de Unsecapp.exe e a porta TCP 135 para passar através da Firewall do Windows. Para o fazer, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva firewall.cpl e, em seguida, clique em OK .
2. No separador Geral , clique em activar o firewall. Clique para desmarcar a caixa de verificação não permitir excepções .
3. No separador excepções , clique em Adicionar programa .
4. Clique em Procurar , escreva %windir% \System32\Wbem\Unsecapp.exe na caixa nome do ficheiro e, em seguida, clique em Abrir . Se tiver de definir o âmbito, clique em Alterar âmbito e, em seguida, clique em OK . Clique em OK para fechar a caixa de diálogo Adicionar um programa .
5. Na lista programas e serviços , clique para seleccionar a caixa de verificação Unsecapp.exe .
6. Clique em Adicionar porta .
7. Na caixa número da porta , escreva 135 . Seleccione TCP e, em seguida, escreva um nome para a excepção na caixa nome . Se tiver de definir o âmbito, clique em Alterar âmbito e, em seguida, clique em OK . Clique em OK para fechar a caixa de diálogo Adicionar porta .
8. Na lista programas e serviços , clique para seleccionar a caixa de verificação para a excepção que adicionou no passo 7.
9. Clique em OK .

Verifique as definições de segurança DCOM

aviso Não efectue estas alterações, excepto se não conseguir resolver este problema adicionando a programa Unsecapp.exe e a porta TCP 135 à lista de excepções.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Poderá não resolver este problema, adicionando estas excepções à Firewall do Windows. Poderá ter de definir permissões remotos anónimas no DCOM para o computador cliente. Para efectuar este procedimento no computador baseado no Windows XP SP2 que está a executar a consola do administrador de SMS, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva dcomcnfg.exe e, em seguida, clique em OK .
2. Localize o nó de raiz da consola, expanda Serviços componentes , expanda computadores e, em seguida, clique no Meu computador .
3. Clique com o botão direito do rato em Meu computador e, em seguida, clique em Propriedades .
4. Em Os meus propriedades do computador , clique no separador COM segurança .
5. Em Permissões de acesso , clique em Editar limites .
6. Clique em ANONYMOUS início de sessão .
7. Em permissões de início de sessão anónimo , clique em Permitir definição para acesso remoto .
8. Clique duas vezes em OK .
9. Reinicie o computador.

Determinar se as permissões de DCOM predefinidas foram alteradas

Verifique o valor de DefaultAccessPermission na seguinte subchave de registo: Isto indica que as permissões de DCOM predefinidas foram alteradas. Se este valor não existir, as permissões de DCOM predefinido estão em vigor. Para resolver este problema, elimine o valor de DefaultAccessPermission. Isto irá repor todas as permissões de DCOM predefinidas. Esta é uma medida de último recurso e não está assegurada para corrigir o problema.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: importante Antes de eliminar este valor, certifique-se de que tentou resolver o problema seguindo o DCOM resolução passos em descritos neste artigo. Cópia para além disso, a subchave do registo .

Para eliminar o valor de DefaultAccessPermission, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
3. No painel da direita, clique com o botão direito do rato DefaultAccessPermission e, em seguida, clique em Eliminar .
4. Na caixa de diálogo Confirmar eliminação de valores , clique em Sim .
5. Saia do Editor de registo.
6. Termine sessão no computador e inicie sessão novamente no computador.

Para obter mais informações sobre problemas DCOM e as sintomas, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Incluir o grupo de segurança de início de sessão anónimo no todos grupo de segurança

Se os procedimentos anteriormente descritos não resolverem o problema de permissões para a consola de administrador do SMS, poderá ser difícil fazer o seguinte:

• Determinar qual o recurso necessita de acesso anónimo no computador que está a executar o Windows XP
• Modificar as permissões em todos os recursos necessários

Nestas situações, poderá ter de forçar o computador com o Windows XP para incluir o grupo de segurança de início de sessão anónimo no todos grupo de segurança. Para suportar esta funcionalidade, o Windows XP inclui a entrada de registo EveryoneIncludesAnonymous.

Se a entrada de registo EveryoneIncludesAnonymous estiver definida como REG_DWORD 0 x 1, a autoridade de segurança local (LSA) inclui o identificador de segurança (SID, Security Identifier) do todos grupo de segurança no token de acesso do utilizador anónimo. Para definir o valor da entrada de registo EveryoneIncludesAnonymous, utilize um dos seguintes métodos.

Método 1: Definir a entrada de registo EveryoneIncludesAnonymous utilizando definições de segurança local

1. Clique em Iniciar , clique em Executar , escreva Control admintools e, em seguida, clique em OK .
2. Faça duplo clique em Política de segurança local ou Política de segurança de domínio (em apenas controladores de domínio) .
3. Faça duplo clique em Políticas locais (Local Policies) e, em seguida, clique em Opções de segurança .
4. Clique com o botão direito do rato acesso à rede: permitir que todos as permissões aplicam a utilizadores anónimos e, em seguida, clique em Propriedades .
5. Para permitir que ser membros de todos os utilizadores anónimos segurança de grupo, clique em activado . Para impedir a inclusão de todos do grupo de segurança SID no token de acesso do utilizador anónimo, clique em desactivado . Esta é a definição predefinida no Windows XP.

Método 2: Definir o valor de registo EveryoneIncludesAnonymous utilizando o Editor de registo

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte chave de registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Clique com o botão direito do rato EveryoneIncludesAnonymous e, em seguida, clique em Modificar .
4. Para permitir que ser membros de todos os utilizadores anónimos grupo de segurança, escreva 1 na caixa dados do valor . Para impedir a inclusão de todos do grupo de segurança SID no token de acesso do utilizador anónimo, escreva 0 na caixa dados do valor . Por predefinição, o valor de EveryoneIncludesAnonymous estiver definido como 0 no Windows XP.
5. Saia do Editor de registo.
6. Reinicie o computador.

Nota Esta alteração pode afectar as seguintes tecnologias baseado no Windows:

• Com
• DCOM
• IIS
• Colocação de mensagens em fila
• Qualquer outra tecnologia em que a autenticação anónima é utilizada frequentemente.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Testes de ligação adicionais

Inicie o controlo WMI no servidor do site. Não inicie o controlo WMI no fornecedor de servidor se este servidor for diferente. Clique no separador registo e, em seguida, defina o nível de registo para verboso para aumentar o registo para o ficheiro de \System32\Wbem\Logs\Wbemcore.log Windows_folder.

Analise este registo no servidor local. Verá todo o tráfego WMI é gerado. Procure a consulta para SMS_Providerlocation ocorreu quando uma consola de administrador do SMS tentou estabelecer uma ligação. Se esta consulta estiver presente, pode confirmar que não existe comunicação entre a consola e o servidor local. Testar a conectividade do servidor local novamente à consola do administrador do SMS que efectuam o pedido. Pode não existir conectividade nos seguintes cenários:

• O servidor de chamada (RPC, Remote Procedure Call) de procedimento remoto não está disponível.
  Se o teste da conectividade WBEMtest determinar que o servidor de chamada (RPC, Remote Procedure Call) de procedimento remoto não está disponível, consulte o seguinte artigo da base de dados de conhecimento da Microsoft:
  229091  (http://support.microsoft.com/kb/229091/ ) SMS: Administrador remoto obtém um erro "Falha de ligação" ao ligar ao servidor local
• Existe um problema de resolução de nome DNS.
  O ? falha na ligação "mensagem de erro também poderá ocorrer se a resolução de nomes não for concluída correctamente. Para determinar se tiver um problema de resolução de nomes, utilize a ferramenta WBEMtest e tentar ligar ao servidor de site utilizando o endereço IP. Por exemplo, utilize \\111.222.333.444\root\default como o endereço. Se conseguir ligar quando utilizar o endereço IP, mas não conseguir ligar quando utiliza o nome de netBIOS do servidor local, tem um problema de resolução de nomes. Para resolver este problema, confirme o WINS ou as configurações de DNS.
  
  Quando expandir nós de uma consola de administrador SMS remoto, servidor de site SMS efectua uma ligação DCOM para o computador em que a consola está instalada. Se existir um registo DNS inválido para o computador em que a consola está instalada, o servidor de site SMS pode tentar ligar para o endereço IP errado. Quando esta situação ocorre, o nó de consola falhará expandir e computador consola registará o erro "ligação WMI foi interrompida" o AdminUI.log. Para resolver este problema, execute o nslookup <console_computer_name> comandos para se certificar de que o nome resolve para o endereço IP correcto. Se existir um registo DNS inválido para o computador da consola, remova o registo DNS inválido. Além disso, pode determine como o registo DNS inválido foi criado para impedir que ocorra novamente. Por exemplo, o computador da consola pode ter registado um endereço VPN, mas o endereço de VPN não foi removido do DNS quando a VPN foi desligada. Depois de resolver o problema DNS, execute o seguinte comando numa linha de comandos no servidor de site SMS 2003:
  ipconfig /flushdns
  Se não conseguir resolver o nome de domínio totalmente qualificado do computador baseado no Windows XP SP2 utilizando o DNS, crie uma entrada no ficheiro hosts no servidor de site SMS 2003 para mapear o nome de domínio totalmente qualificado do computador baseado no Windows XP SP2 para o endereço IP.

Problemas conhecidos do Microsoft ISA server ou o software do ponto de verificação de VPN

Se não consegue expandir alguns nós de uma consola remota numa ligação remota a partir de um computador Windows 2003 SP1: operações baseadas em chamada de procedimento remoto poderão falhar se determinados firewalls e produtos VPN negar pedidos de rede. Estes pedidos de rede poderão falhar nos computadores onde aplicar o Windows Server 2003 Service Pack 1 (SP1) num computador baseado no Windows Server 2003 ou o OEM ou suporte de instalação de revenda incluir actualizações SP1. Os seguintes produtos podem negar estes pedidos de rede:

• Firewall ou produtos de rede privada virtual (VPN) da Checkpoint Software Technologies
• Microsoft Internet Security and Acceleration (ISA) Server

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Este problema também poderá ocorrer quando se verificam as seguintes condições:

• A ligação de RPC do cliente é através da porta TCP 135 e está activada.
• A resposta do servidor local central é através de portas efémeras acima porta 1024 e o firewall está a bloquear esse intervalo de portas.

Resolver este problema, configure o cliente e o servidor para restringir o intervalo de portas utilizadas por RPC ligação e, em seguida, activar nesse intervalo no firewall. Para o fazer, utilize o método descrito no seguinte artigo na base de dados de conhecimento da Microsoft:

Para obter mais informações sobre como definir segurança de espaço de nomes do WMI no Windows XP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre o Systems Management Server WMI termos e conceitos, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre problemas de ligação de administrador do SMS, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: Para obter mais informações sobre como ajudar a proteger ligações remotas do WMI, visite o seguinte Web site da Microsoft:Para obter mais informações sobre permissões COM específicas, visite o seguinte Web site da Microsoft:Para obter uma lista de Perguntas mais frequentes sobre sistemas de site, visite o seguinte Web site da Microsoft: