Como solucionar problemas de conectividade do console SMS Administrator

Se você estiver usando o SMS e você tenta se conectar ao servidor de site, você receberá uma mensagem de "Falha na conexão". Ou, os nós podem não ser exibidos depois que você está conectado. Além disso, os erros semelhantes à seguinte podem ser registrados no arquivo AdminUI.log no servidor:Este artigo descreve como solucionar problemas de um console SMS Administrator existente para determinar por que não é possível se conectar ao servidor site ou um novo.

Como conceder acesso ao console SMS Administrator

Para acessar um console SMS Administrator local ou remoto, os usuários devem ser membros do grupo local SMS Admins. Grupo SMS Admins é concedido explicitamente habilitar conta e ativação remota no namespace Root\SMS. O grupo SMS Admins fornece seus membros com acesso ao SMS Provider por meio do WMI. Adicione usuários para o grupo SMS Admins quando eles precisam para acessar o SMS Administrator console, mas não precisam ser administradores locais. Se você deseja usar um grupo local diferente para conceder acesso ao console SMS Administrator, que você também deve conceder esse local ou domínio local grupo a mesma permissão WMI do grupo SMS Admins. Para conceder acesso ao console SMS Administrator, execute essas etapas:

1. Crie um grupo global para o domínio que contém usuários que precisarem de acesso específico ao console SMS Administrator.
2. Adicione este grupo global ou conta de usuário do domínio explícito ao grupo SMS Admins local.
3. Configure as permissões de SMS para o grupo global que você criou.
   
   anotações
   • Para concluir esta etapa, você deve ser um administrador e têm permissões totais sobre o site.
   • Se você pode se conectar ao banco de dados, mas se os nós não são enumerados, examine as permissões do SMS que são concedidas para o grupo global ou para um usuário específico no nó segurança do console SMS Administrator. Por exemplo, determine se o nó de coleções, nó de pacotes ou outros nós exibem qualquer conteúdo.
   As permissões que você conceder dependem da funcionalidade que deseja que os membros desse grupo global para executar. Para conceder permissões, clique com o botão direito do mouse o nó de direitos de segurança no console SMS Administrator, aponte para todas as tarefas e, em seguida, clique em Manage SMS Users para iniciar o Assistente de segurança.
4. Use o Assistente para adicionar, remover ou modificar as configurações de segurança de usuários e grupos.

Observação Para hierarquias de SMS 2.0 Service Pack 3 (SP3) em domínios do Microsoft Windows 2000, talvez você precise obter o hotfix descrito no seguinte artigo da Base de dados de Conhecimento Microsoft:Para obter mais informações sobre como conceder acesso ao console SMS Administrator usuários adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

Como solucionar problemas de conectividade do console SMS Administrator

Se você estiver testando um console SMS Administrator remoto, certifique-se que o SMS service pack mais recente foi aplicado a este console. Se não tiver sido aplicado o service pack, um erro semelhante à seguinte pode ser registrado no arquivo AdminUI.log: Para solucionar problemas de conectividade do console SMS Administrator, considere as seguintes questões:

• É o servidor do site do SMS executando o Microsoft Windows Server 2003 com Service Pack 1 (SP1)?
  
  No Windows Server 2003 com SP1, é criado um novo grupo local, que é chamado de Distributed COM-usuários. Para resolver o problema de conectividade no Windows Server 2003 Service Pack 1, adicione os usuários que estão tentando fazer conexões remotas com o console SMS Administrator ao grupo Distributed COM-usuários local. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  913000  (http://support.microsoft.com/kb/913000/ ) Após a instalação do Windows Server 2003 Service Pack 1, poder se não conectar ao servidor do site do SMS usando um console SMS Administrator remoto
  895952  (http://support.microsoft.com/kb/895952/ ) Você receber uma mensagem de erro "Você não tem o privilégio apropriado" quando você tenta abrir o console de administrador do MOM (Microsoft Operations Manager) 2005
• O usuário é um membro de um grupo global que é um membro no grupo SMS Admins ou é o usuário explicitamente definido no grupo de administradores do SMS?
  
  O grupo SMS Admins é criado durante a instalação de site SMS. Se um site tiver sido instalado em um servidor membro, ao grupo SMS Admins será um grupo local no Gerenciador de contas de segurança (SAM) local. Se um servidor de site for um controlador de domínio, ao grupo SMS Admins será um grupo local no domínio. O usuário deve pertencer ao grupo SMS Admins porque esse grupo recebe as permissões necessárias para o namespace de código do SMS e SMS_site no repositório de instrumentação de gerenciamento do Windows (WMI) quando o site do SMS é criado.
• Este servidor teve uma instalação anterior do SMS?
  
  Se o servidor tem tivesse uma instalação anterior do SMS, pode haver vários códigos de site na classe SMS_ProviderLocation que está localizada no namespace do SMS do servidor do site. Exclua qualquer código de site que não existe mais no servidor do site. Você pode usar a ferramenta WBEMtest para exibir a classe SMS_ProverLocation .Para obter mais informações sobre WBEMtest, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  239899  (http://support.microsoft.com/kb/239899/ ) Console do administrador não pode se conectar após a reinstalação
• No servidor do site, confirme as configurações de propriedade definidas no utilitário Dcomcnfg.exe.
  
  Para exibir as propriedades que são definidas no utilitário Dcomcnfg.exe, clique na guia Propriedades padrão e, em seguida, confirme as configurações a seguir:
  1. A caixa de seleção Ativar DCOM neste computador está marcada.
  2. O Nível de autenticação padrão é definido como conectar .
  3. O Nível de representação padrão é definido como identificar .
• Se você estiver testando um console SMS Administrator remoto, certifique-se que o SMS service pack mais recente foi aplicado a este console.
  
  Execute o programa de instalação da fonte de pacote de serviço para determinar se o console SMS Administrator é o único componente que deve ser atualizado.

Após você considerar esses problemas, conclua os procedimentos de solução de problemas descritos nas seções a seguir.

Solucionando problemas de conectividade de namespace do SMS

Certifique-se de que o usuário pode se conectar ao namespace do SMS e os namespaces de 'código_do_site' SMS_. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar e digite wbemtest .
2. Clique em conectar , digite \\siteserver\root\sms e, em seguida, clique em logon .
3. Clique em Enumerar Classes , clique em recursiva e, em seguida, clique em OK .
4. Na lista de resultado da consulta, clique duas vezes SMS_ProviderLocation .
5. Clique em instâncias e, em seguida, clique duas vezes a linha que contém o código de site de destino. Por exemplo, SMS_ProviderLocation.SiteCode= "xxx".
6. Na seção Propriedades , localize a linha NamespacePath. Talvez seja necessário clicar duas vezes nesta linha para ver a linha inteira.
7. Copie o valor NamespacePath para a área de transferência. Por exemplo, copie o seguinte valor:
   \\ server_name \root\sms\site_ xxx

Se você concluir com êxito este procedimento, poderá se conectar ao servidor de site e enumerar o namespace do SMS.

Como solucionar problemas de conectividade do servidor

Determine se é pode se conectar ao servidor que o provedor está localizado em. O servidor é definido no valor NamespacePath que você determinou na seção "Como solucionar problemas de conectividade de namespace do SMS". Normalmente, este servidor é o mesmo servidor.

1. Feche todas as janelas WBEMtest que podem estar abertas.
2. Clique em conectar , cole NamespacePath que copiou na etapa 7 e, em seguida, clique em login .
3. Clique em Enumerar Classes , clique em recursiva e, em seguida, clique em OK
4. Na lista de Resultado da consulta , clique duas vezes SMS_Site .

Se você receber uma mensagem de erro "acesso negado" quando você executar esse procedimento, isso pode ser devido a uma das causas a seguir:

1. O Assistente de configuração de segurança foi executado no servidor que hospeda o SMS Provider. No entanto, o Assistente de configuração de segurança não consegue reconhecer o SMS Provider. Se você executar o assistente no servidor que possui o SMS Provider instalado, você deve ativar o serviço WMI remoto no assistente. A menos que você ative WMI remoto , o console SMS Administrator no servidor do site e quaisquer outros consoles remotos não é possível conectamos ao namespace SMS no WMI. Para habilitar o WMI remoto no assistente, faça o seguinte:
   1. Selecione a página Selecionar Administração e outras opções do Assistente de configuração segurança de WMI remoto .
      
      Observação Para obter mais informações sobre como proteger sistemas de site SMS, visite o seguinte site:
      http://technet.microsoft.com/en-us/library/cc179764.aspx (http://technet.microsoft.com/en-us/library/cc179764.aspx)
2. A conta que é usada não tem as permissões apropriadas ao espaço para nome do provedor. Para modificar ou verificar as permissões, execute estas etapas:
   1. No servidor no qual você enumerados o site do SMS, clique em Iniciar , clique em Executar , digite wmimgmt.msc e, em seguida, clique em OK .
   2. Clique com o botão direito do mouse Controle WMI e, em seguida, clique em Propriedades .
   3. Na guia segurança , expanda a raiz e, em seguida, clique em SMS .
   4. Clique em segurança no painel de resultados para ver as permissões.
   5. Clique em Avançado , clique em SMS Admins e, em seguida, clique em Editar modo de exibição .
      
      Para o namespace do SMS, ao grupo SMS Admins deve ter as seguintes permissões:
      • Habilitar conta
      • Ativar remoto
   6. Repita as etapas a até e para examinar o grupo SMS Admins no espaço para nome do SMS_ xxx. (xxx é um espaço reservado para o código do site.) Em seguida, conceda permissão de Ativação remota para o usuário ou ao grupo. Se o usuário ou o grupo não tiver permissões apropriadas do WMI em segurança para o espaço para nome SMS, o seguinte evento pode ser registrado no arquivo AdminUI.log:

      Error(ConnectServer): Código de erro de conexão possível interface do usuário é-2147217405 [0 x 80041003]

Outros problemas de segurança

Use os procedimentos solução de problemas descritas nesta seção se qualquer uma das seguintes condições for verdadeira:

• Os usuários são ainda o acesso negado ao tentar conectar-se ao console após você concedeu as contas apropriadas a ? ativação remota ? à direita na segurança do WMI.
• O console é apenas parcialmente disponível.

Verificar a configuração de Firewall do Windows

Windows XP SP2 e Windows Server 2003 SP1 incluem o recurso Firewall do Windows. Se você executar o Console SMS Administrator em um com o Windows XP SP2 ou um computador com Windows Server 2003 SP1 que tem o firewall ativado, você deve ativar o programa unsecapp.exe e a porta TCP 135 atravessar o Firewall do Windows. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite firewall.cpl e, em seguida, clique em OK .
2. Clique na guia Geral , em para ativar o firewall. Clique para desmarcar a caixa de seleção não permitir exceções .
3. Na guia exceções , clique em Adicionar programa .
4. Clique em Procurar , digite \System32\Wbem\Unsecapp.exe %windir% na caixa nome do arquivo e, em seguida, clique em Abrir . Se você tiver que definir o escopo, clique em Alterar escopo e, em seguida, clique em OK . Clique em OK para fechar a caixa de diálogo Adicionar um programa .
5. Na lista programas e serviços , clique para selecionar a caixa de seleção Unsecapp.exe .
6. Clique em Adicionar porta .
7. Na caixa número da porta , digite 135 . Selecione TCP e, em seguida, digite um nome para a exceção na caixa nome . Se você tiver que definir o escopo, clique em Alterar escopo e, em seguida, clique em OK . Clique em OK para fechar a caixa de diálogo Adicionar porta .
8. Na lista programas e serviços , clique para selecionar a caixa de seleção para a exceção que você adicionou na etapa 7.
9. Clique em OK .

Verifique as configurações de segurança do DCOM

Aviso Não faça essas alterações, a menos que você não pode resolver esse problema adicionando os programa unsecapp.exe e a porta TCP 135 à lista de exceções.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Você não pode resolver esse problema adicionando essas exceções a ele. Talvez você precise definir permissões remotas anônimas no DCOM para o computador cliente. Para fazer isso no computador baseado no Windows XP SP2 que está executando o console SMS Administrator, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite dcomcnfg.exe e, em seguida, clique em OK .
2. Localize o nó de raiz do console, expanda Serviços de componente , expanda computadores e, em seguida, clique em Meu computador .
3. Clique com o botão direito do mouse Meu computador e, em seguida, clique em Propriedades .
4. Em My Computer Properties , clique na guia COM segurança .
5. Em Permissões de acesso , clique em Editar limites .
6. Clique em ANONYMOUS LOGON .
7. Em permissões para LOGON anônimo , clique em Permitir configuração de acesso remoto .
8. Clique duas vezes em OK .
9. Reinicie o computador.

Determinar se as permissões DCOM padrão foram alteradas

Verifique o valor DefaultAccessPermission sob a seguinte subchave do Registro: Isso indica que as permissões DCOM padrão foram alteradas. Se esse valor não existir, as permissões DCOM padrão estão em vigor. Para resolver esse problema, exclua o valor DefaultAccessPermission. Isso redefinirá todas as permissões DCOM de padrão. Esta é uma medida de último recurso e não é garantida para corrigir o problema.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: importante Antes de você excluir este valor, certifique-se que você tentou resolver o problema seguindo o DCOM etapas neste artigo de solução de problemas. Além disso, o backup a subchave de registro .

Para excluir o valor DefaultAccessPermission, execute essas etapas:

1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
3. No painel à direita, clique com o botão direito do mouse DefaultAccessPermission e, em seguida, clique em Excluir .
4. Na caixa de diálogo Confirmar exclusão do valor , clique em Sim .
5. Feche o Editor do Registro.
6. Fazer logoff do computador e efetue novamente ao computador.

Para obter mais informações sobre problemas DCOM e seus sintomas, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Incluir o grupo de segurança logon anônimo em todos grupo de segurança

Se os procedimentos descritos anteriormente não resolverem o problema de permissões para o console SMS Administrator, pode ser difícil fazer o seguinte:

• Determinar qual recurso requer o acesso anônimo no computador que está executando o Windows XP
• Modificar as permissões em todos os recursos necessários

Nessas situações, talvez você precise forçar o computador que está executando o Windows XP para incluir o grupo de segurança logon anônimo em todos grupo de segurança. Para oferecer suporte a essa funcionalidade, o Windows XP inclui a entrada de Registro EveryoneIncludesAnonymous.

Se a entrada de Registro EveryoneIncludesAnonymous está definida para REG_DWORD 0 x 1, a autoridade de segurança local (LSA) inclui o identificador de segurança (SID) de todos grupo de segurança no token de acesso anônimo do usuário. Para definir o valor da entrada do Registro EveryoneIncludesAnonymous, use um dos seguintes métodos.

Método 1: Definir a entrada de Registro EveryoneIncludesAnonymous usando configurações de segurança local

1. Clique em Iniciar , clique em Executar , digite control admintools e, em seguida, clique em OK .
2. Clique duas vezes Local Security Policy ou Diretiva de segurança domínio (em controladores de domínio somente) .
3. Clique duas vezes em Diretivas locais e, em seguida, clique em Opções de segurança .
4. Clique com o botão direito do mouse acesso à rede: permissões Permitir que todos aplicam a usuários anônimos e em seguida, clique em Propriedades .
5. Para permitir que anônimo os usuários sejam membros do todos segurança de grupo, clique em ativado . Para evitar a inclusão de todos segurança grupo SID no símbolo de acesso do usuário anônimo, clique em desativado . Essa é a configuração padrão no Windows XP.

Método 2: Definir o valor de Registro EveryoneIncludesAnonymous usando o Editor do registro

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte chave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Clique com o botão direito do mouse EveryoneIncludesAnonymous e, em seguida, clique em Modificar .
4. Para permitir que anônimo os usuários sejam membros do todos grupo de segurança, digite 1 na caixa dados do valor . Para evitar a inclusão de todos grupo de segurança SID em token de acesso do usuário anônimo, digite 0 na caixa dados do valor . Por padrão, o valor EveryoneIncludesAnonymous é definido como 0 no Windows XP.
5. Feche o Editor do Registro.
6. Reinicie o computador.

Observação Essa alteração pode afetar as seguintes tecnologias baseado no Windows:

• Com
• DCOM
• IIS
• Serviço de enfileiramento de mensagens
• Qualquer outra tecnologia em que a autenticação anônima é empregada com freqüência.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Testes de conectividade adicional

Inicie o controle WMI no servidor do site. Não inicie o controle WMI no servidor provedor se este servidor for diferente. Clique na guia log e defina o nível de log como detalhado para aumentar o log para o arquivo de \System32\Wbem\Logs\Wbemcore.log Windows_folder.

Analise este log no servidor do site. Você ver todo o tráfego WMI é gerado. Procure a consulta para SMS_Providerlocation ocorrido quando um console SMS Administrator tentou se conectar. Se essa consulta estiver presente, você pode confirmar que não há comunicação entre o console e o servidor do site. Testar a conectividade do servidor do site novamente para o console SMS Administrator solicitante. Conectividade pode não existir nas seguintes situações:

• O servidor (RPC) chamada de procedimento remoto não está disponível.
  Se o teste de conectividade do WBEMtest determina que o servidor de (RPC) chamada de procedimento remoto não está disponível, consulte o seguinte artigo da Base de dados de Conhecimento Microsoft:
  229091  (http://support.microsoft.com/kb/229091/ ) SMS: Administrador remoto obtém uma mensagem de erro "Falha de conexão" ao se conectar a servidor de site
• Há um problema de resolução de nome DNS.
  A ? falha de conexão "mensagem de erro também pode ocorrer se a resolução de nomes não for concluída corretamente. Para determinar se você está enfrentando um problema de resolução de nome, use a ferramenta WBEMtest e tente se conectar ao servidor do site usando o endereço IP. Por exemplo, use \\111.222.333.444\root\default como o endereço. Se você puder se conectar quando usar o endereço IP, mas você não pode se conectar ao você usar o nome netBIOS do servidor do site, você está tendo um problema de resolução de nome. Para resolver esse problema, confirme as configurações de DNS ou o WINS.
  
  Quando você expande nós em um console remoto do SMS Administrator, o servidor do site do SMS faz uma conexão DCOM com o computador no qual o console está instalado. Se existir um registro DNS inválido para o computador no qual o console está instalado, o servidor do site do SMS pode tentar se conectar ao endereço IP errado. Quando isso ocorre, o nó de console falhará expandir e o computador de console registrará o erro "a conexão WMI foi descartada" no AdminUI.log. Para solucionar esse problema, execute o nslookup <console_computer_name> comando Certifique-se de que o nome resolve o endereço IP correto. Se existir um registro DNS inválido para o computador de console, remova o registro DNS inválido. Além disso, determine como o registro DNS inválido foi criado para impedir que ele ocorra novamente. Por exemplo, o computador de console pode ter registrado um endereço VPN, mas o endereço VPN não foi removido do DNS quando a VPN foi desconectada. Depois de resolver o problema DNS, execute o seguinte comando em um prompt de comando no servidor do site SMS 2003:
  ipconfig /flushdns
  Se você não pode resolver o nome de domínio totalmente qualificado do computador baseado no Windows XP SP2 usando o DNS, crie uma entrada no arquivo de hosts no servidor do site SMS 2003 para mapear o baseado no Windows XP SP2 nome do computador totalmente qualificado do domínio para seu endereço IP.

Problemas conhecidos com o Microsoft ISA server ou VPN da Checkpoint software

Se você não pode expandir alguns nós em um console remoto em uma conexão remota de um computador Windows 2003 SP1: operações baseadas em chamada de procedimento remoto podem falhar se determinados firewall e produtos VPN negar solicitações de rede. Essas solicitações de rede podem falhar em computadores onde você aplicar o Windows Server 2003 Service Pack 1 (SP1) a um computador baseado no Windows Server 2003 ou seu OEM ou varejo mídia de instalação inclui atualizações SP1. Os seguintes produtos podem negar esses pedidos de rede:

• Firewall ou produtos de rede virtual privada (VPN) da Checkpoint Software Technologies
• Microsoft Internet Security and Acceleration (ISA) Server

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Esse problema também pode ocorrer quando as seguintes condições forem verdadeiras:

• A conexão RPC do cliente é pela porta TCP 135 e está habilitada.
• A resposta do servidor do site central é sobre portas efêmeras que estão acima da porta 1024, e o firewall está bloqueando esse intervalo de porta.

Para resolver esse problema, configure o cliente e o servidor para restringir o intervalo de portas usadas por RPC conexão e habilite desse intervalo no firewall. Para fazer isso, use o método descrito no seguinte artigo na Base de dados de Conhecimento da Microsoft:

Para obter mais informações sobre como definir segurança de namespaces do WMI no Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre conceitos e termos de WMI do Systems Management Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre problemas de conexão do SMS Administrator, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre como ajudar a conexões WMI remotas seguras, visite o seguinte site:Para obter mais informações sobre permissões COM completas, visite o seguinte site:Para obter uma lista das perguntas freqüentes sobre sistemas de site, visite o seguinte site: