文章編號: 840634 - 上次校閱: 2007年12月27日 - 版次: 6.1

如何設定 Windows XP Service Pack 2 中的「Windows 防火牆」以允許使用 WMI、RPC 或 DCOM 的遠端系統管理工具

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
本文是針對進階電腦使用者。如果您不熟悉進階疑難排解,可以尋求他人的協助或連絡支援部門。如需有關如何連絡支援部門的資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/ (http://support.microsoft.com/contactus/)

重要 這些步驟可能會增加您電腦的安全性風險。這些步驟可能也會使您的電腦或網路更容易遭受心懷不軌的使用者或惡意軟體 (例如病毒) 的攻擊。我們建議以本文所描述的程序來啟用程式,以其原先的設計進行操作,或者執行特定的程式功能。在進行這些變更之前,建議您先評估在特定環境中使用此程序的相關風險。如果您決定執行此程序,請採用任何其他的適當步驟,以協助保護您的系統。建議您只有在真正需要此程序時,才使用本程序。

在此頁中

全部展開 | 全部摺疊

徵狀

當您嘗試遠端管理執行 Windows XP Service Pack 2 (SP2) 的電腦時,可能會收到類似下列的其中一個錯誤訊息:
無法管理電腦 \\COMPUTERNAME.EXAMPLE.COM。找不到網路路徑。

請從執行功能表選擇 '連線到另一部電腦' 來管理另一部電腦。
無法存取電腦 ComputerName
錯誤是:拒絕存取。
無法存取電腦 ComputerName
錯誤是:找不到網路路徑。
無法開啟 ComputerName 的群組原則物件。您可能沒有適當的權限。
詳細資訊:找不到網路路徑。
找不到物件 (電腦) 名稱:"ComputerName"。請檢查選取的物件類型及位置是否正確,並檢查您輸入的物件名稱是否正確,或是從選取項目上移除這個物件。
發生系統錯誤 53。找不到網路路徑。
回此頁最上方

發生的原因

如果您嘗試使用下列其中一種 Microsoft Management Console (MMC) 工具來管理遠端電腦,可能就會發生這個問題:
  • 憑證
  • 電腦管理
  • 裝置管理員
  • 磁碟管理
  • 事件檢視器
  • 群組原則
  • 索引服務
  • Internet 通訊協定安全性 (Ipsec) 監視程式
  • IP 安全性原則
  • 本機使用者和群組
  • 卸除式存放管理
  • 原則結果組
  • 服務
  • 共用資料夾
  • WMI 控制
此外,如果您嘗試使用 Net.exe 工具來管理遠端電腦,或者嘗試從下列對話方塊存取遠端電腦,可能也會發生這個問題:
  • 選擇使用者、電腦或群組
  • 尋找使用者、連絡人和群組
  • Net.exe
由於 Windows XP SP2 中的「Windows 防火牆」程式預設會封鎖「傳輸控制通訊協定」(TCP,Transmission Control Protocol) 連接埠 445 上的連入網路流量,因此發生這個問題。如果使用這裡所列的系統管理工具連線至遠端電腦,該遠端電腦必須允許 TCP 連接埠 445 上的連入網路流量。
回此頁最上方

解決方案

如果要解決這個問題,請使用下列其中一種方法:

方法 1 和方法 2 都在說明如何個別為每部電腦解決這個問題。而方法 3 將告訴您如何使用「群組原則」解決多部電腦上的這個問題。
回此頁最上方

進階使用者

這些方法主要是提供給進階電腦使用者。如果您不熟悉進階疑難排解,可以尋求他人的協助或連絡支援部門。如需有關如何連絡支援部門的資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/ (http://support.microsoft.com/contactus/)
回此頁最上方

方法 1:使用 Netsh 命令列工具

在遠端 Windows XP SP2 電腦上執行 netsh 命令,允許流量通過 TCP 連接埠 445 上的「Windows 防火牆」:
  1. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
  2. 輸入下列命令,然後按下 ENTER:
    netsh firewall set portopening tcp 445 smb enable
    您會收到下列訊息:
    確定。
  3. 關閉命令提示字元。
如果要在整個組織內套用這項變更,請從批次檔或指令碼執行此 netsh 命令列。
回此頁最上方

方法 2:使用圖形化使用者介面

在遠端 Windows XP SP2 電腦上修改「Windows 防火牆」,允許連接埠 445 上的 TCP 連入流量:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按一下 [資訊安全中心],再按一下 [Windows 防火牆]
  3. 按一下 [例外] 索引標籤,按一下以選取 [檔案及印表機共用] 核取方塊,再按一下 [編輯]
  4. 按一下以選取 [TCP 445] 核取方塊,再按 [變更範圍],然後執行下列其中一個操作:
    • 按一下 [只有我的電腦 (子網路)]
    • 按一下 [自訂清單],然後輸入您想要管理這部電腦的 IP 位址。
  5. 按四次 [確定]
回此頁最上方

方法 3:使用群組原則來設定「允許遠端系統管理例外」原則

注意 這些步驟假設您想要使用此原則加以管理的所有電腦,都在相同的組織單位中。如需有關如何使用「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx (http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx)
這些步驟假設「Windows 防火牆」使用網域設定檔。網域設定檔是最常見的案例。如需有關「Windows 防火牆」設定檔,以及 Windows 如何選取要載入的設定檔的詳細資訊,請參閱《部署 Microsoft Windows XP Service Pack 2 的 Windows 防火牆設定》(英文) 指南。如果要取得這份指南,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en)
若要設定「群組原則」以允許對您的電腦進行遠端管理,請依照下列步驟執行。
  1. 為含有您想要管理的 Windows XP SP2 電腦的組織單位建立群組原則物件:
    1. 登入網域控制站。
    2. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 dsa.msc,然後按一下 [確定]
    3. 展開您的網域,用滑鼠右鍵按一下想要在其中建立「群組原則」的組織單位,再按一下 [內容]
    4. 按一下 [群組原則] 索引標籤,然後按下 [新增]
    5. 輸入群組原則物件的名稱,然後按 ENTER。
    6. 按一下 [關閉]
  2. 使用下列一或多個安全性群組成員的使用者身分,登入執行 Windows XP SP2 的網域成員電腦:
    • Domain Admins
    • Enterprise Admins
    • Group Policy Creator Owners
  3. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 mmc,然後按一下 [確定]
  4. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元]
  5. [獨立] 索引標籤上,按一下 [新增]
  6. [新增獨立嵌入式管理單元] 對話方塊中,按一下 [群組原則物件編輯器],再按一下 [新增]
  7. [選取群組原則物件] 對話方塊中,按一下 [瀏覽]
  8. 按一下您想要以新的「Windows 防火牆」設定加以更新的群組原則物件。例如,按一下含有 Windows XP SP2 電腦的組織單位,再按一下 [確定],然後按一下您步驟 1 中建立的群組原則物件。
  9. 按一下 [確定],再按一下 [完成]
  10. 按一下 [關閉],再按一下 [確定]
  11. [主控台根目錄] 下,展開您在步驟 8 中選取的群組原則物件,再依序展開 [電腦設定][系統管理範本][網路][網路連線][Windows 防火牆],再按一下 [網域設定檔]
  12. 在右邊窗格中,按兩下 [Windows 防火牆: 允許遠端系統管理例外]
  13. 按一下 [啟用],然後在 [允許來自下列的來路不明傳入訊息] 方塊中指定系統管理範圍。例如,如果要允許特定 IP 位址的遠端系統管理,請在 [允許來自下列的來路不明傳入訊息] 方塊中輸入該 IP 位址。

    如果要允許特定子網路的遠端系統管理,請以 Classless Internet Domain Routing (CIDR) 格式輸入該子網路。在這種情況下,請輸入 192.168.1.0/24,以指定使用 24 位元子網路遮罩 255.255.255.0 的網路 192.168.1.0。如需有關如何指定有效系統管理範圍的詳細資訊,請參閱此原則中 [設定] 索引標籤的「語法」區域。
  14. 按一下 [確定],再按一下 [檔案] 功能表上的 [結束]
回此頁最上方

其他相關資訊

用戶端系統管理工具是一組 Microsoft Management Console (MMC) 嵌入式管理單元,讓您可以管理本機和遠端電腦上的使用者、電腦、服務和其他系統元件。
回此頁最上方

?考

如需有關如何透過「Windows 防火牆」進行連線的詳細資訊,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/zh-tw/library/aa389286(en-us).aspx (http://msdn2.microsoft.com/zh-tw/library/aa389286(en-us).aspx)
如需有關如何啟用或停用「遠端系統管理例外」的詳細資訊,請造訪下列 Microsoft 網站:
http://technet2.microsoft.com/windowsserver/en/library/b8057a7a-a0d3-40b5-8224-ea6a4f5e17231033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/b8057a7a-a0d3-40b5-8224-ea6a4f5e17231033.mspx?mfr=true)
如需相關問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
832578? (http://support.microsoft.com/kb/832578/ ) 當您使用 Delprof.exe 刪除遠端電腦上的非現用設定檔時出現「找不到網路路徑」錯誤訊息 (機器翻譯)
如果這些文件無法協助您解決問題,或者您遇到本文所說明以外的徵狀,請搜尋「Microsoft 知識庫」以取得詳細資訊。如果要搜尋「Microsoft 知識庫」,請造訪下列 Microsoft 網站:
http://support.microsoft.com (http://support.microsoft.com/)
接著,輸入您所收到錯誤訊息的文字,或在 [搜尋支援 (知識庫)] 欄位中輸入問題的描述。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
回此頁最上方
關鍵字:?
kbexpertiseadvanced kbresolve kbsecurity kbpermissions kbadmin kbnetwork kbtshoot kberrmsg kbprb KB840634
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。