Behandlung von WMI-Problemen in Windows XP SP2

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 875605 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
875605 How to troubleshoot WMI-related issues in Windows XP SP2
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Eine Reihe von Änderungen in Bezug auf Sicherheitssperren in Microsoft Windows XP Service Pack 2 (SP2) können Probleme mit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation/WMI) verursachen. Dies gilt insbesondere für Remoteszenarien. Die Windows-Firewall ist in Windows XP SP2 zum Beispiel standardmäßig aktiviert. Außerdem unterscheiden sich die DCOM-Einschränkungen in Windows XP SP2 von den DCOM-Einschränkungen in früheren Versionen von Windows.

Einführung

Aufgrund von Sicherheitsänderungen können Ihnen Fehlermeldungen des Typs "Zugriff verweigert" angezeigt werden, wenn Sie in Microsoft Windows XP SP2 auf die WMI zugreifen möchten. Außerdem können Probleme auftreten, wenn Sie von einem Windows XP SP2-Computer aus mithilfe einer asynchronen Abfrage auf einen Computer zugreifen, auf dem ein anderes Betriebssystem als Windows XP SP2 installiert ist.

Behandlung von WMI-Problemen in Windows XP SP2

Bei der Behandlung von Problemen in Zusammenhang mit der WMI ermitteln Sie zunächst, ob es sich um ein lokales Problem oder ein im Remotebetrieb auftretendes Problem handelt. Versuchen Sie hierzu, lokal auf die WMI zuzugreifen, um etwaige Netzwerkprobleme auszuschließen. Tritt das Problem auch bei einem lokalen Zugriff auf die WMI auf, besteht kein Zusammenhang zwischen diesem Problem und Sicherheitsänderungen in Windows XP SP2.

Tritt das Problem bei einem lokalen Zugriff auf die WMI nicht auf, hat es eventuell mit der Windows-Firewall und DCOM zu tun. Wenn Sie eine Remote-WMI-Operation von einem Computer A zu einem Computer B ausführen, muss zwischen Computer A und Computer B eine DCOM-Verbindung aufgebaut werden. Auf Computer B müssen sowohl die Windows-Firewall als auch DCOM so konfiguriert sein, dass eine solche Verbindung zulässig ist. Ist die WMI-Operation synchron oder halbsynchron, wird nur eine Verbindung benötigt. Bei einer asynchronen WMI-Operation ist jedoch eine weitere Verbindung von Computer B zu Computer A erforderlich.
Bild minimierenBild vergrößern
Abbildung 1: Verbindung 2 ist erforderlich, wenn die WMI-Operation asynchron ist
Gehen Sie folgendermaßen vor, um eine Verbindung zwischen Computer A und Computer B herzustellen:
  1. Falls die Windows-Firewall auf Computer B aktiviert ist, aktivieren Sie die Einstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen. In Windows XP SP2 ist die Windows-Firewall standardmäßig aktiviert.

    Weitere Informationen zum Aktivieren dieser Einstellung finden Sie im Abschnitt Remoteverwaltung zulassen in diesem Artikel.
  2. Handelt es sich bei dem Benutzer, der die Remoteabfrage sendet, nicht um einen Administrator, vergewissern Sie sich, dass dieser Benutzer auf Computer B über DCOM-Remotestartberechtigungen verfügt.

    Weitere Informationen finden Sie im nachstehenden Abschnitt DCOM-Remotestartberechtigungen erteilen.
Verbindung 2 ist nur bei einer asynchronen WMI-Operation erforderlich. Sofern möglich, empfehlen wir die Verwendung einer halbsynchronen Operation. Die Auswirkungen auf die Leistung sind marginal und eine halbsynchrone Operation bietet die gleiche Funktionalität, erfordert jedoch keine Verbindung in der umgekehrten Richtung.

Falls Sie eine asynchrone Operation verwenden müssen, gehen Sie wie folgt vor:
  1. Falls auf Computer A die Windows-Firewall aktiviert ist, öffnen Sie den DCOM-Port. In Windows XP SP2 ist die Windows-Firewall standardmäßig aktiviert.

    Weitere Informationen dazu, wie Sie den DCOM-Port öffnen können, finden Sie im nachstehenden Abschnitt DCOM-Port öffnen.
  2. Fügen Sie auf Computer A die Clientanwendung der Ausnahmeliste für die Windows-Firewall hinzu, damit die Verbindung in umgekehrter Richtung hergestellt werden kann.

    Bei der Clientanwendung handelt es sich häufig um die Anwendung "Unsecapp.exe". Die Anwendung "Unsecapp.exe" wird verwendet, um bei einem Prozess, der eventuell nicht die Berechtigung hat, als DCOM-Dienst zu fungieren, Ergebnisse zurückzusenden. Sowohl Skripting als auch der Microsoft .NET-Namspace System.Management erfordern die Anwendung "Unsecapp.exe", um die Ergebnisse asynchroner Operationen zu empfangen.

    Weitere Informationen zum Hinzufügen der Clientanwendung zur Liste der Ausnahmen für die Windows-Firewall finden Sie im Abschnitt Der Ausnahmeliste für die Windows-Firewall eine Clientanwendung hinzufügen.
  3. Wird die Verbindung in umgekehrter Richtung als anonyme Verbindung hergestellt, gewähren Sie dem anonymen Anmeldekonto auf Computer A Remotestartberechtigungen in DCOM. Die Verbindung in umgekehrter Richtung wird als anonyme Verbindung hergestellt, wenn eine der folgenden Bedingungen erfüllt ist:
    • Computer B ist Mitglied einer Arbeitsgruppe.
    • Computer B gehört nicht zu derselben Domäne wie Computer A und die Domäne, zu der Computer B gehört, ist nicht als vertrauenswürdig eingestuft.
    Weitere Informationen finden Sie im nachstehenden Abschnitt DCOM-Remotestartberechtigungen erteilen.
  4. Machen Sie die Verbindung in umgekehrter Richtung so sicher wie möglich. Weitere Informationen finden Sie auf folgender MSDN-Website:
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx

Remoteverwaltung zulassen

  1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc im Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie unter Konsolenstamm nacheinander Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und Windows-Firewall, und klicken Sie dann auf Domänenprofil.
  3. Klicken Sie mit der rechten Maustaste auf Windows-Firewall: Remoteverwaltungsausnahme zulassen, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf Aktiviert und anschließend auf OK.

DCOM-Remotestartberechtigungen erteilen

  1. Klicken Sie auf Start und anschließend auf Ausführen, geben Sie DCOMCNFG in das Feld Öffnen ein, und klicken Sie auf OK.
  2. Erweitern Sie im Fenster Komponentendienste die Option Komponentendienste, erweitern Sie Computer, und erweitern Sie dann die Option Arbeitsplatz.
  3. Klicken Sie auf der Symbolleiste auf die Schaltfläche mit dem Computersymbol.

    Das Dialogfeld Arbeitsplatz wird angezeigt.
  4. Klicken Sie im Dialogfeld Arbeitsplatz auf die Registerkarte COM-Sicherheit.
  5. Klicken Sie unter Start- und Aktivierungsberechtigungen auf Limits bearbeiten.
  6. Gehen Sie im Dialogfeld Startberechtigung wie folgt vor, falls Ihr Name oder Ihre Gruppe in der Liste Gruppen- oder Benutzernamen nicht verzeichnet sind:
    1. Klicken Sie im Dialogfeld Startberechtigung auf Hinzufügen.
    2. Geben Sie im Dialogfeld Benutzer oder Gruppen wählen in das Feld Geben Sie die zu verwendenden Objektnamen ein Ihren Namen und die Gruppe ein, und klicken Sie anschließend auf OK.
  7. Wählen Sie im Dialogfeld Startberechtigung im Feld Gruppen- oder Benutzernamen Ihren Benutzernamen und die Gruppe aus. Aktivieren Sie in der Spalte Zulassen unter Berechtigungen für Benutzername das Kontrollkästchen Remotestart, und klicken Sie dann auf OK.

DCOM-Port öffnen

Bevor Sie Ports in der Windows-Firewall öffnen, stellen Sie sicher, dass in der Gruppenrichtlinie die Einstellung Windows-Firewall: Ausnahmen für lokale Ports zulassen aktiviert ist. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc im Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie unter Konsolenstamm nacheinander Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und Windows-Firewall, und klicken Sie dann auf Domänenprofil.
  3. Klicken Sie mit der rechten Maustaste auf Windows-Firewall: Ausnahmen für lokale Ports zulassen, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf Aktiviert und anschließend auf OK.
Hinweis: Sie können auch die Einstellung Windows-Firewall: Portausnahmen festlegen verwenden, um Ausnahmen für lokale Ports zu konfigurieren.

Der DCOM-Port ist der TCP-Port 135. Gehen Sie folgendermaßen vor, um den DCOM-Port zu öffnen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Doppelklicken Sie auf Windows-Firewall, und klicken Sie anschließend auf die Registerkarte Ausnahmen.
  3. Klicken Sie auf Port.
  4. In das Feld Name geben Sie DCOM_TCP135 ein. Geben Sie dann 135 in das Feld Portnummer ein.
  5. Klicken Sie auf TCP und anschließend auf OK.
  6. Klicken Sie auf OK.
Hinweis: Sie können auch den folgenden Befehl in eine Eingabeaufforderung eingeben, um einen Port zu öffnen:
netsh firewall add portopening [TCP/UDP][Port][Name]

Der Ausnahmeliste für die Windows-Firewall eine Clientanwendung hinzufügen

Bevor Sie Programmausnahmen in der Windows-Firewall definieren, stellen Sie sicher, dass die Einstellung Windows-Firewall: Ausnahmen für lokale Programme zulassen aktiviert ist.
  1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc im Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie unter Konsolenstamm nacheinander Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und Windows-Firewall, und klicken Sie dann auf Domänenprofil.
  3. Klicken Sie mit der rechten Maustaste auf Windows-Firewall: Ausnahmen für lokale Programme zulassen, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf Aktiviert und anschließend auf OK.
Hinweis: Sie können auch die Einstellung Windows-Firewall: Programmausnahmen festlegen verwenden, um Ausnahmen für lokale Programme zu konfigurieren.

Gehen Sie folgendermaßen vor, um der Ausnahmeliste für die Windows-Firewall eine Clientanwendung hinzuzufügen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Doppelklicken Sie auf Windows-Firewall, und klicken Sie anschließend auf die Registerkarte Ausnahmen.
  3. Klicken Sie auf Programm.
  4. Wählen Sie die Anwendung aus, die Sie hinzufügen möchten, und klicken Sie anschließend auf OK.
  5. Klicken Sie auf OK.
Hinweis: Sie können auch den folgenden Befehl in eine Eingabeaufforderung eingeben, um der Ausnahmeliste für die Windows-Firewall ein Programm hinzuzufügen:
netsh firewall add allowedprogram [<Pfad>\Programname] [ENABLE/DISABLE]

Beispiel

Wenn Sie versuchen, mit dem Systeminformationsprogramm "Msinfo32.exe" eine Verbindung zu einem Remotecomputer herzustellen, auf dem Microsoft Windows XP SP2 ausgeführt wird, wird die folgende Fehlermeldung angezeigt:
Die Verbindung mit Computername konnte nicht hergestellt werden. Vergewissern Sie sich, dass der Netzwerkpfad richtig ist, Sie über ausreichend Berechtigungen verfügen, um auf Windows-Verwaltungsinstrumentation zugreifen zu können, und dass der WMI-Dienst auf diesem Computer installiert wurde.
Hinweis: In dieser Meldung ist Computername ein Platzhalter.

Gehen Sie wie im Abschnitt Remoteverwaltung zulassen beschrieben vor, um dieses Problem zu umgehen.

Informationsquellen

Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
875357 Beheben von Problemen mit Einstellungen der Windows-Firewall in Windows XP Service Pack 2

Eigenschaften

Artikel-ID: 875605 - Geändert am: Donnerstag, 11. Januar 2007 - Version: 3.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Verwaltungsinstrumentation 1.5
Keywords: 
kbinfo kbtshoot KB875605
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com