Windows XP SP2 の WMI に関する問題のトラブルシューティング方法

Microsoft Windows XP SP2 で WMI にアクセスすると、セキュリティの変更点のために "アクセスが拒否されました" というエラー メッセージが表示されることがあります。非同期クエリを使用する場合は、Windows XP SP2 ベースのコンピュータから Windows XP SP2 ベースではないコンピュータにアクセスしたときにも問題が発生することがあります。

Windows XP SP2 の WMI に関する問題のトラブルシューティング

WMI に関する問題のトラブルシューティングを行う場合、まず、問題がローカルにあるのかリモートにあるのかを判断します。これを行うには、ネットワークの問題を排除するため、WMI にローカルにアクセスしてみます。WMI にローカルにアクセスしてもなお問題が発生する場合、その問題は Windows XP SP2 のセキュリティ変更とは無関係です。

ローカルに WMI にアクセスするときに問題が発生しない場合、その問題は Windows ファイアウォールと DCOM に関係している可能性があります。コンピュータ A からコンピュータ B にリモート WMI 操作を実行するときには、コンピュータ A からコンピュータ B に DCOM 接続を確立する必要があります。コンピュータ B では、Windows ファイアウォールと DCOM の両方で接続を許可するように設定する必要があります。WMI 操作が同期的または半同期的な場合、必要な接続は 1 つのみです。しかし、WMI 操作が非同期の場合は、コンピュータ B からコンピュータ A に対する別の接続が必要です。 コンピュータ A とコンピュータ B の間で Connection 1 を確立するには、以下の手順を実行します。

1. コンピュータ B で Windows ファイアウォールが有効になっている場合は、[Windows ファイアウォール: リモート管理の例外を許可する] の設定を有効にします。Windows XP SP2 では、デフォルトで Windows ファイアウォールが有効になっています。
   
   この設定を有効にする方法の詳細については、「リモート管理を許可する」を参照してください。
2. リモート要求を行うユーザーが管理者でない場合は、そのユーザーがコンピュータ B で DCOM のリモートからの起動のアクセス許可を持っていることを確認してください。
   
   詳細については、「DCOM のリモート起動のアクセス許可を与える」を参照してください。

Connection 2 が必要になるのは、非同期の WMI 操作を使用する場合のみです。可能であれば、代わりに半同期的な操作を使用することをお勧めします。半同期的な操作ではパフォーマンスへの影響は小さく、同じ機能を使用できますが、逆接続は必要ありません。

非同期操作を使用する必要がある場合は、以下の手順を実行します。

1. コンピュータ A で Windows ファイアウォールが有効な場合は、DCOM のポートを開きます。Windows XP SP2 では、デフォルトで Windows ファイアウォールが有効になっています。
   
   DCOM のポートを開く方法の詳細については、「DCOM のポートを開く」を参照してください。
2. コンピュータ A では、逆接続を完了できるように、クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加します。
   
   Unsecapp.exe アプリケーションがクライアント アプリケーションになることがよくあります。Unsecapp.exe アプリケーションは、DCOM サービスとしてのアクセス許可がない可能性がある処理の実行中に、クライアントに結果を送信するために使用されます。スクリプティングおよび Microsoft .NET の System.Management 名前空間はどちらも、非同期操作の結果を受信するために Unsecapp.exe アプリケーションに依存しています。
   
   クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する方法の詳細については、「クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する」を参照してください。
3. 逆接続が非同期接続として作成される場合は、DCOM のリモートからの起動のアクセス許可をコンピュータ A の匿名ログオン アカウントに与えます。次のいずれかの条件に該当する場合に、逆接続が非同期接続として作成されます。
   • コンピュータ B がワークグループのメンバになっています。
   • コンピュータ B がコンピュータ A と同じドメインに存在せず、コンピュータ B のドメインが信頼される側のドメインになっていません。
   詳細については、「DCOM のリモート起動のアクセス許可を与える」を参照してください。
4. 逆接続のセキュリティはできるだけ高く設定します。詳細については、次の MSDN (Microsoft Developer Network) Web サイトを参照してください。
   http://msdn2.microsoft.com/en-gb/library/aa393614.aspx (http://msdn2.microsoft.com/en-gb/library/aa393614.aspx)

リモート管理を許可する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
3. [Windows ファイアウォール: リモート管理の例外を許可する] を右クリックし、[プロパティ] をクリックします。
4. [有効] をクリックし、[OK] をクリックします。

DCOM のリモート起動のアクセス許可を与える

1. [スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、DCOMCNFG と入力して [OK] をクリックします。
2. [コンポーネント サービス]、[コンピュータ]、[マイ コンピュータ] を順に展開します。
   
   注 : 操作中に [Windows セキュリティの重要な警告] ダイアログ ボックスが表示される場合は、[ブロックを解除する] または [後で確認する] をクリックします。
3. ツール バーの [マイ コンピュータの構成] をクリックします。
   
   [マイ コンピュータ] ダイアログ ボックスが表示されます。
4. [マイ コンピュータ] ダイアログ ボックスの [COM セキュリティ] タブをクリックします。
5. [起動とアクティブ化のアクセス許可] の [制限の編集] をクリックします。
6. [起動許可] ダイアログ ボックスで、ユーザー名またはグループが [グループまたはユーザー名] ボックスの一覧に表示されていない場合は、以下の手順を実行します。
   1. [起動許可] ダイアログ ボックスで [追加] をクリックします。
   2. [ユーザー または グループの選択] ダイアログ ボックスで、ユーザー名とグループを [選択するオブジェクト名を入力してください] ボックスに追加し、[OK] をクリックします。
7. [起動許可] ダイアログ ボックスで、[グループまたはユーザー名] ボックスの一覧のユーザーとグループをクリックします。[User のアクセス許可] で [許可] 列の [リモートからの起動] チェック ボックスをオンにし、[OK] をクリックします。

DCOM のポートを開く

Windows ファイアウォールでポートを有効にする前に、グループ ポリシーの [Windows ファイアウォール: ローカル ポートの例外を許可する] 設定が有効になっていることを確認します。これを行うには、以下の手順を実行します。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
3. [Windows ファイアウォール: ローカル ポートの例外を許可する] を右クリックし、[プロパティ] をクリックします。
4. [有効] をクリックし、[OK] をクリックします。

注 : [Windows ファイアウォール: ポートの例外を定義する] の設定を使用して、ローカル ポートの例外を構成することもできます。

DCOM ポートは TCP 135 です。DCOM ポートを開くには、以下の手順を実行します。

1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
2. [Windows ファイアウォール] をダブルクリックし、[例外] タブをクリックします。
3. [ポートの追加] をクリックします。
4. [名前] ボックスに DCOM_TCP135 と入力し、[ポート番号] ボックスに 135 と入力します。
5. [TCP] をクリックし、[OK] をクリックします。
6. [OK] をクリックします。

注 : コマンド プロンプトで次のコマンドを入力して、ポートを開くこともできます。

クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する

Windows ファイアウォールでプログラムの例外を定義する前に、グループ ポリシーの [Windows ファイアウォール: ローカル プログラムの例外を許可する] の設定が有効になっていることを確認します。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
3. [Windows ファイアウォール: ローカル プログラムの例外を許可する] を右クリックし、[プロパティ] をクリックします。
4. [有効] をクリックし、[OK] をクリックします。

注 : [Windows ファイアウォール: プログラムの例外を定義する] の設定を使用して、ローカル プログラムの例外を構成することもできます。

クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加するには、以下の手順を実行します。

1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
2. [Windows ファイアウォール] をダブルクリックし、[例外] タブをクリックします。
3. [プログラムの追加] をクリックします。
4. 追加するアプリケーションを指定して、[OK] をクリックします。
5. [OK] をクリックします。

注 : コマンド プロンプトで次のコマンドを入力して、Windows ファイアウォールの例外の一覧にプログラムを追加することもできます。

例

システム情報ツール (Msinfo32.exe) を使用して、Microsoft Windows XP SP2 を実行しているリモート コンピュータに接続すると、次のエラー メッセージが表示されます。 注 : このメッセージの computer name はプレースホルダです。

この問題を回避するには、「リモート管理を許可する」に記載されている手順を実行します。

詳細については、以下のマイクロソフト Web サイトを参照してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。