Windows XP SP2 の WMI に関する問題のトラブルシューティング方法

文書翻訳 文書翻訳
文書番号: 875605 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows XP Service Pack 2 (SP2) における多くのセキュリティ対策の変更点が原因で、WMI (Windows Management Instrumentation) に関する問題が、特にリモート環境で発生することがあります。たとえば、Windows XP SP2 では Windows ファイアウォールがデフォルトで有効になっています。また、Windows XP SP2 の DCOM の制限は、従来のバージョンの Windows における DCOM の制限とは異なります。

はじめに

Microsoft Windows XP SP2 で WMI にアクセスすると、セキュリティの変更点のために "アクセスが拒否されました" というエラー メッセージが表示されることがあります。非同期クエリを使用する場合は、Windows XP SP2 ベースのコンピュータから Windows XP SP2 ベースではないコンピュータにアクセスしたときにも問題が発生することがあります。

Windows XP SP2 の WMI に関する問題のトラブルシューティング

WMI に関する問題のトラブルシューティングを行う場合、まず、問題がローカルにあるのかリモートにあるのかを判断します。これを行うには、ネットワークの問題を排除するため、WMI にローカルにアクセスしてみます。WMI にローカルにアクセスしてもなお問題が発生する場合、その問題は Windows XP SP2 のセキュリティ変更とは無関係です。

ローカルに WMI にアクセスするときに問題が発生しない場合、その問題は Windows ファイアウォールと DCOM に関係している可能性があります。コンピュータ A からコンピュータ B にリモート WMI 操作を実行するときには、コンピュータ A からコンピュータ B に DCOM 接続を確立する必要があります。コンピュータ B では、Windows ファイアウォールと DCOM の両方で接続を許可するように設定する必要があります。WMI 操作が同期的または半同期的な場合、必要な接続は 1 つのみです。しかし、WMI 操作が非同期の場合は、コンピュータ B からコンピュータ A に対する別の接続が必要です。
元に戻す画像を拡大する
図 1 : WMI 操作が非同期の場合は Connection 2 が必要になる
コンピュータ A とコンピュータ B の間で Connection 1 を確立するには、以下の手順を実行します。
  1. コンピュータ B で Windows ファイアウォールが有効になっている場合は、[Windows ファイアウォール: リモート管理の例外を許可する] の設定を有効にします。Windows XP SP2 では、デフォルトで Windows ファイアウォールが有効になっています。

    この設定を有効にする方法の詳細については、「リモート管理を許可する」を参照してください。
  2. リモート要求を行うユーザーが管理者でない場合は、そのユーザーがコンピュータ B で DCOM のリモートからの起動のアクセス許可を持っていることを確認してください。

    詳細については、「DCOM のリモート起動のアクセス許可を与える」を参照してください。
Connection 2 が必要になるのは、非同期の WMI 操作を使用する場合のみです。可能であれば、代わりに半同期的な操作を使用することをお勧めします。半同期的な操作ではパフォーマンスへの影響は小さく、同じ機能を使用できますが、逆接続は必要ありません。

非同期操作を使用する必要がある場合は、以下の手順を実行します。
  1. コンピュータ A で Windows ファイアウォールが有効な場合は、DCOM のポートを開きます。Windows XP SP2 では、デフォルトで Windows ファイアウォールが有効になっています。

    DCOM のポートを開く方法の詳細については、「DCOM のポートを開く」を参照してください。
  2. コンピュータ A では、逆接続を完了できるように、クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加します。

    Unsecapp.exe アプリケーションがクライアント アプリケーションになることがよくあります。Unsecapp.exe アプリケーションは、DCOM サービスとしてのアクセス許可がない可能性がある処理の実行中に、クライアントに結果を送信するために使用されます。スクリプティングおよび Microsoft .NET の System.Management 名前空間はどちらも、非同期操作の結果を受信するために Unsecapp.exe アプリケーションに依存しています。

    クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する方法の詳細については、「クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する」を参照してください。
  3. 逆接続が非同期接続として作成される場合は、DCOM のリモートからの起動のアクセス許可をコンピュータ A の匿名ログオン アカウントに与えます。次のいずれかの条件に該当する場合に、逆接続が非同期接続として作成されます。
    • コンピュータ B がワークグループのメンバになっています。
    • コンピュータ B がコンピュータ A と同じドメインに存在せず、コンピュータ B のドメインが信頼される側のドメインになっていません。
    詳細については、「DCOM のリモート起動のアクセス許可を与える」を参照してください。
  4. 逆接続のセキュリティはできるだけ高く設定します。詳細については、次の MSDN (Microsoft Developer Network) Web サイトを参照してください。
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx

リモート管理を許可する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
  2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
  3. [Windows ファイアウォール: リモート管理の例外を許可する] を右クリックし、[プロパティ] をクリックします。
  4. [有効] をクリックし、[OK] をクリックします。

DCOM のリモート起動のアクセス許可を与える

  1. [スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、DCOMCNFG と入力して [OK] をクリックします。
  2. [コンポーネント サービス]、[コンピュータ]、[マイ コンピュータ] を順に展開します。

    注 : 操作中に [Windows セキュリティの重要な警告] ダイアログ ボックスが表示される場合は、[ブロックを解除する] または [後で確認する] をクリックします。
  3. ツール バーの [マイ コンピュータの構成] をクリックします。

    [マイ コンピュータ] ダイアログ ボックスが表示されます。
  4. [マイ コンピュータ] ダイアログ ボックスの [COM セキュリティ] タブをクリックします。
  5. [起動とアクティブ化のアクセス許可] の [制限の編集] をクリックします。
  6. [起動許可] ダイアログ ボックスで、ユーザー名またはグループが [グループまたはユーザー名] ボックスの一覧に表示されていない場合は、以下の手順を実行します。
    1. [起動許可] ダイアログ ボックスで [追加] をクリックします。
    2. [ユーザー または グループの選択] ダイアログ ボックスで、ユーザー名とグループを [選択するオブジェクト名を入力してください] ボックスに追加し、[OK] をクリックします。
  7. [起動許可] ダイアログ ボックスで、[グループまたはユーザー名] ボックスの一覧のユーザーとグループをクリックします。[User のアクセス許可] で [許可] 列の [リモートからの起動] チェック ボックスをオンにし、[OK] をクリックします。

DCOM のポートを開く

Windows ファイアウォールでポートを有効にする前に、グループ ポリシーの [Windows ファイアウォール: ローカル ポートの例外を許可する] 設定が有効になっていることを確認します。これを行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
  2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
  3. [Windows ファイアウォール: ローカル ポートの例外を許可する] を右クリックし、[プロパティ] をクリックします。
  4. [有効] をクリックし、[OK] をクリックします。
: [Windows ファイアウォール: ポートの例外を定義する] の設定を使用して、ローカル ポートの例外を構成することもできます。

DCOM ポートは TCP 135 です。DCOM ポートを開くには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
  2. [Windows ファイアウォール] をダブルクリックし、[例外] タブをクリックします。
  3. [ポートの追加] をクリックします。
  4. [名前] ボックスに DCOM_TCP135 と入力し、[ポート番号] ボックスに 135 と入力します。
  5. [TCP] をクリックし、[OK] をクリックします。
  6. [OK] をクリックします。
: コマンド プロンプトで次のコマンドを入力して、ポートを開くこともできます。
netsh firewall add portopening [TCP/UDP][Port][Name]

クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加する

Windows ファイアウォールでプログラムの例外を定義する前に、グループ ポリシーの [Windows ファイアウォール: ローカル プログラムの例外を許可する] の設定が有効になっていることを確認します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
  2. [ローカル コンピュータ ポリシー] の下で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] を順に展開し、[ドメイン プロファイル] をクリックします。
  3. [Windows ファイアウォール: ローカル プログラムの例外を許可する] を右クリックし、[プロパティ] をクリックします。
  4. [有効] をクリックし、[OK] をクリックします。
: [Windows ファイアウォール: プログラムの例外を定義する] の設定を使用して、ローカル プログラムの例外を構成することもできます。

クライアント アプリケーションを Windows ファイアウォールの例外の一覧に追加するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
  2. [Windows ファイアウォール] をダブルクリックし、[例外] タブをクリックします。
  3. [プログラムの追加] をクリックします。
  4. 追加するアプリケーションを指定して、[OK] をクリックします。
  5. [OK] をクリックします。
: コマンド プロンプトで次のコマンドを入力して、Windows ファイアウォールの例外の一覧にプログラムを追加することもできます。
netsh firewall add allowedprogram [<Path>\ProgramName] [ENABLE/DISABLE]

システム情報ツール (Msinfo32.exe) を使用して、Microsoft Windows XP SP2 を実行しているリモート コンピュータに接続すると、次のエラー メッセージが表示されます。
computer name への接続を確立できませんでした。ネットワーク パスが正しいか、WMI (Windows Management Instrumentation) にアクセスするのに十分なアクセス許可があるか、WMI (Windows Management Instrumentation) がコンピュータにインストールされているか確認してください。
: このメッセージの computer name はプレースホルダです。

この問題を回避するには、「リモート管理を許可する」に記載されている手順を実行します。

関連情報

詳細については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?amp;displaylang=ja&familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=ja
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
875357 Windows XP Service Pack 2 における Windows ファイアウォールの設定のトラブルシューティング

プロパティ

文書番号: 875605 - 最終更新日: 2007年1月11日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Management Instrumentation 1.5
キーワード:?
kbinfo kbtshoot KB875605
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com