Jak rozwiązywać problemy z usługą WMI w systemie Windows XP z dodatkiem SP2

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 875605 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Pewne zmiany blokady zabezpieczeń wprowadzone w systemie Microsoft Windows XP z dodatkiem Service Pack 2 (SP2) mogą być przyczyną problemów z usługą Instrumentacja zarządzania Windows (WMI), szczególnie w scenariuszach zdalnych. Na przykład w systemie Windows XP z dodatkiem SP2 domyślnie jest włączona Zapora systemu Windows. Ponadto ograniczenia DCOM w systemie Windows XP z dodatkiem SP2 są inne niż ograniczenia DCOM w starszych wersjach systemu Windows.

Wprowadzenie

Z powodu pewnych zmian zabezpieczeń w systemie Microsoft Windows XP z dodatkiem SP2 przy próbie uzyskania dostępu do usługi WMI może się pojawić komunikat o błędzie „Odmowa dostępu”. Mogą również występować problemy podczas uzyskiwania dostępu do komputera z systemem innym niż Windows XP z dodatkiem SP2 z komputera z systemem Windows XP z dodatkiem SP2, jeśli jest używana kwerenda asynchroniczna.

Rozwiązywanie problemów z usługą WMI w systemie Windows XP z dodatkiem SP2

Rozwiązując problemy z usługą WMI, najpierw należy ustalić, czy problem jest lokalny, czy zdalny. W tym celu należy spróbować uzyskać dostęp do usługi WMI lokalnie, aby wykluczyć problemy z siecią. Jeśli problem występuje nawet w przypadku uzyskiwania dostępu do usługi WMI lokalnie, oznacza to, że problem nie jest związany ze zmianami zabezpieczeń w systemie Windows XP z dodatkiem SP2.

Jeśli problem nie występuje w przypadku uzyskiwania dostępu do usługi WMI lokalnie, oznacza to, że problem może być związany z Zaporą systemu Windows i modelem DCOM. W przypadku wykonywania zdalnej operacji WMI z komputera A na komputerze B musi zostać ustanowione połączenie DCOM między komputerem A a komputerem B. Na komputerze B Zapora systemu Windows i model DCOM muszą być skonfigurowane tak, aby pozwalały na to połączenie. Jeśli operacja WMI jest synchroniczna lub półsynchroniczna, wymagane jest tylko jedno połączenie. Jeśli jednak operacja WMI jest asynchroniczna, wymagane jest jeszcze jedno połączenie między komputerami A i B.
Zwiń ten obrazekRozwiń ten obrazek
Ilustracja 1. Jeśli operacja WMI jest asynchroniczna, jest wymagane połączenie 2
Aby ustanowić połączenie 1 między komputerami A i B, wykonaj następujące kroki:
  1. Jeśli na komputerze B jest włączona Zapora systemu Windows, włącz ustawienie Zapora systemu Windows: zezwalaj na wyjątek administracji zdalnej. W systemie Windows XP z dodatkiem SP2 Zapora systemu Windows jest domyślnie włączona.

    Aby uzyskać więcej informacji na temat sposobu włączenia tego ustawienia, zobacz sekcję Zezwolenie na administrację zdalną.
  2. Jeśli żądanie zdalne pochodzi od użytkownika, który nie jest administratorem, należy się upewnić, że ma on uprawnienia do uruchamiania zdalnego w modelu DCOM na komputerze B.

    Aby uzyskać więcej informacji, zobacz sekcję Udzielenie uprawnień do uruchamiania zdalnego w modelu DCOM.
Połączenie 2 jest wymagane tylko w przypadku wykonywania asynchronicznej operacji WMI. Jeśli to możliwe, zaleca się, aby w zamian użyć operacji półsynchronicznej. Wpływ na wydajność jest niewielki, a operacja półsynchroniczna pozwala na te same funkcje, lecz nie wymaga połączenia odwrotnego.

Jeśli trzeba użyć operacji asynchronicznej, wykonaj następujące kroki:
  1. Jeśli na komputerze A jest włączona Zapora systemu Windows, otwórz port DCOM. W systemie Windows XP z dodatkiem SP2 Zapora systemu Windows jest domyślnie włączona.

    Aby uzyskać więcej informacji na temat sposobu otwarcia portu DCOM, zobacz sekcję Otwarcie portu DCOM.
  2. Na komputerze A należy dodać aplikację kliencką do listy wyjątków Zapory systemu Windows, aby było możliwe ustanowienie połączenia odwrotnego.

    Tą aplikacją kliencką często jest aplikacja Unsecapp.exe. Aplikacja Unsecapp.exe jest używana w celu wysłania wyników z powrotem na klienta w procesie, który może nie mieć uprawnień do działania jako usługa DCOM. Aplikacja Unsecapp.exe jest używana do odbierania wyników operacji asynchronicznych zarówno w skryptach, jaki i w obszarze nazw System.Management środowiska Microsoft .NET.

    Aby uzyskać więcej informacji na temat sposobu dodania aplikacji klienckiej do listy wyjątków Zapory systemu Windows, zobacz sekcję Dodanie aplikacji klienckiej do listy wyjątków Zapory systemu Windows.
  3. Jeśli połączenie odwrotne jest tworzone jako połączenie anonimowe, to kontu logowania anonimowego na komputerze A należy udzielić uprawnień do uruchamiania zdalnego w modelu DCOM. Połączenie odwrotne jest tworzone jako połączenie anonimowe, jeśli jest spełniony jeden z następujących warunków:
    • Komputer B należy do grupy roboczej.
    • Komputer B nie należy do tej samej domeny co komputer A i domena komputera B nie jest domeną zaufaną.
    Aby uzyskać więcej informacji, zobacz sekcję Udzielenie uprawnień do uruchamiania zdalnego w modelu DCOM.
  4. Połączenie odwrotne powinno być zabezpieczone najlepiej jak to możliwe. Aby uzyskać więcej informacji, odwiedź następującą witrynę MSDN (Microsoft Developer Network) w sieci Web:
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx

Zezwolenie na administrację zdalną

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz gpedit.msc, a następnie kliknij przycisk OK.
  2. W obszarze Katalog główny konsoli rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Szablony administracyjne, rozwiń węzeł Sieć, rozwiń węzeł Połączenia sieciowe, rozwiń węzeł Zapora systemu Windows, a następnie kliknij pozycję Profil domeny.
  3. Kliknij prawym przyciskiem myszy pozycję Zapora systemu Windows: zezwalaj na wyjątek administracji zdalnej, a następnie kliknij polecenie Właściwości.
  4. Kliknij opcję Włączone, a następnie kliknij przycisk OK.

Udzielenie uprawnień do uruchamiania zdalnego w modelu DCOM

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz DCOMCNFG, a następnie kliknij przycisk OK.
  2. W oknie dialogowym Usługi składowe rozwiń węzeł Usługi składowe, rozwiń węzeł Komputery, a następnie rozwiń węzeł Mój komputer.
  3. Na pasku narzędzi kliknij przycisk Konfiguruj mój komputer.

    Zostanie wyświetlone okno dialogowe Mój komputer.
  4. W oknie dialogowym Mój komputer kliknij kartę Zabezpieczenia COM.
  5. W obszarze Uprawnienia uruchamiania i aktywacji kliknij przycisk Edytuj limity.
  6. W oknie dialogowym Uprawnienia uruchamiania wykonaj następujące kroki, jeśli Twojej nazwy lub grupy nie ma na liście Nazwy grupy lub użytkownika:
    1. W oknie dialogowym Uprawnienia uruchamiania kliknij przycisk Dodaj.
    2. W oknie dialogowym Wybieranie: Użytkownicy, Komputery lub Grupy dodaj swoją nazwę i grupę w polu Wprowadź nazwy obiektów do wybrania, a następnie kliknij przycisk OK.
  7. W oknie dialogowym Uprawnienia uruchamiania zaznacz swoją nazwę użytkownika i grupę w polu Nazwy grupy lub użytkownika. W kolumnie Zezwalaj w obszarze Uprawnienia dla Użytkownicy zaznacz pole wyboru Uruchamianie zdalne, a następnie kliknij przycisk OK.

Otwarcie portu DCOM

Przed włączeniem portów w Zaporze systemu Windows należy się upewnić, że jest włączone ustawienie Zapora systemu Windows: zezwalaj na wyjątki portów lokalnych w zasadach grupy. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz gpedit.msc, a następnie kliknij przycisk OK.
  2. W obszarze Katalog główny konsoli rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Szablony administracyjne, rozwiń węzeł Sieć, rozwiń węzeł Połączenia sieciowe, rozwiń węzeł Zapora systemu Windows, a następnie kliknij pozycję Profil domeny.
  3. Kliknij prawym przyciskiem myszy pozycję Zapora systemu Windows: zezwalaj na wyjątki portów lokalnych, a następnie kliknij polecenie Właściwości.
  4. Kliknij opcję Włączone, a następnie kliknij przycisk OK.
Uwaga W celu skonfigurowania wyjątków portów lokalnych można również użyć ustawienia Zapora systemu Windows: zdefiniuj wyjątki portów.

Portem DCOM jest port TCP 135. Aby otworzyć port DCOM, wykonaj następujące kroki:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
  2. Kliknij dwukrotnie aplet Zapora systemu Windows, a następnie kliknij kartę Wyjątki.
  3. Kliknij przycisk Dodaj port.
  4. W polu Nazwa wpisz DCOM_TCP135, a następnie wpisz 135 w polu Numer portu.
  5. Kliknij opcję TCP, a następnie kliknij przycisk OK.
  6. Kliknij przycisk OK.
Uwaga Aby otworzyć port, można również wpisać następujące polecenie w wierszu polecenia:
netsh firewall add portopening [TCP/UDP][Port][Nazwa]

Dodanie aplikacji klienckiej do listy wyjątków Zapory systemu Windows

Przed zdefiniowaniem wyjątków programów w Zaporze systemu Windows należy się upewnić, że jest włączone ustawienie Zapora systemu Windows: zezwalaj na wyjątki programów lokalnych w zasadach grupy:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz gpedit.msc, a następnie kliknij przycisk OK.
  2. W obszarze Katalog główny konsoli rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Szablony administracyjne, rozwiń węzeł Sieć, rozwiń węzeł Połączenia sieciowe, rozwiń węzeł Zapora systemu Windows, a następnie kliknij pozycję Profil domeny.
  3. Kliknij prawym przyciskiem myszy pozycję Zapora systemu Windows: zezwalaj na wyjątki programów lokalnych, a następnie kliknij polecenie Właściwości.
  4. Kliknij opcję Włączone, a następnie kliknij przycisk OK.
Uwaga W celu skonfigurowania wyjątków programów lokalnych można również użyć ustawienia Zapora systemu Windows: zdefiniuj wyjątki programów.

Aby dodać aplikację kliencką do listy wyjątków Zapory systemu Windows, wykonaj następujące kroki:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
  2. Kliknij dwukrotnie aplet Zapora systemu Windows, a następnie kliknij kartę Wyjątki.
  3. Kliknij przycisk Dodaj program.
  4. Zlokalizuj aplikację, którą chcesz dodać, a następnie kliknij przycisk OK.
  5. Kliknij przycisk OK.
Uwaga Aby dodać program do listy wyjątków Zapory systemu Windows, można również wpisać następujące polecenie w wierszu polecenia:
netsh firewall add allowedprogram [<Ścieżka>\Nazwa_programu] [ENABLE/DISABLE]

Przykład

Podczas próby użycia narzędzia Informacje o systemie, Msinfo32.exe, w celu połączenia się z komputerem zdalnym z systemem Microsoft Windows XP z dodatkiem SP2 pojawia się następujący komunikat o błędzie:
Nie można ustanowić połączenia z nazwa komputera. Sprawdź, że nazwa ścieżki sieciowej jest poprawna, masz wystarczające uprawnienia dostępu do Instrumentacji zarządzania Windows, i że Instrumentacja zarządzania Windows jest zainstalowana na tym komputerze.
Uwaga W tym komunikacie nazwa komputera jest symbolem zastępczym.

Aby obejść ten problem, wykonaj kroki opisane w sekcji Zezwolenie na administrację zdalną.

Materiały referencyjne

Aby uzyskać dodatkowe informacje, odwiedź następujące witryny firmy Microsoft w sieci Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
875357 Rozwiązywanie problemów z ustawieniami Zapory systemu Windows w systemie Windows XP z dodatkiem Service Pack 2

Właściwości

Numer ID artykułu: 875605 - Ostatnia weryfikacja: 13 kwietnia 2007 - Weryfikacja: 3.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Instrumentacja zarządzania Microsoft Windows 1.5
Słowa kluczowe: 
kbinfo kbtshoot KB875605

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com