Устранение неполадок с инструментарием WMI в Windows XP с пакетом обновления 2 (SP2)

Переводы статьи Переводы статьи
Код статьи: 875605 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Ряд изменений системы безопасности в пакете обновления 2 (SP2) для Windows XP, связанных с блокировкой, может привести к возникновению проблем при использовании инструментария управления Windows (WMI), особенно в удаленном режиме. Например, в Windows XP с пакетом обновления 2 (SP2) по умолчанию включен брандмауэр Windows. Кроме того, ограничения DCOM в Windows XP с пакетом обновления 2 (SP2) отличаются от ограничений в более ранних версиях Windows.

Введение

Изменения, внесенные в конфигурацию системы безопасности, могут привести к ошибкам "Отказано в доступе" при доступе к инструментарию WMI в Windows XP с пакетом обновления 2 (SP2). Кроме того, в некоторых случаях наблюдаются проблемы с получением доступа к компьютеру под управлением операционной системы, отличной от Windows XP с пакетом обновления 2 (SP2), с помощью асинхронного запроса с компьютера под управлением Windows XP с пакетом обновления 2 (SP2).

Устранение неполадок с инструментарием WMI в Windows XP с пакетом обновления 2 (SP2)

В первую очередь необходимо определить, возникает проблема только в удаленном режиме или она является локальной. Для этого попробуйте получить доступ к инструментарию WMI локально, чтобы исключить возможные неполадки в сети. Если проблема возникает даже при локальном доступе к инструментарию WMI, она не имеет отношения к изменению конфигурации системы безопасности в Windows XP с пакетом обновления 2 (SP2).

Если в локальном режиме проблема не наблюдается, возможно, она связана с брандмауэром Windows или DCOM. При выполнении удаленной операции WMI с компьютера A на компьютер B устанавливается подключение DCOM с компьютера A на компьютер B. На компьютере В брандмауэр Windows и модель DCOM должны быть настроены таким образом, чтобы разрешать установку этого подключения. Если операция WMI является синхронной или полусинхронной, то необходимо только одно подключение, а если асинхронной, требуется еще одно подключение от компьютера В к компьютеру А.
Свернуть это изображениеРазвернуть это изображение
Рис. 1. Требуется второе подключение для асинхронной операции WMI
Чтобы установить первое подключение с компьютера A к компьютеру B, выполните указанные ниже действия.
  1. Если на компьютере В включен брандмауэр Windows, включите параметр Брандмауэр Windows: Разрешать исключения для удаленного управления. Брандмауэр Windows включен в Windows XP с пакетом обновления 2 (SP2) по умолчанию.

    Дополнительные сведения о том, как включить этот параметр, см. в разделе Разрешение удаленного администрирования.
  2. Если пользователь, который делает удаленный запрос, не является администратором, он должен иметь разрешение на удаленный запуск DCOM на компьютере В.

    Дополнительные сведения см. в разделе Предоставление разрешений на удаленный запуск DCOM.
Второе подключение необходимо только для асинхронных операций WMI. По возможности вместо них рекомендуется использовать полусинхронные операции. Полусинхронные операции незначительно влияют на производительность и выполняют аналогичные функции, но не требуют установки обратного соединения.

Если требуется использовать асинхронную операцию, выполните перечисленные ниже действия.
  1. Если на компьютере А включен брандмауэр Windows, откройте порт DCOM. Брандмауэр Windows включен в Windows XP с пакетом обновления 2 (SP2) по умолчанию.

    Дополнительные сведения о том, как открыть порт DCOM, см. в разделе Открытие порта DCOM.
  2. Чтобы обратное соединение могло быть установлено, добавьте клиентское приложение в список исключений брандмауэра Windows на компьютере А.

    В качестве клиентского приложения часто выступает Unsecapp.exe. Приложение Unsecapp.exe используется для отправки результатов клиенту, причем процесс может не иметь разрешения на то, чтобы являться службой DCOM. Как сценарии, так и пространство имен Microsoft .NET System.Management получают результаты выполнения асинхронных операций с помощью приложения Unsecapp.exe.

    Дополнительные сведения о том, как добавить клиентское приложение в список исключений брандмауэра Windows, см. в разделе Добавление клиентского приложения в список исключений брандмауэра Windows.
  3. Если создается анонимное обратное соединение, предоставьте анонимной учетной записи на компьютере А разрешение на удаленный запуск в DCOM. Анонимное обратное соединение создается в следующих случаях:
    • если компьютер В является членом рабочей группы;
    • если компьютеры А и В находятся в разных доменах, причем домен компьютера В не является доверенным.
    Дополнительные сведения см. в разделе Предоставление разрешений на удаленный запуск DCOM.
  4. Обеспечьте максимальную безопасность обратного соединения. Дополнительные сведения см. на следующем веб-узле Microsoft Developer Network (MSDN):
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx

Разрешение удаленного администрирования

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. В корне консоли последовательно разверните узлы Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows и выберите узел Профиль домена.
  3. Правой кнопкой мыши щелкните элемент Брандмауэр Windows: Разрешать исключения для удаленного управления и выберите пункт Свойства.
  4. Установите переключатель Включен и нажмите кнопку ОК.

Предоставление разрешений на удаленный запуск DCOM

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду DCOMCNFG и нажмите кнопку .
  2. В диалоговом окне Службы компонентов последовательно разверните узлы Службы компонентов, Компьютеры и Мой компьютер.
  3. На панели инструментов нажмите кнопку Настройка моего компьютера.

    Появится диалоговое окно Мой компьютер.
  4. В диалоговом окне Мой компьютер откройте вкладку Безопасность СОМ.
  5. В разделе Разрешения на запуск и активацию нажмите кнопку Изменить ограничения.
  6. Если требуемое имя пользователя или группы отсутствует в списке Группы или пользователи в диалоговом окне Разрешение на запуск, выполните перечисленные ниже действия.
    1. В диалоговом окне Разрешение на запуск нажмите кнопку Добавить.
    2. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы добавьте нужное имя пользователя или группы в поле Введите имена выбираемых объектов и нажмите кнопку .
  7. В диалоговом окне Разрешение на запуск выберите в списке Группы или пользователи пользователя или группу. В списке Разрешения для пользователя установите в столбце Разрешить флажок Удаленный запуск и нажмите кнопку .

Открытие порта DCOM

Перед тем как открывать порты в брандмауэре Windows, убедитесь, что в групповой политике включен параметр Брандмауэр Windows: Разрешать локальные исключения для портов. Для этого выполните перечисленные ниже действия.
  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. В корне консоли последовательно разверните узлы Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows и выберите узел Профиль домена.
  3. Правой кнопкой мыши щелкните элемент Брандмауэр Windows: Разрешать локальные исключения для портов и выберите пункт Свойства.
  4. Установите переключатель Включен и нажмите кнопку ОК.
Примечание. Кроме того, настроить исключения для портов можно с помощью параметра Брандмауэр Windows: Задать исключения портов.

Модели DCOM сопоставлен TCP-порт 135. Чтобы открыть порт DCOM, выполните перечисленные ниже действия.
  1. Нажмите кнопку Пуск и выберите пункт Панель управления.
  2. Дважды щелкните значок Брандмауэр Windows и откройте вкладку Исключения.
  3. Нажмите кнопку Добавить порт.
  4. В поле Имя введите DCOM_TCP135, а в поле Номер порта введите 135.
  5. Установите переключатель порт ТСР и нажмите кнопку ОК.
  6. Нажмите кнопку ОК.
Примечание. Чтобы открыть порт, можно также ввести следующую команду в командную строку:
netsh firewall add portopening [TCP/UDP][порт][имя]

Добавление клиентского приложения в список исключений брандмауэра Windows

Перед определением исключений в брандмауэре Windows убедитесь в том, что в групповой политике включен параметр Брандмауэр Windows: Разрешать локальные исключения для программ.
  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. В корне консоли последовательно разверните узлы Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows и выберите узел Профиль домена.
  3. Правой кнопкой мыши щелкните элемент Брандмауэр Windows: Разрешать локальные исключения для программ и выберите пункт Свойства.
  4. Установите переключатель Включен и нажмите кнопку ОК.
Примечание. Кроме того, настроить исключения для локальных программ можно с помощью параметра Брандмауэр Windows: Задать исключения для программ.

Чтобы добавить клиентское приложение в список исключений брандмауэра Windows, выполните перечисленные ниже действия.
  1. Нажмите кнопку Пуск и выберите пункт Панель управления.
  2. Дважды щелкните значок Брандмауэр Windows и откройте вкладку Исключения.
  3. Нажмите кнопку Добавить программу.
  4. Найдите необходимую программу и нажмите кнопку ОК.
  5. Нажмите кнопку ОК.
Примечание. Чтобы добавить программу в список исключений брандмауэра Windows, можно также ввести следующую команду в командную строку:
netsh firewall add allowedprogram [<путь>\имя_программы] [ENABLE/DISABLE]

Пример

При использовании программы "Сведения о системе" (файл Msinfo32.exe) для подключения к удаленному компьютеру под управлением Microsoft Windows XP с пакетом обновлений 2 (SP2) выводится следующее сообщение об ошибке:
Не удалось установить подключение к имя_компьютера. Проверьте, правильно ли указан сетевой путь, имеете ли вы достаточно разрешений на доступ к инструментарию управления Windows и что он установлен на том компьютере.
Примечание. В данном сообщении имя_компьютера является прототипом.

Для временного устранения этой проблемы выполните действия, описанные в разделе Разрешение удаленного администрирования.

Ссылки

Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
875357 Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)

Свойства

Код статьи: 875605 - Последний отзыв: 20 марта 2007 г. - Revision: 3.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Management Instrumentation 1.5
Ключевые слова: 
kbinfo kbtshoot KB875605

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com