Behandlung von WMI-Problemen in Windows XP SP2

Zusammenfassung

Anzahl der Security Lockdown Änderungen in Microsoft Windows XP Service Pack 2 (SP2) möglicherweise Probleme mit der Windows-Verwaltungsinstrumentation (WMI) insbesondere remote-Szenarien. Beispielsweise ist die Windows-Firewall in Windows XP SP2 standardmäßig aktiviert. Außerdem unterscheiden sich DCOM Restrictions in Windows XP SP2 DCOM Einschränkung in früheren Versionen von Windows.

Einführung

Aufgrund Sicherheit erhalten Sie Fehlermeldungen "Zugriff verweigert" beim Zugriff auf WMI in Microsoft Windows XP SP2. Sie können auch Probleme beim Zugriff auf nicht-Windows XP SP2-basierten Computer von einem Windows XP SP2-Computer eine asynchrone Abfrage verwenden.

zurück zum Anfang

Problembehandlung bei WMI-Problemen in Windows XP SP2

Bei der Problembehandlung von WMI-Problemen zuerst bestimmen Sie, ob das Problem lokal oder remote. Zu diesem Zweck versuchen Sie WMI lokal Netzwerkprobleme auszuschließen. Tritt das Problem auch wenn Sie WMI lokal zugreifen, wird das Problem nicht Änderungen der Sicherheit in Windows XP SP2 zusammen.

Wenn das Problem nicht auftritt, wenn WMI lokal zugreifen, kann das Problem in Windows-Firewall und DCOM zusammenhängen. Beim Ausführen von remote WMI-Operation von einem Computer A mit Computer B muss DCOM-Verbindung von Computer A und Computer b hergestellt werden Auf Computer B muss die Windows-Firewall und DCOM konfiguriert werden die Verbindung. Die WMI-Operation synchron oder halbsynchron ist nur eine Verbindung erforderlich. Wenn die WMI-Operation asynchron ist, ist eine weitere Verbindung von Computer B zu Computer A erforderlich.
Figure 1: Connection 2 is required when the WMI operation is asynchronous
Zum Herstellen einer Verbindung 1 zwischen Computer A und Computer B folgendermaßen Sie vor:
  1. Wenn Windows-Firewall auf Computer B aktiviert ist, aktivieren Sie die Windows-Firewall: Remoteverwaltungsausnahme zulassen festlegen. Standardmäßig ist Windows-Firewall in Windows XP SP2 aktiviert.

    Weitere Informationen zum Aktivieren dieser Einstellung finden Sie im Abschnitt Remoteverwaltung zulassen .
  2. Stellen Sie Benutzer, die Remoteanforderung ist kein Administrator ist, sicher, dass der Benutzer auf Computer b DCOM-Remotestartberechtigungen verfügt

    Weitere Informationen finden Sie im Abschnitt gewähren DCOM-Remotestartberechtigungen .
Verbindung 2 ist nur bei Verwendung eine asynchrone WMI-Operation erforderlich. Sofern möglich, empfehlen wir, eine halbsynchrone Operation zu verwenden. Die Auswirkung auf die Leistung ist klein und eine halbsynchrone Operation bietet die gleiche Funktionalität, jedoch keine Verbindung in umgekehrter Richtung.

Wenn Sie eine asynchrone Operation verwenden müssen, gehen Sie folgendermaßen vor:
  1. Wenn Windows-Firewall auf Computer A aktiviert ist, öffnen Sie den DCOM-Port. Standardmäßig ist Windows-Firewall in Windows XP SP2 aktiviert.

    Weitere Informationen dazu, wie Sie den DCOM-Port öffnen Abschnitt der DCOM-Port öffnen .
  2. Auf Computer A Hinzufügen der Clientanwendung die Ausnahmenliste der Windows-Firewall, die Verbindung in umgekehrter Richtung abgeschlossen werden kann.

    Die Clientanwendung ist häufig die Anwendung Unsecapp.exe. Die Anwendung Unsecapp.exe dient die Ergebnisse an einen Client in einem Prozess, die Berechtigungen für eine DCOM-Dienst nicht. Scripting und Microsoft .NET System.Management -Namespace basieren auf Unsecapp.exe Anwendung der Ergebnisse asynchroner Vorgänge.

    Weitere Informationen zum Hinzufügen der Clientanwendung zur Ausnahmeliste von Windows-Firewall finden Sie im Abschnitt die Clientanwendung die Ausnahmenliste der Windows-Firewall hinzufügen .
  3. Wenn die Verbindung in umgekehrter Richtung als anonyme Verbindung erstellt wird, gewähren Sie Remotestartberechtigungen in DCOM, anonymen Anmeldekonto auf Computer A. Die Verbindung in umgekehrter Richtung wird als anonyme Verbindung erstellt, wenn Folgendes zutrifft:
    • Computer B ist Mitglied einer Arbeitsgruppe.
    • Computer B gehört nicht derselben Domäne wie Computer A und Computer B Bereich ist keiner vertrauenswürdigen Domäne.
    Weitere Informationen finden Sie im Abschnitt gewähren DCOM-Remotestartberechtigungen .
  4. Stellen Sie die Verbindung in umgekehrter Richtung so sicher wie möglich. Weitere Informationen finden Sie auf der folgenden Microsoft Developer Network (MSDN)-Website:
zurück zum Anfang

Remoteverwaltung zulassen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc einund klicken Sie dann auf OK.
  2. Unter Konsolenstammerweitern Sie Computerkonfiguration, AdministrativeVorlagen Erweitern, Netzwerkanschlüsseerweitern, erweitern Sie Windows-Firewallund klicken Sie dann auf Domäne.
  3. Mit der rechten Maustaste Windows-Firewall: Remoteverwaltungsausnahme zulassen, und klicken Sie dann auf
    Eigenschaften.
  4. Klicken Sie auf aktiviert, und klicken Sie dann auf
    OK.
zurück zum Anfang

GRANT DCOM-Remotestartberechtigungen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcomcnfg einund klicken Sie dann auf OK.
  2. Im Dialogfeld Komponentendienste erweitern Sie Komponentendienste, Computer, und erweitern Sie Arbeitsplatz.
  3. Klicken Sie auf Arbeitsplatz konfigurieren , auf der Symbolleiste.

    Das Dialogfeld Arbeitsplatz wird angezeigt.
  4. Klicken Sie in Arbeitsplatz auf die
    Registerkarte COM-Sicherheit .
  5. Klicken Sie unter Start- und Aktivierungsberechtigungenauf Limits bearbeiten.
  6. Klicken Sie im Dialogfeld Startberechtigung folgendermaßen Sie erscheint Ihr Name oder Ihre Gruppe nicht in der Liste Gruppen- oder Benutzernamen
    1. Klicken Sie im Feld Startberechtigung auf Hinzufügen.
    2. Fügen Sie Ihren Namen und die Gruppe im Feld Geben Sie die zu verwendenden Objektnamen ein im Dialogfeld Benutzer, Computer oder Gruppen auswählen und dann auf
      OK.
  7. Wählen Sie im Feld Startberechtigung Ihre Benutzer- und im Feld Gruppen-oder Benutzernamen . In der Spalte Zulassen die Berechtigungen für Benutzer Remotestartwählen Sie aus und dann auf
    OK.
zurück zum Anfang

DCOM-Port öffnen

Bevor Sie Ports in der Windows-Firewall aktivieren, stellen sicher, dass die Windows-Firewall: Ausnahmen für lokale Ports zulassen in der Gruppenrichtlinie aktiviert ist. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc einund klicken Sie dann auf OK.
  2. Unter Konsolenstammerweitern Sie Computerkonfiguration, AdministrativeVorlagen Erweitern, Netzwerkanschlüsseerweitern, erweitern Sie Windows-Firewallund klicken Sie dann auf Domäne.
  3. Mit der rechten Maustaste Windows-Firewall: Ausnahmen für lokale Ports zulassen, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf aktiviert, und klicken Sie dann auf
    OK.
Hinweis Sie können auch die Windows-Firewall: Portausnahmen Einstellung Ausnahmen für lokale Ports konfigurieren.

Der DCOM-Port ist TCP 135. Gehen folgendermaßen Sie vor, um DCOM-Port öffnen
  1. Klicken Sie auf Start, und klicken Sie dann auf
    Bedienfeld.
  2. Doppelklicken Sie auf Windows-Firewall, und klicken Sie dann auf die Registerkarte Ausnahmen .
  3. Klicken Sie auf Anschluss hinzufügen.
  4. Geben Sie im Feld Name DCOM_TCP135, und geben Sie im Feld Port 135 .
  5. Klicken Sie auf TCP, und klicken Sie dann auf
    OK.
  6. Klicken Sie auf OK.
Hinweis Den folgenden Befehl geben Sie an der Befehlszeile einen Port öffnen:
Netsh Firewall hinzufügen portopening lautet folgendermaßen [TCP/UDP][Port][Name]
zurück zum Anfang

Die Ausnahmenliste der Windows-Firewall eine Clientanwendung hinzufügen

Bevor Sie Programmausnahmen in der Windows-Firewall definieren, stellen Sie sicher, dass die die Windows-Firewall: Ausnahmen für lokale Programme zulassen in der Gruppenrichtlinie aktiviert ist:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc einund klicken Sie dann auf OK.
  2. Unter Konsolenstammerweitern Sie Computerkonfiguration, AdministrativeVorlagen Erweitern, Netzwerkanschlüsseerweitern, erweitern Sie Windows-Firewallund klicken Sie dann auf Domäne.
  3. Mit der rechten Maustaste Windows-Firewall: Ausnahmen für lokale Programme zulassen, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf aktiviert, und klicken Sie dann auf
    OK.
Hinweis Sie können auch die Windows-Firewall: Programmausnahmen Einstellung Ausnahmen für lokale Programme konfigurieren.

Gehen Sie folgendermaßen vor, um die Ausnahmenliste der Windows-Firewall eine Clientanwendung hinzuzufügen:
  1. Klicken Sie auf Start, und klicken Sie dann auf
    Bedienfeld.
  2. Doppelklicken Sie auf Windows-Firewall, und klicken Sie dann auf die Registerkarte Ausnahmen .
  3. Klicken Sie auf Programm hinzufügen.
  4. Suchen Sie die Anwendung, und dann auf
    OK.
  5. Klicken Sie auf OK.
Hinweis Befehlszeile Hinzufügen eines Programms zur Ausnahmeliste von Windows Firewall können Sie auch den folgenden Befehl eingeben:
Netsh Firewall hinzufügen Allowedprogram [< Pfad > \ProgramName] [Aktivieren]
zurück zum Anfang

Beispiel

Wenn Sie versuchen, den Systeminformationen Msinfo32.exe, eine Remoteverbindung herzustellen, auf dem Microsoft Windows XP SP2 ausgeführt wird, wird die folgende Fehlermeldung angezeigt:
Die Verbindung zum Computernamen konnte nicht hergestellt werden. Überprüfen Sie, dass der Netzwerkpfad richtig ist haben Sie über ausreichende Berechtigungen zum Zugriff auf Windows-Verwaltungsinstrumentation und WMI-Dienst auf dem Computer installiert ist.
Hinweis In dieser Meldung steht Computername .

Um dieses Problem zu umgehen, die die Remoteverwaltung zulassen im Abschnitt erwähnten Schritte aus.

zurück zum Anfang

Referenzen

Weitere Informationen finden Sie auf der folgenden Microsoft-Websites:Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

875357 Problembehandlung bei Windows Firewall Settings in Windows XP Service Pack 2

zurück zum Anfang
Eigenschaften

Artikelnummer: 875605 – Letzte Überarbeitung: 16.01.2017 – Revision: 2

Feedback