Så här felsöker du WMI-relaterade problem i Windows XP SP2

Sammanfattning

Ett antal förändringar för ökad säkerhet i Microsoft Windows XP Service Pack 2 (SP2) kan orsaka problem med Windows Management Instrumentation (WMI), särskilt när fjärradministrering används. Till exempel aktiveras Windows-brandväggen som standard i Windows XP SP2. Dessutom skiljer sig DCOM-begränsningarna i Windows XP SP2 från begränsningarna i tidigare versioner av Windows.

Inledning

Eftersom säkerheten har ändrats kan felmeddelanden om "åtkomst nekad" visas när du använder WMI i Microsoft Windows XP SP2. Det kan även uppstå problem när du ansluter till en dator som inte har Windows XP SP2 från en Windows XP SP2-baserad dator om du använder asynkrona frågor.

Överst på sidan

Felsöka WMI-relaterade problem i Windows XP SP2

När du felsöker WMI-relaterade problem ska du först avgöra om problemet uppstår lokalt eller inte. Försök att utesluta nätverksproblem genom att starta WMI lokalt. Om problemet uppkommer när du startar WMI lokalt, har det inte att göra med säkerhetsändringarna i Windows XP SP2.

Om det inte uppkommer lokalt, kan problemet finnas i Windows-brandväggen och i DCOM. När du utför en fjärråtgärd för WMI från dator A på dator B, måste en DCOM-anslutning upprättas mellan datorerna. På dator B måste både Windows-brandväggen och DCOM konfigureras så att anslutningen tillåts. Om WMI-åtgärden är synkron eller semi-synkron, behövs endast en anslutning. Men om WMI-åtgärden är synkron, behövs ytterligare en anslutning från dator B till dator A.
Figur 1: Anslutning 2 krävs när WMI-åtgärden är asynkron
Gör så här för att upprätta anslutning 1 mellan dator A och dator B:
 1. Om Windows-brandväggen är aktiverad på dator B ska du aktivera inställningen Windows-brandväggen: Tillåt undantag för fjärradministration. Normalt är Windows-brandväggen aktiverad i Windows XP SP2.

  Det finns mer information om hur du aktiverar inställningen i avsnittet Tillåta fjärradministrering.
 2. Om användaren som utför fjärrbegäran inte är administratör, ska du se till att användaren har fjärrstartbehörighet för DCOM på dator B.

  Det finns mer information i avsnittet Bevilja fjärrstartbehörighet för DCOM.
Anslutning 2 krävs endast när u använder en asynkron WMI-åtgärd. Vi rekommenderar att du i stället använder en semi-synkron anslutning, om det går. Prestanda påverkas i liten utsträckning och med en semi-synkron åtgärd får du samma funktioner utan att det behövs en anslutning i motsatt riktning.

Gör så här om du måste använda en asynkron åtgärd:
 1. Öppna DCOM-porten om Windows-brandväggen är aktiverad på dator A. Normalt är Windows-brandväggen aktiverad i Windows XP SP2.

  Det finns mer information om hur du öppnar DCOM-porten i avsnittet Öppna DCOM-porten.
 2. På dator A lägger du till klientprogrammet i Windows-brandväggens undantagslista så att anslutningen i motsatt riktning kan upprättas.

  Klientprogrammet är vanligtvis Unsecapp.exe, vilket används för att skicka tillbaka resultat till en klient i en process som kanske saknar behörighet att köras som DCOM-tjänst. Programmet och asynkrona åtgärder används både vid skriptkörning och i System.Management-namnområdet i Microsoft .NET.

  Det finns mer information om hur du lägger till klientprogrammet i Windows-brandväggens undantagslista i avsnittet Lägga till klientprogrammet i Windows-brandväggens undantagslista.
 3. Om anslutningen i motsatt riktning skapas som en anonym anslutning ska du bevilja fjärrstartbehörighet i DCOM till det anonyma kontot på dator A. Anslutningen i motsatt riktning skapas som en anonym anslutning under följande villkor:
  • Dator är medlem i en arbetsgrupp.
  • Dator B finns inte i samma domän som dator A och dator B:s domän är inte betrodd.
  Det finns mer information i avsnittet Bevilja fjärrstartbehörighet för DCOM.
 4. Gör anslutningen i motsatt riktning så säker som möjligt. Det finns mer information på följande MSDN-webbplats (Microsoft Developer Network):
Överst på sidan

Tillåta fjärradministrering

 1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
 2. Under Konsolrot expanderar du Datorkonfiguration, Administrativa mallar, Nätverk, Nätverksanslutningar, Windows-brandväggen och klickar sedan på Domänprofil.
 3. Högerklicka på Windows-brandväggen: Tillåt undantag för fjärradministration och klicka sedan på Egenskaper.
 4. Klicka på Aktiverad och sedan på OK.
Överst på sidan

Bevilja fjärrstartbehörighet för DCOM

 1. Klicka på Start, Kör, skriv dcomcnfg och klicka sedan på OK.
 2. I dialogrutan Komponenttjänster expanderar du Komponenttjänster, Datorer och Den här datorn.
 3. Klicka på knappen Konfigurera den här datorn i verktygsfältet.

  Dialogrutan Den här datorn visas.
 4. Klicka på fliken Den här datorn i dialogrutan COM-säkerhet.
 5. Klicka på Redigera gränser under Behörigheter för start och aktivering.
 6. Gör följande i dialogrutan Startbehörighet om ditt namn eller din grupp inte visas i listan Grupper eller användarnamn:
  1. Klicka på Lägg till i dialogrutan Startbehörighet.
  2. Lägg till ditt namn och grupp i rutan Ange de objektnamn som ska väljas i dialogrutan Välj användare, datorer och grupper och klicka sedan på OK.
 7. Markera din användare och grupp i rutan Grupp- eller användarnamn: i dialogrutan Startbehörighet . Markera Fjärrstart i kolumnen Tillåt under Behörigheter för användare och klicka sedan på OK.
Överst på sidan

Öppna DCOM-porten

Innan du öppnar portar i Windows-brandväggen ska du kontrollera att inställningen Windows-brandväggen: Tillåt lokala portundantagär aktiverad i Grupprincip. Gör så här:
 1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
 2. Under Konsolrot expanderar du Datorkonfiguration, Administrativa mallar, Nätverk, Nätverksanslutningar, Windows-brandväggen och klickar sedan på Domänprofil.
 3. Högerklicka på Windows-brandväggen: Tillåt lokala portundantag och klicka sedan på Egenskaper.
 4. Klicka på Aktiverad och sedan på OK.
Obs! Du kan även använda inställningen Windows-brandväggen: Definiera portundantag för att konfigurera lokala portundantag.

DCOM-porten är TCP 135. Gör så här om du vill öppna den:
 1. Klicka på Start och sedan på Kontrollpanelen.
 2. Dubbelklicka på Windows-brandväggen och klicka sedan på fliken Undantag.
 3. Klicka på Lägg till port.
 4. Skriv DCOM_TCP135 i rutan Namn och skriv sedan 135 i rutan Portnummer.
 5. Skriv TCP och klicka på OK.
 6. Klicka på OK.
Obs! Du kan även öppna en port genom att skriva följande kommando på kommandoraden:
netsh firewall add portopening [TCP/UDP][port][namn]
Överst på sidan

Lägga till klientprogrammet i Windows-brandväggens undantagslista

Innan du anger programundantag i Windows-brandväggen ska du kontrollera att inställningen Windows-brandväggen: Tillåt lokala programundantag är aktiverad i Grupprincip:
 1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
 2. Under Konsolrot expanderar du Datorkonfiguration, Administrativa mallar, Nätverk, Nätverksanslutningar, Windows-brandväggen och klickar sedan på Domänprofil.
 3. Högerklicka på Windows-brandväggen: Tillåt lokala programundantag och klicka på Egenskaper.
 4. Klicka på Aktiverad och sedan på OK.
Obs! Du kan även använda inställningen Windows-brandväggen: Definiera programundantag för att konfigurera lokala programundantag.

Så här lägger du till klientprogrammet i Windows-brandväggens undantagslista:
 1. Klicka på Start och sedan på Kontrollpanelen.
 2. Dubbelklicka på Windows-brandväggen och klicka sedan på fliken Undantag.
 3. Klicka på Lägg till program.
 4. Leta reda på programmet du vill lägga till och klicka på OK.
 5. Klicka på OK.
Obs! Du kan även skriva följande kommando på kommandoraden för att lägga till ett program i Windows-brandväggens undantagslista:
netsh firewall add allowedprogram [<sökväg>\programnamn] [ENABLE/DISABLE]
Överst på sidan

Exempel

Följande felmeddelande visas när du använder verktyget Systeminformation (Msinfo32.exe) för att ansluta till en fjärrdator som kör Microsoft Windows XP SP2:
Det gick inte att upprätta en anslutning till datorn datornamn. Kontrollera att nätverkssökvägen är korrekt och att du har tillräcklig behörighet för att använda Windows Management Instrumentation samt att Windows Management Instrumentation har installerats på datorn.
Obs! I detta meddelande är datornamn en platshållare.

Lös problemet genom att följa anvisningarna i avsnittet Tillåta fjärradministrering.

Överst på sidan

Referenser

Det finns mer information på följande Microsoft-webbplatser:Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:

875357 Felsökning av inställningar för Windows-brandväggen i Windows XP Service Pack 2


Överst på sidan
Egenskaper

Artikel-id: 875605 – senaste granskning 11 jan. 2007 – revision: 1

Feedback