如何疑難排解 Windows XP SP2 中的 WMI 相關問題

結論
Microsoft Windows XP Service Pack 2 (SP2) 中的一些安全性鎖定變更可能會造成 Windows Management Instrumentation (WMI) 發生問題,特別是在遠端情況中。例如,Windows XP SP2 中的「Windows 防火牆」預設是啟用的。此外,Windows XP SP2 中的 DCOM 限制和舊版 Windows 中的 DCOM 限制也有所不同。
簡介
由於安全性變更,當您在 Microsoft Windows XP SP2 中存取 WMI 時,可能會收到「拒絕存取」錯誤訊息。如果您使用非同步查詢,那麼當您從 Windows XP SP-2 電腦存取非 Windows XP SP2 電腦時,可能也會發生問題。

回到頁首

疑難排解 Windows XP SP2 中的 WMI 相關問題

當您疑難排解 WMI 相關問題時,請先判斷到底是本機或遠端發生問題。如果要執行這項操作,請嘗試本機存取 WMI,以排除網路問題。 如果從本機存取 WMI 還是出現問題,表示問題與 Windows XP SP2 中的安全性變更無關。

如果從本機存取 WMI 沒有出現問題,表示問題可能出在 Windows 防火牆和 DCOM。當您在 A 電腦至 B 電腦之間執行遠端 WMI 作業時,必須從 A 電腦建立 DCOM 連線至 B 電腦,而 B 電腦上的 Windows 防火牆和 DCOM 都必須設定為允許連線。如果 WMI 作業是同步或半同步的,則只需要一個連線。 然而,如果 WMI 作業是非同步,就需要另一個連線從 B 電腦連至 A 電腦。
圖 1:WMI 作業是非同步時,則需要連線 2
如果要在 A 電腦和 B 電腦之間建立連線 1,請依照下列步驟執行:
  1. 如果 B 電腦上已啟用 Windows 防火牆,請啟用 [Windows 防火牆:允許遠端系統管理例外] 設定。Windows XP SP2 中的「Windows 防火牆」預設是啟用的。

    如需有關如何啟用這個設定的詳細資訊,請參閱<允許遠端系統管理>一節。
  2. 如果發出遠端要求的使用者不是系統管理員,請確定該使用者擁有 B 電腦上的 DCOM 遠端啟動權限。

    如需詳細資訊,請參閱<授與 DCOM 遠端啟動權限>一節。
只有在使用非同步 WMI 作業時,才需要連線 2。如果可以,建議您改用半同步作業。 這在效能方面的影響很小,且允許相同的功能,而不需要反向連線。

如果您必須使用非同步作業,請依照下列步驟執行:
  1. 如果 A 電腦上的 Windows 防火牆已啟用,請開啟 DCOM 連接埠。Windows XP SP2 中的「Windows 防火牆」預設是啟用的。

    如需有關如何開啟 DCOM 連接埠的詳細資訊,請參閱<開啟 DCOM 連接埠>一節。
  2. 在 A 電腦上,新增用戶端應用程式至 Windows 防火牆例外清單,即可完成反向連線。

    用戶端應用程式通常會是 Unsecapp.exe 應用程式。Unsecapp.exe 應用程式是用來將處理序中的結果傳回可能沒有權限成為 DCOM 服務的用戶端。指令碼和 Microsoft .NET System.Management 命名空間都需要使用 Unsecapp.exe 應用程式,才能接收非同步作業的結果。

    如需有關如何新增用戶端應用程式至 Windows 防火牆例外清單的詳細資訊,請參閱<新增用戶端應用程式至 Windows 防火牆例外清單>一節。
  3. 如果反向連線是建立做為匿名連線,請將 DCOM 中的「遠端啟動」權限授與 A 電腦上的匿名登入帳戶。如果下列其中一種情況成立,就會建立反向連線做為匿名連線:
    • B 電腦是工作群組的成員。
    • B 電腦和 A 電腦不在相同的網域中,B 電腦的網域屬於不受信任的網域。
    如需詳細資訊,請參閱<授與 DCOM 遠端啟動權限>一節。
  4. 儘可能地保持反向連線的安全。如需詳細資訊,請造訪下列 Microsoft Developer Network (MSDN) 網站:
回到頁首

允許遠端系統管理

  1. 按一下 [開始],再按一下 [執行],輸入 gpedit.msc,然後按一下 [確定]
  2. [主控台根目錄] 下方,依序展開 [電腦設定][系統管理範本][網路][網路連線][Windows 防火牆],然後按一下 [網域設定檔]
  3. 用滑鼠右鍵按一下 [Windows 防火牆:允許遠端系統管理例外],然後按一下 [內容]
  4. 按一下 [已啟用],再按一下 [確定]
回到頁首

授與 DCOM 遠端啟動權限

  1. 按一下 [開始],再按一下 [執行],輸入 DCOMCNFG,然後按一下 [確定]
  2. [元件服務] 對話方塊中,依序展開 [元件服務][電腦][我的電腦]
  3. 在工具列上,按一下 [設定我的電腦] 按鈕。

    隨即會顯示 [我的電腦] 對話方塊。
  4. [我的電腦] 對話方塊中,按一下 [COM 安全設定] 索引標籤。
  5. [啟動和啟用權限] 下方,按一下 [編輯限制]
  6. [啟動權限] 對話方塊中,如果您的名稱或群組沒有出現在 [群組或使用者名稱] 清單中,請依照下列步驟執行:
    1. [啟動權限] 對話方塊中,按一下 [新增]
    2. [選擇使用者、電腦或群組] 對話方塊的 [輸入物件名稱來選取] 方塊中新增您的名稱和群組,然後按一下 [確定]
  7. [啟動權限] 對話方塊的 [群組或使用者名稱] 方塊中選取您的使用者和群組。在 [User 的權限] 下方的 [允許] 欄中,選取 [遠端啟動],然後按一下 [確定]
回到頁首

開啟 DCOM 連接埠

在啟用 Windows 防火牆中的連接埠之前,請先確定已啟用「群組原則」中的 [Windows 防火牆:允許本機連接埠例外] 設定。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 gpedit.msc,然後按一下 [確定]
  2. [主控台根目錄] 下方,依序展開 [電腦設定][系統管理範本][網路][網路連線][Windows 防火牆],然後按一下 [網域設定檔]
  3. 用滑鼠右鍵按一下 [Windows 防火牆:允許本機連接埠例外],然後按一下 [內容]
  4. 按一下 [已啟用],再按一下 [確定]
注意 您也可以使用 [Windows 防火牆:定義連接埠例外] 設定來設定本機連接埠例外。

DCOM 連接埠是 TCP 135。如果要開啟 DCOM 連接埠,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按兩下 [Windows 防火牆],然後按一下 [例外] 索引標籤。
  3. 按一下 [新增連接埠]
  4. [名稱] 方塊中輸入 DCOM_TCP135,然後在 [連接埠編號] 方塊中輸入 135
  5. 按一下 [TCP],然後按一下 [確定]
  6. 按一下 [確定]
注意 您也可以在命令提示字元中輸入下列命令,以開啟連接埠:
netsh firewall add portopening [TCP/UDP][Port][Name]
回到頁首

新增用戶端應用程式至 Windows 防火牆例外清單

在定義 Windows 防火牆中的程式例外之前,請先確定已啟用「群組原則」中的 [Windows 防火牆:允許本機程式例外] 設定:
  1. 按一下 [開始],再按一下 [執行],輸入 gpedit.msc,然後按一下 [確定]
  2. [主控台根目錄] 下方,依序展開 [電腦設定][系統管理範本][網路][網路連線][Windows 防火牆],然後按一下 [網域設定檔]
  3. 用滑鼠右鍵按一下 [Windows 防火牆:允許本機程式例外],然後按一下 [內容]
  4. 按一下 [已啟用],再按一下 [確定]
注意 您也可以使用 [Windows 防火牆:定義程式例外] 設定來設定本機程式例外。

如果要新增用戶端應用程式至 Windows 防火牆例外清單,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按兩下 [Windows 防火牆],然後按一下 [例外] 索引標籤。
  3. 按一下 [新增程式]
  4. 找出您想要新增的應用程式,然後按一下 [確定]
  5. 按一下 [確定]
注意 您也可以在命令提示字元中輸入下列命令,以新增程式至 Windows 防火牆例外清單:
netsh firewall add allowedprogram [<Path>\ProgramName] [ENABLE/DISABLE]
回到頁首

範例

當您嘗試使用「系統資訊」工具 (Msinfo32.exe),連線至執行 Microsoft Windows XP SP2 的遠端電腦時,會收到下列錯誤訊息:
無法連線到 computer name 。請檢查網路路徑名稱是否正確,您是否有足夠的使用權限來存取 Windows Management Instrumentation,以及電腦上是否安裝 Windows Management Instrumentation。
注意 在這個訊息中,computer name 是預留位置。

如果要解決這個問題,請依照<允許遠端系統管理>一節所述的步驟執行。

回到頁首
参考
如需詳細資訊,請造訪下列 Microsoft 網站: 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
875357疑難排解 Windows XP Service Pack 2 中的 Windows 防火牆設定值
回到頁首
Windows Firewall WINXP SP2 WMI DCOM
內容

文章識別碼:875605 - 最後檢閱時間:01/11/2007 09:46:00 - 修訂: 2.2

Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows Management Instrumentation 1.5

  • kbinfo kbtshoot KB875605
意見反應