如何在Windows中解決與WMI相關的問題

如何在 Windows XP SP2 中解決與 WMI 相關的問題

文章編號: 875605 - 查看本文應用於的產品展開全部 | 關閉全部本頁

• 概要
• 簡介
  • 在 Windows XP SP2 中解決與 WMI 相關的問題
  • 允許遠端管理
  • 授予 DCOM 遠程啟動許可權
  • 開啟 DCOM 連接埠
  • 將用戶端應用程式添加到 Windows 防火牆的例外列表中
  • 樣本
• 參考
• 屬性
• 提供反饋

<style>.tocTitle, #tocDiv{display: none;}</style>概要 Microsoft Windows XP Service Pack 2 (SP2) 中某些安全鎖定方面的更改可能引發與 Windows Management Instrumentation (WMI) 相關的問題，在遠程方案中此問題可能尤其嚴重。例如，Windows XP SP2 中的 Windows 防火牆在預設情況下是啟用的。此外，Windows XP SP2 中的 DCOM 限制與 Windows 早期版本中的 DCOM 限制是不同的。回到頂端 | 提供反饋簡介由於安全方面的更改，在 Microsoft Windows XP SP2 中訪問 WMI 時可能會收到“access   denied”（拒絕訪問）錯誤資訊。如果使用的是非同步查詢，則從基於 Windows XP SP2 的電腦訪問基於非 Windows XP SP2    的電腦時，也可能會出現問題。回到頂端 | 提供反饋在 Windows XP SP2 中解決與 WMI 相關的問題

當您解決與 WMI 相關的問題時，首先要確定是本地問題還是遠程問題。為此，請嘗試從本地訪問   WMI，將網路故障的可能性排除在外。如果從本地訪問 WMI 時問題仍然存在，則說明該問題與 Windows XP SP2   中的安全更改無關。
如果從本地訪問 WMI 時沒有出現問題，則說明該問題可能與 Windows 防火牆和 DCOM 有關。執行從電腦 A   到電腦 B 的遠程 WMI 操作時，必須建立從電腦 A 到電腦 B 的 DCOM 串連，在電腦 B 上，必須將 Windows 防火牆和 DCOM   配置為允許該串連。如果 WMI 操作是同步或半同步的，則只需要一個串連。然而，如果 WMI 操作是非同步，則需要從電腦 B 到電腦 A 的另一個串連。

收合這個圖片展開這個圖片 

要在電腦 A 和電腦 B 之間建立串連 1，請按照下列步驟操作：   

1. 如果在電腦 B 上啟用了 Windows 防火牆，則應啟用“Windows 防火牆: 允許遠端管理例外”設定。預設情況下，Windows XP SP2 中會啟用 Windows 防火牆。
   有關如何啟用此設定的更多資訊，請參閱允許遠端管理 一節。
2. 如果發出遠程請求的使用者不是管理員，請確保該使用者在電腦 B 上擁有 DCOM 遠程啟動許可權。
   有關更多資訊，請參閱授予 DCOM 遠程啟動許可權 一節。

只有使用非同步 WMI 操作時才需要串連   2。我們建議您儘可能使用半同步操作。這對效能的影響很小，半同步操作可以實現相同的功效，而又不需要反向串連。
如果必須使用非同步作業，請按照下列步驟操作：  

1. 如果在電腦 A 上已啟用 Windows 防火牆，則應開啟 DCOM 連接埠。預設情況下，Windows XPSP2 中會啟用 Windows 防火牆。
   有關如何開啟 DCOM 連接埠的更多資訊，請參閱開啟 DCOM 連接埠 一節。
2. 在電腦 A 上，將用戶端應用程式添加到 Windows 防火牆的例外列表中，這樣反向串連才能夠完成。
   用戶端應用程式往往是 Unsecapp.exe 應用程式。Unsecapp.exe 應用程式用於在一個進程中將結果發還給用戶端，該進程可能沒有成為 DCOM 服務的許可權。指令碼和 Microsoft .NET System.Management 命名空間都要靠 Unsecapp.exe 應用程式來接收非同步作業的結果。
   有關如何將用戶端應用程式添加到 Windows 防火牆例外列表中的更多資訊，請參閱將用戶端應用程式添加到 Windows 防火牆的例外列表中 一節。
3. 如果反向串連是作為匿名串連建立的，則應將 DCOM 中的遠程啟動許可權授予電腦 A 上的匿名登入帳戶。在符合下列條件之一時，反向串連將作為匿名串連建立：
   • 電腦 B 是某個工作群組的成員。
   • 電腦 B 與電腦 A 不在同一個域內，而且電腦 B 所在的域不是一個受信任域。

   有關更多資訊，請參閱授予 DCOM 遠程啟動許可權 一節。

4. 讓反向串連儘可能安全。有關更多資訊，請訪問下面的 Microsoft Developer Network (MSDN) 網站：http://msdn2.microsoft.com/en-gb/library/aa393614.aspx
         (http://msdn2.microsoft.com/en-gb/library/aa393614.aspx)    

允許遠端管理

1. 單擊“開始”，單擊“運行”，鍵入 gpedit.msc，然後單擊“確定”。
2. 在“控制台根目錄”下，依次展開“電腦配置”、“系統管理範本”、“網路”、“網路連接”、“Windows 防火牆”，然後單擊“網域設定檔案”。
3. 按右鍵“Windows 防火牆: 允許遠端管理例外”，然後單擊“屬性”。
4. 單擊“已啟用”，然後單擊“確定”。

授予 DCOM 遠程啟動許可權

1. 單擊“開始”，單擊“運行”，鍵入 DCOMCNFG，然後單擊“確定”。
2. 在“元件服務”對話方塊中，依次展開“元件服務”、“電腦”，然後展開“我的電腦”。
3. 在工具列上，單擊“配置‘我的電腦’”按鈕。
   隨即顯示“我的電腦”對話方塊。
4. 在“我的電腦”對話方塊中，單擊“COM 安全”選項卡。
5. 在“啟動和啟用許可權”下，單擊“編輯限制”。
6. 在“啟動許可權”對話方塊中，如果您的名稱或您的組未顯示在“組或使用者名稱稱”列表中，請按照下列步驟操作：
   1. 在“啟動許可權”對話方塊中，單擊“添加”。
   2. 在“選擇使用者、電腦或組”對話方塊中，將您的名稱和組添加到“輸入對象名稱來選擇”框中，然後單擊“確定”。
7. 在“啟動許可權”對話方塊中，在“組或使用者名稱稱”框內選擇您的使用者和組。在“使用者權限”下的“允許”欄中，選擇“遠程啟動”，然後單擊“確定”。

開啟 DCOM 連接埠

在 Windows 防火牆中啟用連接埠之前，請確保已經在組策略中啟用了“Windows 防火牆:   允許本地連接埠例外”設定。為此，請按照下列步驟操作：   

1. 單擊“開始”，單擊“運行”，鍵入 gpedit.msc，然後單擊“確定”。
2. 在“控制台根目錄”下，依次展開“電腦配置”、“系統管理範本”、“網路”、“網路連接”、“Windows 防火牆”，然後單擊“網域設定檔案”。
3. 按右鍵“Windows 防火牆: 允許本地連接埠例外”，然後單擊“屬性”。
4. 單擊“已啟用”，然後單擊“確定”。

注意：也可使用“Windows 防火牆: 定義連接埠例外”設定來配置本地連接埠例外。
DCOM 連接埠是 TCP  135。要開啟 DCOM 連接埠，請按照下列步驟操作：   

1. 單擊“開始”，然後單擊“控制台”。
2. 雙擊“Windows 防火牆”，然後單擊“例外”選項卡。
3. 單擊“添加連接埠”。
4. 在“名稱”框中，鍵入 DCOM_TCP135，然後在“連接埠號碼”框中鍵入 135。
5. 單擊“TCP”，然後單擊“確定”。
6. 單擊“確定”。

注意：也可在命令提示字元處鍵入以下命令開啟一個連接埠：

netsh firewall add portopening [TCP/UDP][Port][Name]將用戶端應用程式添加到 Windows 防火牆的例外列表中

在 Windows 防火牆中定義程式例外之前，請確保已經在組策略中啟用了“Windows 防火牆: 允許本地程式例外”設定：   

1. 單擊“開始”，單擊“運行”，鍵入 gpedit.msc，然後單擊“確定”。
2. 在“控制台根目錄”下，依次展開“電腦配置”、“系統管理範本”、“網路”、“網路連接”、“Windows 防火牆”，然後單擊“網域設定檔案”。
3. 按右鍵“Windows 防火牆: 允許本地程式例外”，然後單擊“屬性”。
4. 單擊“已啟用”，然後單擊“確定”。

注意：也可使用“Windows 防火牆: 定義程式例外”設定來配置本地程式例外。
要將用戶端應用程式添加到   Windows 防火牆的例外列表中，請按照下列步驟操作：   

1. 單擊“開始”，然後單擊“控制台”。
2. 雙擊“Windows 防火牆”，然後單擊“例外”選項卡。
3. 單擊“添加程式”。
4. 找到要添加的應用程式，然後單擊“確定”。
5. 單擊“確定”。

注意：也可在命令提示字元處鍵入以下命令將程式添加到 Windows 防火牆例外列表中：

netsh firewall add allowedprogram [<Path>\ProgramName] [ENABLE/DISABLE]樣本

嘗試用系統資訊工具 Msinfo32.exe 與運行 Microsoft Windows XP SP2   的遠端電腦進行串連時，收到以下錯誤資訊：

The connection to   computer name could not be established.Check to see  that the network path name is correct, that you have sufficient permission to  access Windows Management Instrumentation, and that Windows Management  Instrumentations is installed on the computer.