Усунення проблем з доступом до wmi на віддалених комп'ютерах

Перед читанням основної статті спробуйте усунути основні типові проблеми з доступом.

Якщо ці рекомендації не допомогли, прочитайте статтю або зверніться в нашу тех. підтримку за безкоштовною консультацією.

Усунення типових проблем з доступом

Для збору інформації на віддалених комп'ютерах програма використовує технологію WMI (Windows Management Instrumentation) - універсальний засіб управління комп'ютерною системою. У більшості випадків додаткової настройки віддалених комп'ютерів в корпоративних мережах не потрібно (при наявності домену та прав адміністратора). Однак, з метою безпеки доступ до WMI може бути за замовчуванням обмежений на частини комп'ютерів. Якщо не виходить зчитати інформацію з комп'ютерів по WMI, то потрібно провести налаштування прав доступу і політики безпеки.

УВАГА! Домашні версії ОС Windows не призначені для роботи в корпоративній мережі і не підтримують віддалене виконання запитів WMI.

Якщо комп'ютер підключено до мережі і є права адміністратора. то, як правило, виникають такі типові помилки:

  1. Помилка з'єднання Причина виникнення помилки найчастіше полягає у відсутності налаштувань, які дозволяють віддалене з'єднання. Служби, через які працює WMI, не запущені або спроби з'єднання по WMI блокуються фаєрволом (firewall). Для усунення помилки необхідно провести попередні перевірки і налаштувати міжмережевий екран (firewall).
  2. Помилка доступу Дана помилка виникає при відсутності прав на запуск DCOM - доступ безпосередньо до WMI, а також при неправильно введеної облікового запису. Для усунення помилки потрібно провести налаштування UAC і CIMOM для Windows Vista і більш пізніх версій. а також налаштувати DCOM.
  3. WMI пошкоджений. Іноді трапляється так, що після установки одного з оновлень Windows WMI перестає працювати на сервері або робочої станції. Якщо дані не збираються на якомусь комп'ютері навіть локально (при наявності прав адміністратора), то швидше за все WMI пошкоджений. Необхідно відновити WMI на комп'ютері, де він не працює. Інструкція по відновленню WMI.

Незважаючи на те, що комп'ютер включений і відповідає на ICMP запити (Ping), для з'єднання з WMI цього може бути недостатньо і видається повідомлення. Для роботи WMI необхідний запуск служб DCOM і RPC, а також дозвіл їх віддаленої роботи.

Перевірте запущені служби DCOM (dcomlaunch) і RPC (RpcSs).

Якщо у Вас використовується сторонній (невбудованої) міжмережевий екран (firewall), то його настройка проводиться відповідно до його документацією. Правила вказані нижче. Налаштування брандмауера (firewall) виробляються на віддаленому комп'ютері і залежать від версії ОС.

Якщо використовується не вбудований міжмережевий екран (firewall). то його настройка проводиться відповідно до документацією на нього. Для роботи DCOM на віддаленому комп'ютері відкрийте порти 135 і 445, а також додайте модулі ПО в список виключень (основний модуль програми і collect.exe) на локальному комп'ютері.

Правила для брандмауера

Правила, необхідні для роботи на віддаленому комп'ютері:

  1. Для настройки 135-го порту DCOM: модуль -% systemroot% \ system32 \ svchost.exe, сервіс - rpcss, дія - дозволити, protocol - TCP, локальний порт 135 (те ж саме для порту 445).
  2. Для сервісу WMI: напрямок - входять, програма -% systemroot% \ system32 \ svchost.exe, сервіс - winmgmt, дія - дозволити, протокол - TCP, локальний порт - будь-хто.
  3. Налаштування вхідних з'єднань для зворотних викликів з віддаленого комп'ютера: напрямок - входять, програма -% systemroot% \ system32 \ wbem \ unsecapp.exe, дія - дозволити.
  4. Налаштування вихідних команд WMI (winmgmt): напрямок - вихідні, програма -% systemroot% \ system32 \ svchost.exe, служба - winmgmt, дія - дозволити, протокол - TCP, локальний порт - будь-хто.

Налаштування вбудованого брандмауера (firewall) для Windows Vista і більш пізніх версій Windows

  1. На "Панелі управління" перейдіть на вкладку "Система і безпека", відкрийте "Брандмауер Windows".
  2. Відкрийте діалог по посиланню "Дозволити запуск програми або компонента через Брандмауер Windows".
  3. Встановіть галочку для "Інструментарій управління WMI".

Аналогічні дії можна виконати за допомогою команди:

netsh advfirewall firewall set rule group = "windows management instrumentation (wmi)" new enable = yes

Щоб провести детальну настройку правил, використовуйте наступні команди:

  1. Для відкриття 135-го порту DCOM

netsh advfirewall firewall add rule dir = in name = "DCOM" program =% systemroot% \ system32 \ svchost.exe service = rpcss action = allow protocol = TCP localport = 135

  • Налаштування виключень для сервісу WMI (winmgmt)

    netsh advfirewall firewall add rule dir = in name = "WMI" program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = any

  • Налаштування вхідних з'єднань для зворотних викликів з віддаленого комп'ютера

    netsh advfirewall firewall add rule dir = in name = "UnsecApp" program =% systemroot% \ system32 \ wbem \ unsecapp.exe action = allow

  • Налаштування вихідних команд WMI (winmgmt)

    netsh advfirewall firewall add rule dir = out name = "WMI_OUT" program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = any

    Налаштування вбудованого брандмауера (firewall) для Windows XP

    Дозвіл віддаленого адміністрування

    1. Виберіть в меню "Пуск" пункт "Виконати", введіть команду "gpedit.msc" і натисніть кнопку "ОК".
    2. Послідовно розгорніть вузли "Корінь консолі", "Конфігурація комп'ютера", "Адміністративні шаблони", "Мережа", "Мережеві підключення", "Брандмауер Windows" і "Профіль домену".
    3. Правою кнопкою миші елемент "Брандмауер Windows: Вирішувати виключення" Елемент управління WMI "і виберіть пункт" Властивості ".
    4. Виберіть варіант "Включений" і натисніть кнопку "ОК".

    Можна спробувати також ввести команду:

    netsh firewall set service RemoteAdmin enable

    Відкриття порту DCOM

    Перед тим як відкривати порти в брандмауері Windows, переконайтеся, що в груповій політиці ввімкнуто параметр "Брандмауер Windows": "Вирішувати локальні винятки для портів". Для цього виконайте такі дії:
    1. Виберіть в меню "Пуск" пункт "Виконати", введіть команду "gpedit.msc" і натисніть кнопку "ОК".
    2. Послідовно розгорніть вузли "Корінь консолі", "Конфігурація комп'ютера", "Адміністративні шаблони", "Мережа", "Мережеві підключення", "Брандмауер Windows" і "Профіль домену".
    3. Правою кнопкою миші елемент "Брандмауер Windows: Вирішувати локальні винятки для портів" і виберіть пункт "Властивості".
    4. Виберіть варіант "Включений" і натисніть кнопку "ОК".

    Моделі DCOM зіставлений TCP-порт 135. Відкрити порт можна, виконавши з командного рядка наступну команду:

    netsh firewall add portopening TCP 135 DCOM_TCP135

    Налаштувати виключення для портів можна за допомогою параметра "Брандмауер Windows: Задати виключення портів".
    1. Натисніть кнопку "Пуск" і виберіть пункт "Панель управління".
    2. Двічі клацніть значок "Брандмауер Windows" і відкрийте вкладку "Винятки".
    3. Натисніть кнопку "Додати порт".
    4. В поле "Ім'я" введіть "DCOM_TCP135", а в полі "Номер порту" введіть "135".
    5. Виберіть варіант порт "ТСР" і натисніть кнопку "ОК".
    6. Натисніть кнопку "ОК".
    7. Спробуйте також відкрити порт 445.

    Додавання програми в список виключень брандмауера Windows.

    Перед додаванням програм в список виключень брандмауера Windows переконайтеся, що в груповій політиці ввімкнуто параметр "Брандмауер Windows: Вирішувати локальні винятки для програм".
    1. Виберіть в меню "Пуск" пункт "Виконати". Введіть команду "gpedit.msc" і натисніть кнопку ОК.
    2. Послідовно розгорніть вузли "Корінь консолі", "Конфігурація комп'ютера", "Адміністративні шаблони", "Мережа", "Мережеві підключення", "Брандмауер Windows" і "Профіль домену".
    3. Правою кнопкою миші елемент "Брандмауер Windows: Вирішувати локальні винятки для програм" і виберіть пункт "Властивості".
    4. Виберіть варіант "Включений" і натисніть кнопку ОК.

    Щоб додати клієнтську програму в список виключень брандмауера Windows, виконайте з командного рядка наступну команду:
    netsh firewall add allowedprogram путь_к_программе \ NetworkInventoryExplorer.exe NetworkInventoryExplorer ENABLE

    Налаштувати виключення для портів можна за допомогою параметра "Брандмауер Windows: Задати виключення для програм":

    1. Натисніть кнопку "Пуск" і виберіть пункт "Панель управління".
    2. Двічі клацніть значок "Брандмауер Windows" і відкрийте вкладку "Винятки".
    3. Натисніть кнопку "Додати програму".
    4. Знайдіть NetworkInventoryExplorer.exe в папці програми (в "Program Files") і натисніть кнопку ОК.
    5. Натисніть кнопку ОК.

    Починаючи з Windows Vista з'явився контроль облікових записів користувача (UAC). Для доступу по WMI необхідно відключити віддалений контроль обліковий записів.

    Для комп'ютерів в одному домені або з довірчими стосунками між доменами це значення змінювати не слід!

    Для комп'ютерів не з домену, між якими немає довірчих відносин, потрібно змінити в реєстрі значення DWORD параметра

    0 - заборона зворотних викликів

    1 - дозволяє зворотні виклики. Потрібно встановити значення рівне "1"

    Налаштування для Windows XP

    1. Для Windows XP не включена класична модель доступу до ресурсів.

    Якщо на віддаленому комп'ютері в локальних політиках безпеки варто модель "Мережевий доступ - модель спільного доступу і безпеки - гостьова", змініть модель на "Класичну (звичайну)".
    Налаштувати цей параметр безпеки можна, відкривши відповідну політику і розгорнувши дерево консолі наступним чином:

    Панель керування \ Адміністрування \ Локальна політика безпеки \ Параметри безпеки \ Локальні політики \ Параметри безпеки \ Мережевий доступ - модель спільного доступу і безпеки -> Класична.

  • Для Windows XP при використанні порожніх паролів можуть виникнути проблеми з підключенням, якщо на віддаленому комп'ютері в локальних політиках безпеки включений параметр "Облікові записи: обмежити використання порожніх паролів для консольного введення" (включено за замовчуванням в Windows XP SP2).

    Відмовтеся від порожніх паролів, або вимкніть це обмеження. Налаштувати цей параметр безпеки можна, відкривши відповідну політику і розгорнувши дерево консолі наступним чином:

    Панель керування \ Адміністрування \ Локальна політика безпеки \ Параметри безпеки \ Локальні політики \ Параметри безпеки \ Облікові записи: обмежити використання порожніх паролів для консольного введення -> Роз'єднати.

    Налаштування DCOM в Windows Vista не змінилися і налаштовуються також як і для Windows XP.

    За замовчуванням повинен бути включений, але краще перевірити його значення.

    У розділі реєстру HKLM \ SOFTWARE \ MICROSOFT \ OLE слід встановити на EnableDCOM рівним "Y".
  • Дозвіл на віддалений запуск DCOM
    • Виберіть в меню "Пуск" пункт "Виконати", введіть команду "DCOMCNFG" і натисніть кнопку "ОК".
    • У діалоговому вікні "Служби компонентів" послідовно розгорніть вузли "Служби компонентів", "Комп'ютери" і "Мій комп'ютер".
    • На панелі інструментів натисніть кнопку "Налаштування мого комп'ютера". З'явиться діалогове вікно "Мій комп'ютер".
    • У діалоговому вікні "Мій комп'ютер" перейдіть на вкладку "Безпека СОМ".
    • У розділі "Дозволи на запуск і активацію" натисніть кнопку "Змінити обмеження".
    • Якщо до потрібного імені користувача або групи відсутня в списку "Групи або користувачі", в діалоговому вікні "Дозвіл на запуск" виконайте наступні дії.
      1. У діалоговому вікні "Дозвіл на запуск" натисніть кнопку "Додати".
      2. У діалоговому вікні "Вибір: Користувачі, Комп'ютери або Групи" додайте потрібне ім'я користувача або групи в полі "Введіть імена вибраних об'єктів" і натисніть кнопку "ОК".
    • У діалоговому вікні "Дозвіл на запуск" виділіть в списку "Групи або користувачі" користувача або групу. У списку "Дозволи для користувача" в стовпці "Дозволити" встановіть прапорець у записи "Віддалений запуск" і натисніть кнопку "ОК".
  • Налаштування прав доступу до DCOM
    • Запустіть Dcomcnfg в консолі;
    • Перейдіть до вузла "Служби компонентів / Комп'ютери / Мій комп'ютер";
    • З контекстного меню викличте діалог "Властивості";
    • Перейдіть на вкладку "Безпека COM";
    • Перевірте права доступу.
  • Перевірте властивості безпеки елемента управління WMI
    • У меню "Пуск" - "Виконати" введіть wmimgmt.msc. Буде відкрито Елемент управління WMI (локальний).
    • Через контекстне меню по правій кнопки миші виберіть пункт меню "Властивості".
    • Перейдіть на вкладку "Безпека".
    • Виберіть елемент "Root".
    • Натисніть кнопку "Безпека". У списку знайдіть користувача або групу користувачів, від імені якої буде проводитися підключення.
    • Увімкніть галочку "Включити віддалено", а також "Включити обліковий запис".

    • Діагностика з'єднання по WMI

    Ви можете протестувати службу WMI на наявність помилок. Зробити це можна двома способами.

    1. В папці "System32 \ wbem" є програма wbemtest.exe. Запустіть її.
    2. У вікні "Простір імен" потрібно ввести: \\<имя компьютера>\ Root \ cimv2 (наприклад, \\ SKLAD-13 \ root \ cimv2).
    3. У поля "Користувач" і "Пароль" введіть дані свого облікового запису з правами адміністратора на віддаленому ПК. Бажано спробувати ввести обидва варіанти Domain name \ username і просто username в якості логіна. Тестова програма спробує з'єднатися і видасть код помилки. Надішліть його нам по email, ми його проаналізуємо і спробуємо діагностувати проблему.

    Запакуйте їх в один архів і відправте нам для діагностики.

    Програма "10-Страйк: Інвентаризація Комп'ютерів" - віддалений опитування і інвентаризація ПК підприємства по мережі. Створення звітів по "залозу" і ПО, моніторинг змін, виявлення проблем, оповіщення адміністратора. Легко встановити і налаштувати. Візьміть свій парк комп'ютерів під контроль!

    Завантажте безкоштовну 30-денну версію прямо зараз і спробуйте.

    Схожі статті