Windows Management Instrumentation
WMI - це одна з базових технологій для централізованого управління і стеження за роботою різних частин комп'ютерної інфраструктури під управлінням платформи Windows.
Служба віддаленого керування Windows (WS-Management)
WMI - це протокол прикладного рівня, що працює поверх DCOM. Відповідно, відкривати порти необхідно саме для DCOM. будь-яких своїх спеціальних портів у WMI немає. DCOM. в свою чергу, протокол прикладного рівня, що працює поверх віддаленого виклику процедур (Remote procedure call, RPC). Разом зв'язка WMI-DCOM-RPC утворює фундамет віддаленого управління Windows. RPC використовує порт TCP 135 на стороні віддаленого ПК
для відкриття RPC на сервері необхідно або повністю відкрити порт TCP 135 для вхідних з'єднань, або, якщо дозволяє міжмережевий екран, відкрити порт TCP 135 тільки для служби RpcSs.
З відкриттям DCOM все дещо складніше. DCOM вимагає додаткове TCP-з'єднання поверх RPC. Для подібних з'єднань TCP-порт на серверній стороні виділяються динамічно. Спочатку клієнт по TCP135 запитує номер порту для з'єднання з DCOM-серверів. Сервер виділяє клієнту новий порт і відправляє його номер у відповідь. Клієнт отримує номер і створює другий TCP-з'єднання на порт з отриманим номером. За замовчуванням, DCOM може використовувати весь діапазон від 1024 до 65535. Тому щоб дозволити DCOM в загальному випадку пріідётся ... відкрити всі TCP-порт від 1024 і вище.
По-друге, якщо мережевий екран не дозволяє призначати правила службам, то можна обмежити діапазон портів, дозволених для DCOM. Для цього відкриваємо Адміністрування - Служби компонентів (або в командному рядку набираємо dcomcnfg.exe). У відкрилася програмі знаходимо гілку «Мій комп'ютер» і відкриваємо її властивості
У властивостях відкриваємо вкладку «Набір протоколів», там, в свою чергу, відкриваємо властивості «TCP / IP з орієнтацією на підключення»
Після цього потрібно перезавантажити сервер (перезапустити окремо DCOM не можна, занадто багато на нього зав'язано), і DCOM стане працювати тільки за вказаними портів.
Оскільки WMI-DCOM-RPC активно використовуються інфраструктурою Windows, то всі пристойні програмні мережеві екрани мають попередньої установки для них. Зокрема, брандмауер Windows в режимі підвищеної безпеки має групу правил «Інструментарій управління Windows (WMI)», що складається з усього перерахованого вище: TCP 135 для RpcSs, всі порти для Winmgmt і unsecapp.exe. Включити ці правила можна з командного рядка:
netsh advfirewall firewall set rule group = "windows management instrumentation (wmi)» new enable = yes
У Windows XP, що має більш простий брандмауер, можна використовувати команду
netsh firewall set service RemoteAdmin enable
Усунення проблем з доступом до WMI
У Windows Vista і вище перевірити цілісність репозиторію WMI можна за допомогою команди:
Якщо команда повертає, що база даних WMI знаходиться в неконсістентном стані (INCONSISTENT), варто спробувати виконати «м'яке» відновлення сховища: