ԱՍՍՆԿՐՈՆ զանգերի համար մերժվում է WMI- ի մուտքը

Հեռավոր մեքենաների համար WMI իրադարձությունների ասինխրոն հետադարձ կապի մասին:

Գուցե հարկ լինի անել հետեւյալը.
Հղումներ:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

Lyrics քանակը:
DCOM Security- ի կարգավորումը `օգտագործողին հեռակա կարգով համակարգիչ մուտք գործելու թույլտվություն տալու համար
WMI- ում անվտանգությունը կապված է WMI անունների տարածքին միանալու հետ: WMI- ն օգտագործում է DCOM ՝ հեռավոր զանգերը կարգավորելու համար: Հեռավոր համակարգչին միանալու ձախողման մեկ պատճառը DCOM- ի խափանումն է («DCOM Access Denied» սխալը. Տասն2147024891 կամ վեցանկյուն 0x80070005): C ++ հավելվածների համար WMI- ում DCOM անվտանգության մասին լրացուցիչ տեղեկություններ ստանալու համար տե՛ս Հաճախորդի դիմումի գործընթացի անվտանգության կարգավորում:
Դուք կարող եք կազմաձևել DCOM- ի պարամետրերը WMI- ի համար `օգտագործելով DCOM Config կոմունալ ծրագիրը (DCOMCnfg.exe), որը գտնվում է Կառավարման վահանակում գտնվող Վարչական գործիքներում: Այս օգտակար ծրագիրը բացահայտում է այն կարգավորումները, որոնք որոշակի օգտվողների հնարավորություն են տալիս հեռակա կերպով միանալ համակարգչին DCOM- ի միջոցով: Ադմինիստրատորների խմբի անդամներին լռելյայն թույլատրվում է հեռակա կերպով միանալ համակարգչին: Այս օգտակար ծառայության միջոցով կարող եք կարգավորել անվտանգությունը ՝ WMI ծառայությունը սկսելու, մուտք գործելու և կազմաձևելու համար:
Հետևյալ ընթացակարգը նկարագրում է, թե ինչպես տրամադրել DCOM հեռավոր գործարկման և ակտիվացման թույլտվություններ որոշակի օգտվողների և խմբերի համար: Եթե ​​A համակարգիչը հեռակա կերպով միանում է B համակարգչին, կարող եք այս թույլտվությունները համակարգչ B- ի վրա դնել ՝ թույլ տալով օգտվողին կամ խմբին, որը Համակարգիչ B- ի Ադմինիստրատորների խմբի մաս չէ, իրականացնել DCOM գործարկման և ակտիվացման զանգեր B համակարգչի վրա:
Aa393266.wedge (en-us, VS.85) .gif Օգտագործողի կամ խմբի համար DCOM հեռավոր գործարկման և ակտիվացման թույլտվություններ տալու համար
Կտտացրեք Start- ին, կտտացրեք Run- ին, մուտքագրեք DCOMCNFG և կտտացրեք OK:
Բաղադրիչների ծառայություններ երկխոսության պատուհանում ընդլայնել Բաղադրիչների ծառայություններ, ընդլայնել Համակարգիչներ և այնուհետև աջ սեղմել Իմ համակարգիչը և կտտացնել Հատկություններ:
Իմ համակարգչի հատկությունները երկխոսության դաշտում կտտացրեք COM Security ներդիրին:
Գործարկման և ակտիվացման թույլտվությունների ներքո կտտացրեք Խմբագրման սահմանները:
Գործարկման թույլտվության երկխոսության դաշտում հետևեք այս քայլերին, եթե ձեր անունը կամ ձեր խումբը չի հայտնվում Խմբերում կամ օգտագործողների անունների ցուցակում.
Գործարկման թույլտվությունը երկխոսության դաշտում կտտացրեք Ավելացնել:
Ընտրեք օգտագործողներ, համակարգիչներ կամ խմբեր երկխոսության պատուհանում, ընտրեք վանդակում Ընտրեք օգտագործողների, համակարգիչների կամ խմբերի երկխոսության դաշտում և ընտրեք խումբը, ապա կտտացրեք OK:
Գործարկման թույլտվության երկխոսության դաշտում Խմբի կամ օգտվողի անունների վանդակում ընտրեք ձեր օգտագործողին և խմբին: Օգտատիրոջ թույլտվությունները բաժնում «Թույլատրել» սյունակում ընտրեք Հեռակա գործարկում և ընտրեք Հեռակա ակտիվացում, ապա կտտացրեք OK:
Հետևյալ ընթացակարգը նկարագրում է, թե ինչպես տրամադրել DCOM հեռավոր մուտքի թույլտվություններ որոշակի օգտվողների և խմբերի համար: Եթե ​​A համակարգիչը հեռակա կերպով միանում է B համակարգչին, ապա այդ թույլտվությունները կարող եք տեղադրել B համակարգչի վրա, որպեսզի օգտագործողին կամ խմբին, որը Համակարգչի B- ի Ադմինիստրատորների խմբի մաս չէ, միանալ B համակարգչին:
Aa393266.wedge (en-us, VS.85) .gif DCOM հեռավոր մուտքի թույլտվություններ տալու համար
Կտտացրեք Start- ին, կտտացրեք Run- ին, մուտքագրեք DCOMCNFG և կտտացրեք OK:
Բաղադրիչների ծառայություններ երկխոսության պատուհանում ընդլայնել Բաղադրիչների ծառայություններ, ընդլայնել Համակարգիչներ և այնուհետև աջ սեղմել Իմ համակարգիչը և կտտացնել Հատկություններ:
Իմ համակարգչի հատկությունները երկխոսության դաշտում կտտացրեք COM Security ներդիրին:
Մուտքի թույլտվությունների ներքո կտտացրեք Խմբագրման սահմանները:
Մուտքի թույլտվության երկխոսության դաշտում Խմբի կամ օգտագործողի անունների վանդակում ընտրեք ANONYMOUS LOGON անունը: Օգտատիրոջ թույլտվությունները բաժնում «Թույլատրել» սյունակում ընտրեք Հեռակա մուտքը և այնուհետև կտտացրեք OK:

Remote WMI կապի կարգավորում

Հեռավոր համակարգչով WMI անունների տարածքին միանալը կարող է պահանջել, որ փոխեք Windows Firewall- ի, User Account Control- ի (UAC), DCOM- ի կամ Common Information Model Object Manager- ի (CIMOM) պարամետրերը:
Հետևյալ բաժինները քննարկվում են այս թեմայում.
Windows Firewall- ի կարգավորումներ
Օգտատիրոջ հաշվի վերահսկման կարգավորում
DCOM կարգավորումներ
CIMOM- ի կարգավորումներ
Առնչվող թեմաներ
Windows Firewall- ի կարգավորումներ
Windows Firewall- ի պարամետրերի համար WMI- ի կարգավորումները հնարավորություն են տալիս ապահովել միայն WMI կապեր, այլ ոչ թե այլ DCOM ծրագրեր:
Հեռավոր նպատակային համակարգչի վրա WMI- ի firewall- ում պետք է բացառություն սահմանվի: WMI- ի բացառությունը թույլ է տալիս WMI- ին ստանալ հեռավոր կապեր և անհամաժամ հետադարձ պատասխաններ Unsecapp.exe- ին: Լրացուցիչ տեղեկությունների համար տե՛ս Asynchronous Call- ի անվտանգության կարգավորում:
Եթե ​​հաճախորդի դիմումը ստեղծում է իր լվացարանը, այդ լվացարանը պետք է բացահայտորեն ավելացվի firewall- ի բացառություններին, որպեսզի հետադարձ պատասխանները հաջող լինեն:
WMI- ի բացառությունը գործում է նաև այն դեպքում, երբ WMI- ն սկսվել է ֆիքսված նավահանգստով ՝ օգտագործելով winmgmt / standalonehost հրամանը: Լրացուցիչ տեղեկությունների համար տե՛ս WMI- ի համար ֆիքսված նավահանգստի տեղադրում:
Դուք կարող եք միացնել կամ անջատել WMI տրաֆիկը Windows Firewall UI- ի միջոցով:
Aa822854.wedge (en-us, VS.85) .gif WMI երթևեկը միացնելու կամ անջատելու համար ՝ օգտագործելով firewall UI
Կառավարման վահանակում կտտացրեք Անվտանգություն և այնուհետև կտտացրեք Windows Firewall:
Կտտացրեք Փոխել կարգավորումները և այնուհետև կտտացնել Բացառություններ ներդիրին:
Բացառությունների պատուհանում ընտրեք Windows Management Instrumentation- ի (WMI) վանդակը `firewall- ի միջոցով WMI տրաֆիկը հնարավոր դարձնելու համար: WMI երթևեկությունն անջատելու համար մաքրեք վանդակը:
Դուք կարող եք միացնել կամ անջատել WMI տրաֆիկը firewall- ի միջոցով հրամանի տողում:
Aa822854.wedge (en-us, VS.85) .gif WMI երթևեկությունը հրամանի տողում միացնելու կամ անջատելու համար ՝ օգտագործելով WMI կանոնների խումբ
Հրամանի տողում օգտագործեք հետևյալ հրահանգները: Մուտքագրեք հետևյալը `firewall- ի միջոցով WMI երթևեկությունն ակտիվացնելու համար:
netsh advfirewall firewall- ի կանոնների խումբ = "windows կառավարման գործիքավորում (wmi)" new enable = այո
Մուտքագրեք հետևյալ հրահանգը firewall- ի միջոցով WMI երթևեկությունն անջատելու համար:
netsh advfirewall firewall- ի սահմանված կանոնների խումբ = "windows կառավարման գործիքավորում (wmi)" նոր հնարավորություն = ոչ
Փոխանակ օգտագործելու մեկ WMI կանոնների խմբի մեկ հրամանը, կարող եք նաև օգտագործել անհատական ​​հրամաններ DCOM- ի, WMI ծառայության և լվացարանի յուրաքանչյուրի համար:
Aa822854.wedge (en-us, VS.85) .gif WMI երթևեկությունը միացնելու համար ՝ օգտագործելով DCOM, WMI, հետադարձ կապի լվացարան և ելքային միացությունների առանձին կանոններ
135-րդ նավահանգստի համար firewall- ի բացառություն հաստատելու համար օգտագործեք հետևյալ հրահանգը:
netsh advfirewall firewall ավելացնել կանոն dir = in name = "DCOM" ծրագիր =% systemroot% \ system32 \ svchost.exe ծառայություն = rpcss գործողություն = թույլատրել պրոտոկոլ = TCP localport = 135
WMI ծառայության համար firewall- ի բացառություն հաստատելու համար օգտագործեք հետևյալ հրահանգը:
netsh advfirewall firewall ավելացնել կանոն dir = in name = "WMI" ծրագիր =% systemroot% \ system32 \ svchost.exe ծառայություն = winmgmt գործողություն = թույլատրել արձանագրություն = TCP localport = ցանկացած
Հեռավոր համակարգչից հետադարձ պատասխաններ ստացող լվացարանի համար firewall- ի բացառություն հաստատելու համար օգտագործեք հետևյալ հրահանգը:
netsh advfirewall firewall ավելացնել կանոն dir = in name = "UnsecApp" ծրագիր =% systemroot% \ system32 \ wbem \ unsecapp.exe գործողություն = թույլատրել
Հեռավոր համակարգչի հետ ելքային կապերի համար firewall- ի բացառություն հաստատելու համար, որի հետ տեղական համակարգիչը ասինխրոն կերպով է հաղորդակցվում, օգտագործեք հետևյալ հրահանգը:
netsh advfirewall firewall ավելացնել կանոն dir = out name = "WMI_OUT" ծրագիր =% systemroot% \ system32 \ svchost.exe ծառայություն = winmgmt գործողություն = թույլատրել արձանագրություն = TCP localport = ցանկացած
Firewall- ի բացառությունները առանձին անջատելու համար օգտագործեք հետևյալ հրահանգները:
Aa822854.wedge (en-us, VS.85) .gif WMI երթևեկությունն անջատելու համար, օգտագործելով DCOM, WMI, հետադարձ զանգի լվացարան և ելքային կապերի առանձին կանոններ
Անջատելու համար DCOM բացառությունը:
netsh advfirewall firewall ջնջել կանոնի անունը = "DCOM"
WMI ծառայության բացառությունը անջատելու համար:
netsh advfirewall firewall ջնջել կանոնի անունը = ”WMI”
Լվացարանի բացառությունը անջատելու համար:
netsh advfirewall firewall ջնջել կանոնի անունը = ”UnsecApp”
Արտագնա բացառությունը անջատելու համար:
netsh advfirewall firewall- ի ջնջման կանոնի անունը = "WMI_OUT"
Օգտատիրոջ հաշվի վերահսկման կարգավորում
Օգտագործողի հաշվի վերահսկման (UAC) մուտքի նշանի զտումը կարող է ազդել, թե որ գործառնություններն են թույլատրվում WMI- ի անվանումներում կամ ինչ տվյալներ են վերադարձվում: UAC- ի ներքո, տեղական Ադմինիստրատորների խմբի բոլոր հաշիվներն աշխատում են օգտագործողի մուտքի ստանդարտ նշանով, որը հայտնի է նաև որպես UAC մուտքի նշանի զտիչ: Ադմինիստրատորի հաշիվը կարող է գործարկել բարձր արտոնությամբ սցենար. «Run as Administrator»:
Երբ դուք չեք միանում ներկառուցված Ադմինիստրատորի հաշվին, UAC- ն այլ կերպ է ազդում հեռավոր համակարգչի միացման վրա `կախված այն բանից` երկու համակարգիչները տիրույթում են, թե աշխատանքային խմբում: UAC- ի և հեռավոր կապերի մասին լրացուցիչ տեղեկություններ ստանալու համար տե՛ս User Account Control և WMI:
DCOM կարգավորումներ
DCOM- ի կարգավորումների վերաբերյալ լրացուցիչ տեղեկությունների համար տե՛ս Հեռակա WMI կապի ապահովում: Այնուամենայնիվ, UAC- ն ազդում է ոչ հիմնական օգտագործողների հաշիվների կապերի վրա: Եթե ​​դուք միանում եք հեռավոր համակարգչի, օգտագործելով nondomain օգտվողի հաշիվ, որը ներառված է հեռավոր համակարգչի տեղական Ադմինիստրատորների խմբում, ապա դուք պետք է բացահայտորեն տրամադրեք հաշվի վրա հեռավոր DCOM մուտք, ակտիվացում և գործարկման իրավունքներ:
CIMOM- ի կարգավորումներ
CIMOM- ի կարգավորումները պետք է թարմացվեն, եթե հեռավոր կապը համակարգիչների միջև է, որոնք վստահության հարաբերություններ չունեն. հակառակ դեպքում ասինխրոն կապը կխափանվի: Այս կարգավորումը չպետք է փոփոխվի նույն տիրույթում գտնվող համակարգիչների կամ վստահելի տիրույթներում:
Գրանցման հետևյալ գրառումն անհրաժեշտ է փոփոխել ՝ անանուն հետադարձ պատասխաններ թույլ տալու համար.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WBEM \ CIMOM \ AllowAnonymousCallback
Տվյալների տեսակը
REG_DWORD
Եթե ​​AllowAnonymousCallback արժեքը դրված է 0-ի վրա, WMI ծառայությունը կանխում է հաճախորդին անանուն հետադարձ զանգերը: Եթե ​​արժեքը դրված է 1-ի վրա, ապա