Устранение проблем с доступом к WMI на удалёных компьютерах
Для сбора информации на удалённых компьютерах используется технология WMI (Windows Management Instrumentation) - универсальное средство управления компьютерной системой.
1. Если не удалось получить информацию с удалённого компьютера проверьте следущее:
1.1. Подключен ли удалённый компьютер к сети.
1.2. Запущена ли на удалённом компьютере служба "Расширения драйверов WMI (Windows Management Instrumentation)".
На удалённых компьютерах с операционной системой Windows NT, Windows 95, или Windows 98 необходимо установить WMI.
WMI для Windows 95, 98
WMI для Windows NT
Более подробно о работе WMI в различных версиях Windows описано в пунктах 1.7 и 2.1.
1.3. Имеете ли вы администраторские права на удалённом компьютере.
1.4. Разрешает ли брандмауэр на удалённом компьютере протокол DCOM (вызов RPC процедур) и удалённое администрирование.
Настройка брандмауэра (firewall) производится в соответствии с документацией на него.
Настройка встроенного брандмауэра Windows и открытие порта DCOM описаны в пунктах 2.2-2.5.
1.5. Включена ли классическая модель доступа к ресурсам.
Если на удалённом компьютере в локальных политиках безопасности стоит модель "Сетевой доступ - модель совместного доступа и безопасности - гостевая", измените модель на "классическую (обычную)".
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом:
Панель управления\Администрирование\Локальная политика безопасности\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ - модель совместного доступа и безопасности -> Классическая.
По умолчанию "Гостевая" модель включена в Windows XP Professional, «Классическая» — в семействе Windows Server 2003 и компьютерах Windows XP Professional, присоединенных к домену.
Узнать больше об этом параметре
1.6. При использовании пустых паролей могут возникнуть проблемы с подключением, если на удалённом компьютере в локальных политиках безопасности включен параметр "Учётные записи: ограничить использование пустых паролей для консольного ввода" (включено по умолчанию в Windows XP SP2).
Откажитесь от пустых паролей, либо отключите это ограничение. Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом:
Панель управления\Администрирование\Локальная политика безопасности\Параметры безопасности\Локальные политики\Параметры безопасности\Учётные записи: ограничить использование пустых паролей для консольного ввода -> Отключить.
Узнать больше об этом параметре
1.7. Существуют ограничения при работе с WMI для разных операционных систем:
2. Устранение проблем и настройка Windows для успешной работы с WMI:
2.1. Настройка и запуск WMI под управлением Windows 95, Windows 98, Windows Me.
Служба WMI должна быть помещена в автозапуск, а также должно быть разрешено соединение по DCOM:
1) В разделе реестра HKLM\SOFTWARE\MICROSOFT\OLE установите значение EnableDCOM в "Y", а также EnableRemoteConnect в "Y". Значение EnableRemoteConnect по умолчанию "N".
2) В разделе реестра \HKLM\SOFTWARE\Microsoft\wbem\cimom установите значение AutostartWin9X в "2". Установите значение EnableAnonConnections в "1".
3) Добавьте файл Winmgmt.exe в автозагрузку. Файл находится в каталоге \Windows\WBEM.
2.2. Разрешение удаленного администрирования.
1) Выберите в меню "Пуск" пункт "Выполнить", введите команду "gpedit.msc" и нажмите кнопку "OК".
2) Последовательно разверните узлы "Корень консоли", "Конфигурация компьютера", "Административные шаблоны", "Сеть", "Сетевые подключения", "Брандмауэр Windows" и "Профиль домена".
3) Правой кнопкой мыши щелкните элемент "Брандмауэр Windows": Разрешать исключения для удаленного управления и выберите пункт "Свойства".
4) Выберите вариант "Включен" и нажмите кнопку "ОК".
2.3. Разрешение на удаленный запуск DCOM.
1) Выберите в меню "Пуск" пункт "Выполнить", введите команду "DCOMCNFG" и нажмите кнопку "OК"
2) В диалоговом окне "Службы компонентов" последовательно разверните узлы "Службы компонентов", "Компьютеры" и "Мой компьютер".
3) На панели инструментов нажмите кнопку "Настройка моего компьютера". Появится диалоговое окно "Мой компьютер".
4) В диалоговом окне "Мой компьютер" перейдите на вкладку "Безопасность" СОМ.
5) В разделе "Разрешения на запуск и активацию" нажмите кнопку "Изменить ограничения"
6) Если требуемое имя пользователя или группы отсутствует в списке "Группы или пользователи" в диалоговом окне "Разрешение на запуск", выполните следующие действия.
a. В диалоговом окне "Разрешение на запуск" нажмите кнопку "Добавить".
b. В диалоговом окне "Выбор: Пользователи, Компьютеры или Группы" добавьте нужное имя пользователя или группы в поле "Введите имена выбираемых объектов" и нажмите кнопку "OК".
7) В диалоговом окне "Разрешение на запуск" выделите в списке "Группы или пользователи" пользователя или группу. В списке "Разрешения для пользователя" установите в столбце "Разрешить" флажок у записи "Удаленный запуск" и нажмите кнопку "OК"
2.4. Открытие порта DCOM.
Перед тем как открывать порты в брандмауэре Windows, убедитесь, что в групповой политике включен параметр "Брандмауэр Windows": "Разрешать локальные исключения для портов". Для этого выполните следующие действия:
1) Выберите в меню "Пуск" пункт "Выполнить", введите команду "gpedit.msc" и нажмите кнопку OК.
2) Последовательно разверните узлы "Корень консоли", "Конфигурация компьютера", "Административные шаблоны", "Сеть", "Сетевые подключения", "Брандмауэр Windows", и "Профиль домена".
3) Правой кнопкой мыши щелкните элемент "Брандмауэр Windows: Разрешать локальные исключения для портов" и выберите пункт "Свойства".
4) Выберите вариант Включен и нажмите кнопку ОК.
Примечание. Настроить исключения для портов можно с помощью параметра "Брандмауэр Windows: Задать исключения портов".
Модели DCOM сопоставлен TCP-порт 135.
Открыть порт можно, выполнив из командной строки следующую команду:
netsh firewall add portopening TCP 135 DCOM_TCP135
Другой способ:
1) Нажмите кнопку "Пуск" и выберите пункт "Панель управления."
2) Дважды щелкните значок "Брандмауэр Windows" и откройте вкладку "Исключения"
3) Нажмите кнопку "Добавить порт".
4) В поле "Имя" введите "DCOM_TCP135", а в поле "Номер порта" введите "135"
5) Выберите вариант порт ТСР и нажмите кнопку ОК.
6) Нажмите кнопку "ОК".
2.5. Добавление приложения в список исключений брандмауэра Windows.
Перед добавлением программ в список исключений брандмауэра Windows убедитесь, что в групповой политике включен параметр "Брандмауэр Windows: Разрешать локальные исключения для программ".
1) Выберите в меню "Пуск" пункт "Выполнить", введите команду "gpedit.msc" и нажмите кнопку OК.
2) Последовательно разверните узлы "Корень консоли", "Конфигурация компьютера", "Административные шаблоны", "Сеть", "Сетевые подключения", "Брандмауэр Windows", и "Профиль домена".
3) Правой кнопкой мыши щелкните элемент "Брандмауэр Windows: Разрешать локальные исключения для программ" и выберите пункт "Свойства".
4) Выберите вариант "Включен" и нажмите кнопку ОК.
Примечание. Настроить исключения для портов можно с помощью параметра "Брандмауэр Windows: Задать исключения для программ".
Чтобы добавить клиентское приложение в список исключений брандмауэра Windows, выполните следующие действия.
Выполните из командной строки следующую команду:
netsh firewall add allowedprogram путь_к_программе\SoftwareAuditPro.exe SoftwareAuditPro ENABLE
Другой способ:
1) Нажмите кнопку "Пуск" и выберите пункт "Панель управления".
2) Дважды щелкните значок "Брандмауэр Windows" и откройте вкладку "Исключения".
3) Нажмите кнопку "Добавить программу".
4) Найдите SoftwareAuditPro.exe в папке программы (в "Program Files") и нажмите кнопку ОК.
5) Нажмите кнопку ОК.