• الرئيسية
  • Kb
  • تم رفض الوصول إلى WMI لإجراء المكالمات غير المتزامنة

تم رفض الوصول إلى WMI لإجراء المكالمات غير المتزامنة

على Callbacks غير متزامن لـ أحداث WMI إلى الأجهزة البعيدة.

قد تحتاج إلى القيام بما يلي.
الروابط:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

نص:
إعداد أمان DCOM للسماح لأحد المستخدمين بالوصول إلى الكمبيوتر عن بُعد
يرتبط الأمان في WMI للاتصال مساحة اسم WMI. يستخدم WMI DCOM لمعالجة المكالمات البعيدة. سبب واحد فشل الاتصال بجهاز كمبيوتر بعيد بسبب فشل DCOM (خطأ "DCOM وصول مرفوض" عشري - 2147024891 أو سداسي عشرية 0x80070005). لمزيد من المعلومات حول أمان DCOM في WMI لتطبيقات C ++ ، راجع إعداد أمان معالجة تطبيق العميل.
يمكنك تكوين إعدادات DCOM لـ WMI باستخدام الأداة المساعدة DCOM Config (DCOMCnfg.exe) الموجودة في "أدوات إدارية" في "لوحة التحكم". تعرض هذه الأداة المساعدة الإعدادات التي تمكن بعض المستخدمين من الاتصال بالكمبيوتر عن بُعد من خلال DCOM. يُسمح لأعضاء مجموعة المسؤولين بالاتصال عن بُعد بالكمبيوتر افتراضيًا. باستخدام هذه الأداة ، يمكنك ضبط الأمان لبدء خدمة WMI والوصول إليها وتكوينها.
يصف الإجراء التالي كيفية منح أذونات بدء التشغيل وتفعيل DCOM لبعض المستخدمين والمجموعات. إذا كان الكمبيوتر A متصل عن بعد بـ Computer B ، فيمكنك تعيين هذه الأذونات على الكمبيوتر B للسماح لمستخدم أو مجموعة ليست جزءًا من مجموعة المسؤولين على الكمبيوتر B بتنفيذ مكالمات بدء التشغيل وتفعيل DCOM على الكمبيوتر B.
Aa393266.wedge (en-us، VS.85) .gif لمنح أذونات التشغيل والتشغيل عن بُعد لـ DCOM لمستخدم أو مجموعة
انقر فوق ابدأ ، ثم انقر فوق تشغيل ، ثم اكتب DCOMCNFG ، ثم انقر فوق موافق.
في مربع الحوار خدمات المكونات ، قم بتوسيع خدمات المكونات ، قم بتوسيع Computers ، ثم انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر ثم انقر فوق خصائص.
في مربع الحوار "خصائص جهاز الكمبيوتر" ، انقر فوق علامة التبويب أمان COM.
تحت التشغيل وأذونات التنشيط ، انقر فوق تحرير الحدود.
في مربع الحوار "إذن التشغيل" ، اتبع الخطوات التالية إذا لم يظهر اسمك أو مجموعتك في قائمة أسماء المجموعات أو المستخدمين:
في مربع الحوار "إذن التشغيل" ، انقر فوق "إضافة".
في مربع الحوار Select Users، Computers، or Groups ، أضف اسمك والمجموعة في المربع أدخل أسماء الكائنات المراد تحديدها ، ثم انقر فوق موافق.
في مربع الحوار "إذن التشغيل" ، حدد المستخدم والمجموعة في مربع أسماء المجموعات أو المستخدمين. في العمود السماح تحت أذونات المستخدم ، حدد Remote Launch (بدء التشغيل عن بعد) وحدد Remote Activation (تنشيط عن بعد) ، ثم انقر فوق OK (موافق).
يصف الإجراء التالي كيفية منح أذونات الوصول البعيد DCOM لبعض المستخدمين والمجموعات. إذا كان الكمبيوتر A يتصل عن بعد بـ Computer B ، فيمكنك تعيين هذه الأذونات على الكمبيوتر B للسماح لمستخدم أو مجموعة ليست جزءًا من مجموعة المسؤولين على الكمبيوتر B للاتصال بجهاز الكمبيوتر B.
Aa393266.wedge (en-us، VS.85) .gif لمنح أذونات الوصول عن بعد DCOM
انقر فوق ابدأ ، ثم انقر فوق تشغيل ، ثم اكتب DCOMCNFG ، ثم انقر فوق موافق.
في مربع الحوار خدمات المكونات ، قم بتوسيع خدمات المكونات ، قم بتوسيع Computers ، ثم انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر ثم انقر فوق خصائص.
في مربع الحوار "خصائص جهاز الكمبيوتر" ، انقر فوق علامة التبويب أمان COM.
تحت أذونات الوصول ، انقر فوق تحرير الحدود.
في مربع الحوار "إذن الوصول" ، حدد اسم LOGON ANONYMOUS في مربع أسماء المجموعات أو المستخدمين. في العمود السماح ضمن أذونات المستخدم ، حدد الوصول البعيد ، ثم انقر فوق موافق.

إعداد اتصال WMI عن بعد

قد يتطلب الاتصال بمساحة اسم WMI على كمبيوتر بعيد أن تقوم بتغيير إعدادات جدار حماية Windows أو التحكم في حساب المستخدم (UAC) أو DCOM أو Common Object Model Object Manager (CIMOM).
تتم مناقشة الأقسام التالية في هذا الموضوع:
إعدادات جدار حماية Windows
العضو إعدادات التحكم في حساب
إعدادات DCOM
إعدادات CIMOM
مواضيع ذات صلة
إعدادات جدار حماية Windows
تمكين إعدادات WMI لإعدادات جدار حماية Windows اتصالات WMI فقط ، بدلاً من تطبيقات DCOM الأخرى أيضاً.
يجب تعيين استثناء في جدار الحماية لـ WMI على الكمبيوتر الهدف البعيد. الاستثناء لـ WMI يسمح WMI لتلقي الاتصالات البعيدة و callbacks غير متزامن إلى Unsecapp.exe. لمزيد من المعلومات ، راجع إعداد الأمان في مكالمة غير متزامنة.
إذا قام تطبيق عميل بإنشاء حوض خاص به ، فيجب إضافة ذلك الاستبعاء بشكل صريح إلى استثناءات جدار الحماية للسماح بنجاح الاستدعاءات.
يعمل الاستثناء لـ WMI أيضًا إذا تم بدء WMI باستخدام منفذ ثابت ، باستخدام الأمر winmgmt / standalonehost. لمزيد من المعلومات ، راجع إعداد منفذ ثابت لـ WMI.
يمكنك تمكين أو تعطيل حركة مرور WMI من خلال واجهة مستخدم Windows Firewall.
Aa822854.wedge (en-us، VS.85) .gif لتمكين أو تعطيل حركة مرور WMI باستخدام واجهة مستخدم جدار الحماية
في لوحة التحكم ، انقر فوق الأمان ثم انقر فوق جدار حماية Windows.
انقر فوق تغيير الإعدادات ثم انقر فوق علامة التبويب استثناءات.
في الإطار "استثناءات" ، حدد خانة الاختيار الخاصة بـ Windows Management Instrumentation (WMI) لتمكين حركة مرور WMI من خلال جدار الحماية. لتعطيل حركة مرور WMI ، قم بإلغاء تحديد خانة الاختيار.
يمكنك تمكين أو تعطيل حركة مرور WMI من خلال جدار الحماية في موجه الأوامر.
Aa822854.wedge (en-us، VS.85) .gif لتمكين أو تعطيل حركة مرور WMI في موجه الأوامر باستخدام مجموعة قاعدة WMI
استخدم الأوامر التالية في موجه الأوامر. اكتب ما يلي لتمكين حركة مرور WMI من خلال جدار الحماية.
netsh advfirewall firewall set rule group = ”windows management instrumentation (wmi)” new enable = yes
اكتب الأمر التالي لتعطيل حركة مرور WMI من خلال جدار الحماية.
netsh advfirewall firewall set rule group = ”windows management instrumentation (wmi)” new enable = no
بدلاً من استخدام أمر مجموعة قاعدة WMI واحدة ، يمكنك أيضًا استخدام أوامر فردية لكل من DCOM ، وخدمة WMI ، والمغسلة.
Aa822854.wedge (en-us، VS.85) .gif لتمكين حركة مرور WMI باستخدام قواعد منفصلة لـ DCOM و WMI ومدخل معاودة الاتصال والاتصالات الصادرة
لإنشاء استثناء جدار حماية لمنفذ DCOM 135 ، استخدم الأمر التالي.
جدار الحماية netsh advfirewall إضافة قاعدة dir = في اسم = "DCOM" البرنامج =٪ systemroot٪ \ system32 \ svchost.exe service = rpcss action = allow protocol = TCP localport = 135
لإنشاء استثناء جدار حماية لخدمة WMI ، استخدم الأمر التالي.
جدار الحماية netsh advfirewall إضافة قاعدة dir = في اسم = "WMI" البرنامج = خدمة٪ systemroot٪ \ system32 \ svchost.exe = إجراء winmgmt = السماح protocol = TCP localport = أي
لإنشاء استثناء جدار حماية للمغسلة التي تتلقى عمليات الاسترداد من كمبيوتر بعيد ، استخدم الأمر التالي.
جدار الحماية netsh advfirewall إضافة قاعدة dir = في اسم = "UnsecApp" البرنامج =٪ systemroot٪ \ system32 \ wbem \ unsecapp.exe الإجراء = السماح
لإنشاء استثناء جدار حماية للاتصالات الصادرة إلى كمبيوتر بعيد يتصل به الكمبيوتر المحلي بشكل غير متزامن ، استخدم الأمر التالي.
جدار الحماية netsh advfirewall إضافة القاعدة dir = اسم الخارج = "WMI_OUT" البرنامج =٪ systemroot٪ \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = أي
لتعطيل استثناءات جدار الحماية بشكل منفصل ، استخدم الأوامر التالية.
Aa822854.wedge (en-us، VS.85) .gif لتعطيل حركة مرور WMI باستخدام قواعد منفصلة لـ DCOM و WMI ومدخل معاودة الاتصال والاتصالات الصادرة
لتعطيل استثناء DCOM.
netsh advfirewall firewall delete rule name = ”DCOM“
لتعطيل استثناء خدمة WMI.
netsh advfirewall firewall delete rule name = ”WMI“
لتعطيل الاستثناء بالوعة.
netsh advfirewall firewall delete rule name = “UnsecApp”
لتعطيل الاستثناء الخارج.
netsh advfirewall firewall delete rule name = ”WMI_OUT“
العضو إعدادات التحكم في حساب
يمكن أن تؤثر تصفية التفضيلات الخاصة بالوصول إلى حساب المستخدم (UAC) على العمليات المسموح بها في مساحات أسماء WMI أو ما هي البيانات التي يتم إرجاعها. ضمن UAC ، يتم تشغيل جميع الحسابات في مجموعة المسؤولين المحليين مع رمز وصول مستخدم قياسي ، يُعرف أيضًا باسم تصفية رمز الوصول عبر رمز UAC. يمكن أن يقوم حساب المسؤول بتشغيل برنامج نصي ذو امتياز مرتفع — "تشغيل كمسؤول".
عند عدم الاتصال بحساب المسؤول المضمن ، يؤثر UAC على الاتصالات إلى كمبيوتر بعيد بشكل مختلف بناءً على ما إذا كان جهازي الكمبيوتر في مجال أو في مجموعة عمل. لمزيد من المعلومات حول UAC والوصلات البعيدة ، راجع التحكم في حساب المستخدم و WMI.
إعدادات DCOM
لمزيد من المعلومات حول إعدادات DCOM ، راجع تأمين اتصال WMI عن بُعد. ومع ذلك ، يؤثر UAC على اتصالات حسابات المستخدمين nondomain. إذا قمت بالاتصال بجهاز كمبيوتر بعيد باستخدام حساب مستخدم nondomain مضمّن في مجموعة Administrators المحلية للكمبيوتر البعيد ، فيجب أن تمنح صراحة وصول DCOM البعيد ، والتفعيل ، وحقوق الإطلاق إلى الحساب.
إعدادات CIMOM
يجب تحديث إعدادات CIMOM إذا كان الاتصال عن بعد بين أجهزة الكمبيوتر التي ليس لها علاقة ثقة؛ خلاف ذلك ، سيفشل اتصال غير متزامن. لا يجب تعديل هذا الإعداد لأجهزة الكمبيوتر في نفس المجال أو في المجالات الموثوقة.
يحتاج إدخال السجل التالي إلى تعديل للسماح بردات الاتصال المجهولة:
HKEY_LOCAL_MACHINE \ SOFTWARE \ مايكروسوفت \ WBEM \ CIMOM \ AllowAnonymousCallback
نوع البيانات
REG_DWORD
إذا تم تعيين قيمة AllowAnonymousCallback إلى 0 ، يمنع خدمة WMI عمليات الاستدعاء المجهولة إلى العميل. إذا تم تعيين القيمة على 1 ، ال