رفض الوصول إلى WMI للمكالمات غير المتزامنة

على عمليات الاسترجاعات غير المتزامنة لأحداث WMI إلى الأجهزة البعيدة.

قد تحتاج إلى القيام بما يلي.
الروابط:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

نص:
إعداد أمان DCOM للسماح للمستخدم بالوصول إلى الكمبيوتر عن بعد
يرتبط الأمان في WMI بالاتصال بمساحة اسم WMI. يستخدم WMI DCOM لمعالجة المكالمات البعيدة. يرجع أحد أسباب فشل الاتصال بجهاز كمبيوتر بعيد إلى فشل DCOM (الخطأ العشري "رفض الوصول إلى DCOM" -2147024891 أو السداسي عشرية 0x80070005). لمزيد من المعلومات حول أمان DCOM في WMI لتطبيقات C ++ ، راجع إعداد أمان عملية تطبيق العميل.
يمكنك تكوين إعدادات DCOM لـ WMI باستخدام الأداة المساعدة لتكوين DCOM (DCOMCnfg.exe) الموجودة في أدوات إدارية في لوحة التحكم. تكشف هذه الأداة المساعدة الإعدادات التي تمكن بعض المستخدمين من الاتصال بالكمبيوتر عن بعد من خلال DCOM. يُسمح لأعضاء مجموعة المسؤولين بالاتصال بجهاز الكمبيوتر عن بُعد بشكل افتراضي. باستخدام هذه الأداة المساعدة ، يمكنك ضبط الأمان لبدء خدمة WMI والوصول إليها وتكوينها.
يصف الإجراء التالي كيفية منح أذونات بدء التشغيل والتنشيط DCOM عن بعد لبعض المستخدمين والمجموعات. إذا كان الكمبيوتر أ يتصل عن بعد بالكمبيوتر B ، فيمكنك تعيين هذه الأذونات على الكمبيوتر ب للسماح لمستخدم أو مجموعة ليست جزءًا من مجموعة المسؤولين على الكمبيوتر ب بتنفيذ مكالمات بدء التشغيل والتنشيط DCOM على الكمبيوتر ب.
Aa393266.wedge (en-us ، VS.85) .gif لمنح أذونات التشغيل والتشغيل عن بُعد لـ DCOM لمستخدم أو مجموعة
انقر فوق ابدأ ، انقر فوق تشغيل ، اكتب DCOMCNFG ، ثم انقر فوق موافق.
في مربع الحوار خدمات المكونات ، قم بتوسيع خدمات المكونات ، قم بتوسيع أجهزة الكمبيوتر ، ثم انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر وانقر فوق خصائص.
في مربع الحوار "خصائص جهاز الكمبيوتر" ، انقر فوق علامة التبويب أمان COM.
ضمن أذونات التشغيل والتفعيل ، انقر فوق تحرير الحدود.
في مربع الحوار إذن التشغيل ، اتبع الخطوات التالية إذا لم يظهر اسمك أو مجموعتك في قائمة المجموعات أو أسماء المستخدمين:
في مربع الحوار إذن التشغيل ، انقر فوق إضافة.
في مربع الحوار تحديد مستخدمين أو أجهزة كمبيوتر أو مجموعات ، أضف اسمك والمجموعة في المربع أدخل أسماء الكائنات المراد تحديدها ، ثم انقر فوق موافق.
في مربع الحوار إذن التشغيل ، حدد المستخدم والمجموعة في مربع أسماء المجموعات أو المستخدمين. في العمود السماح ضمن أذونات للمستخدم ، حدد "التشغيل عن بُعد" وحدد "التنشيط عن بُعد" ، ثم انقر فوق "موافق".
يصف الإجراء التالي كيفية منح أذونات الوصول البعيد DCOM لبعض المستخدمين والمجموعات. إذا كان الكمبيوتر أ يتصل عن بعد بالكمبيوتر B ، فيمكنك تعيين هذه الأذونات على الكمبيوتر ب للسماح لمستخدم أو مجموعة ليست جزءًا من مجموعة المسؤولين على الكمبيوتر ب بالاتصال بالكمبيوتر ب.
Aa393266.wedge (en-us ، VS.85) .gif لمنح أذونات الوصول عن بُعد لـ DCOM
انقر فوق ابدأ ، انقر فوق تشغيل ، اكتب DCOMCNFG ، ثم انقر فوق موافق.
في مربع الحوار خدمات المكونات ، قم بتوسيع خدمات المكونات ، قم بتوسيع أجهزة الكمبيوتر ، ثم انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر وانقر فوق خصائص.
في مربع الحوار "خصائص جهاز الكمبيوتر" ، انقر فوق علامة التبويب أمان COM.
ضمن أذونات الوصول ، انقر فوق تحرير الحدود.
في مربع الحوار "إذن الوصول" ، حدد ANONYMOUS LOGON name في مربع أسماء المجموعات أو المستخدمين. في العمود السماح ضمن أذونات المستخدم ، حدد الوصول البعيد ، ثم انقر فوق موافق.

إعداد اتصال WMI عن بعد

قد يتطلب الاتصال بمساحة اسم WMI على كمبيوتر بعيد تغيير إعدادات جدار حماية Windows أو التحكم في حساب المستخدم (UAC) أو DCOM أو إدارة كائنات طراز المعلومات العامة (CIMOM).
تمت مناقشة الأقسام التالية في هذا الموضوع:
إعدادات جدار حماية Windows
إعدادات التحكم في حساب المستخدم
إعدادات DCOM
إعدادات CIMOM
مواضيع ذات صلة
إعدادات جدار حماية Windows
تعمل إعدادات WMI لإعدادات جدار حماية Windows على تمكين اتصالات WMI فقط ، بدلاً من تطبيقات DCOM الأخرى أيضًا.
يجب تعيين استثناء في جدار الحماية لـ WMI على الكمبيوتر الهدف البعيد. استثناء WMI يسمح WMI لتلقي الاتصالات عن بعد وعمليات الاسترجاعات غير المتزامنة إلى Unsecapp.exe. لمزيد من المعلومات ، راجع إعداد الأمان على مكالمة غير متزامنة.
إذا قام أحد تطبيقات العميل بإنشاء مصدره الخاص به ، فيجب إضافة ذلك المستنقع بشكل صريح إلى استثناءات جدار الحماية للسماح بنجاح عمليات الاسترجاعات.
يعمل استثناء WMI أيضًا في حالة بدء تشغيل WMI بمنفذ ثابت ، باستخدام الأمر winmgmt / standalonehost. لمزيد من المعلومات ، راجع إعداد منفذ ثابت لنظام WMI.
يمكنك تمكين أو تعطيل حركة مرور WMI من خلال Windows Firewall UI.
Aa822854.wedge (en-us ، VS.85) .gif لتمكين أو تعطيل حركة مرور WMI باستخدام واجهة جدار الحماية
في لوحة التحكم ، انقر فوق الأمان ، ثم انقر فوق جدار حماية Windows.
انقر فوق "تغيير الإعدادات" ثم انقر فوق علامة التبويب "استثناءات".
في نافذة "الاستثناءات" ، حدد خانة الاختيار لـ Windows Management Instrumentation (WMI) لتمكين حركة مرور WMI عبر جدار الحماية. لتعطيل حركة مرور WMI ، قم بإلغاء تحديد خانة الاختيار.
يمكنك تمكين أو تعطيل حركة مرور WMI من خلال جدار الحماية في موجه الأوامر.
Aa822854.wedge (en-us ، VS.85) .gif لتمكين أو تعطيل حركة مرور WMI في موجه الأوامر باستخدام مجموعة قاعدة WMI
استخدم الأوامر التالية في موجه الأوامر. اكتب ما يلي لتمكين حركة مرور WMI من خلال جدار الحماية.
مجموعة قواعد مجموعة جدار الحماية netsh advfirewall = ”أدوات إدارة Windows (wmi)” تمكين جديد = نعم
اكتب الأمر التالي لتعطيل حركة مرور WMI من خلال جدار الحماية.
مجموعة قواعد مجموعة جدار الحماية netsh advfirewall = ”أدوات إدارة Windows (wmi)” تمكين جديد = لا
بدلاً من استخدام أمر مجموعة القاعدة WMI المنفرد ، يمكنك أيضًا استخدام أوامر فردية لكل من DCOM وخدمة WMI ومغسلة.
Aa822854.wedge (en-us ، VS.85) .gif لتمكين حركة مرور WMI باستخدام قواعد منفصلة لـ DCOM و WMI ومغسلة رد الاتصال والاتصالات الصادرة
لتأسيس استثناء جدار حماية لمنفذ DCOM 135 ، استخدم الأمر التالي.
netsh advfirewall firewall إضافة قاعدة dir = in name = ”DCOM” program =٪ systemroot٪ \ system32 \ svchost.exe service = rpcss action = allow protocol = TCP localport = 135
لتأسيس استثناء جدار حماية لخدمة WMI ، استخدم الأمر التالي.
netsh advfirewall firewall إضافة قاعدة dir = in name = ”WMI” program =٪ systemroot٪ \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = أي
لتأسيس استثناء لجدار الحماية للمغسلة التي تتلقى عمليات الاسترجاعات من كمبيوتر بعيد ، استخدم الأمر التالي.
netsh advfirewall firewall إضافة قاعدة dir = in name = ”UnsecApp” برنامج =٪ systemroot٪ \ system32 \ wbem \ unsecapp.exe action = allow
لتأسيس استثناء جدار حماية للاتصالات الصادرة إلى كمبيوتر بعيد يتصل به الكمبيوتر المحلي بشكل غير متزامن ، استخدم الأمر التالي.
netsh advfirewall firewall إضافة قاعدة dir = out name = ”WMI_OUT” برنامج =٪ systemroot٪ \ system32 \ svchost.exe = إجراء winmgmt = السماح بالبروتوكول = منفذ TCP المحلي = أي
لتعطيل استثناءات جدار الحماية بشكل منفصل ، استخدم الأوامر التالية.
Aa822854.wedge (en-us ، VS.85) .gif لتعطيل حركة مرور WMI باستخدام قواعد منفصلة لـ DCOM و WMI ومغسلة رد الاتصال والاتصالات الصادرة
لتعطيل استثناء DCOM.
netsh advfirewall جدار حذف اسم القاعدة = ”DCOM”
لتعطيل استثناء خدمة WMI.
netsh advfirewall جدار حذف اسم القاعدة = ”WMI”
لتعطيل استثناء الحوض.
netsh advfirewall جدار حذف اسم القاعدة = ”UnsecApp”
لتعطيل الاستثناء الصادر.
netsh advfirewall جدار حذف اسم القاعدة = ”WMI_OUT”
إعدادات التحكم في حساب المستخدم
يمكن أن تؤثر تصفية رمز الوصول إلى التحكم في حساب المستخدم (UAC) على العمليات المسموح بها في مساحات أسماء WMI أو البيانات التي يتم إرجاعها. ضمن UAC ، تعمل جميع الحسابات في مجموعة Administrators المحلية برمز وصول مستخدم قياسي ، يُعرف أيضًا باسم تصفية رمز وصول UAC. يمكن لحساب المسؤول تشغيل برنامج نصي بامتياز مرتفع - "تشغيل كمسؤول".
عند عدم الاتصال بحساب المسؤول المضمن ، تؤثر UAC على الاتصالات بجهاز كمبيوتر بعيد بشكل مختلف اعتمادًا على ما إذا كان جهازي الكمبيوتر في مجال أو مجموعة عمل. لمزيد من المعلومات حول UAC والاتصالات البعيدة ، راجع التحكم في حساب المستخدم و WMI.
إعدادات DCOM
لمزيد من المعلومات حول إعدادات DCOM ، راجع تأمين اتصال WMI عن بعد. ومع ذلك ، UAC يؤثر على الاتصالات لحسابات المستخدمين nondomain. إذا قمت بالاتصال بجهاز كمبيوتر بعيد باستخدام حساب مستخدم غير عادي مضمن في مجموعة المسؤولين المحليين للكمبيوتر البعيد ، فيجب عليك إذن منح حق الوصول عن بُعد إلى DCOM وتنشيطه وإطلاق حقوقه إلى الحساب.
إعدادات CIMOM
يلزم تحديث إعدادات CIMOM إذا كان الاتصال البعيد بين أجهزة الكمبيوتر التي ليس لها علاقة ثقة ؛ خلاف ذلك ، سوف تفشل اتصال غير متزامن. لا ينبغي تعديل هذا الإعداد لأجهزة الكمبيوتر في نفس المجال أو في المجالات الموثوقة.
يحتاج إدخال التسجيل التالي إلى تعديل للسماح بالردود المجهولة:
HKEY_LOCAL_MACHINE \ SOFTWARE \ مايكروسوفت \ WBEM \ CIMOM \ AllowAnonymousCallback
نوع البيانات
REG_DWORD
إذا تم تعيين قيمة AllowAnonymousCallback على 0 ، فإن خدمة WMI تمنع عمليات الاسترجاع المجهولة للعميل. إذا تم تعيين القيمة إلى 1 ، ف