Freigeben über

Problembehandlung bei der Sms-Administratorkonsolenkonnektivität

In diesem Artikel wird beschrieben, wie Sie probleme mit einer neuen oder einer vorhandenen SMS-Administratorkonsole beheben können, um festzustellen, warum keine Verbindung mit dem Standortserver hergestellt werden kann.

Ursprüngliche KB-Nummer: 317872

Übersicht

Wenn Sie SMS verwenden und versuchen, eine Verbindung mit dem Standortserver herzustellen, wird möglicherweise eine Meldung "Verbindung fehlgeschlagen" angezeigt. Oder die Knoten werden nach der Verbindung möglicherweise nicht angezeigt. Darüber hinaus können Fehler, die den folgenden ähneln, in der AdminUI.log Datei auf dem Server protokolliert werden:

Fehler: Möglicher Fehlercode für die UI-Verbindung ist -2147023174 [0x800706ba]

Fehler: Möglicher Fehlercode für die UI-Verbindung ist -2146959355 [0x80080005]

Fehler: Möglicher Fehlercode für die UI-Verbindung ist -2147217394

Fehler: Möglicher Fehlercode für die UI-Verbindung ist -2147217389[0x80041013] Fehler beim Ausführen der Methode GetProviderVersion! Function GetProviderVersion gibt leere Zeichenfolge von ProviderVersion zurück. Fehler beim Wbem-Aufruf: T_WbemSyncEnumToContainer_Core, Rückgabecode: -2147217389 Fehler beim Abrufen der ProviderVersion. SiteCode – SiteServerName, Anbieterversion: Fehler beim Festlegen der Verbindung. Fehlercode: -2147217389

Error(ConnectServer): Möglicher Fehlercode für die UI-Verbindung ist -2147024891

Fehler: Möglicher Fehlercode für die UI-Verbindung ist -2147024891 [0x80070005]

[994][<Datumszeit>><]: Fehler(CheckForDisconnect2): Ungültiger Dienstzeiger. Die WMI-Verbindung wurde gelöscht. : -2147024891 [0x80070005]

Weitere Informationen

So gewähren Sie Zugriff auf die SMS-Administratorkonsole

Um auf eine lokale oder Remote-SMS-Administratorkonsole zuzugreifen, müssen Benutzer Mitglieder der lokalen GRUPPE SMS-Administratoren sein. Die Gruppe "SMS-Administratoren" wird explizit "Konto aktivieren" und "Remoteaktiv" im Root\SMS-Namespace gewährt. Die Gruppe SMS Admins bietet ihren Mitgliedern Zugriff auf den SMS-Anbieter über WMI. Fügen Sie der Gruppe "SMS-Administratoren" Benutzer hinzu, wenn sie auf die SMS-Administratorkonsole zugreifen müssen, aber nicht lokale Administratoren sein müssen. Wenn Sie eine andere lokale Gruppe verwenden möchten, um zugriff auf die SMS-Administratorkonsole zu gewähren, müssen Sie dieser lokalen oder domänenlokalen Gruppe auch die gleiche WMI-Berechtigung wie die GRUPPE SMS-Administratoren erteilen. Führen Sie die folgenden Schritte aus, um Zugriff auf die SMS-Administratorkonsole zu gewähren:

  1. Erstellen Sie eine globale Gruppe für die Domäne, die Benutzer enthält, die bestimmten Zugriff auf die SMS-Administratorkonsole benötigen.

  2. Fügen Sie diese globale Gruppe oder das explizite Domänenbenutzerkonto der lokalen GRUPPE SMS-Administratoren hinzu.

  3. Konfigurieren Sie die SMS-Berechtigungen für die von Ihnen erstellte globale Gruppe.

    Notiz

    • Um diesen Schritt abzuschließen, müssen Sie ein Administrator sein und über vollständige Berechtigungen für die Website verfügen.
    • Wenn Sie eine Verbindung mit der Datenbank herstellen können, aber die Knoten nicht aufgezählt werden, überprüfen Sie die SMS-Berechtigungen, die der globalen Gruppe oder einem bestimmten Benutzer im Sicherheitsknoten der SMS-Administratorkonsole gewährt werden. Bestimmen Sie beispielsweise, ob der Auflistungsknoten, der Paketknoten oder andere Knoten Inhalte anzeigen.

    Die berechtigungen, die Sie gewähren, hängen von der Funktionalität ab, die die Mitglieder dieser globalen Gruppe ausführen sollen. Um Berechtigungen zu erteilen, klicken Sie in der SMS-Administratorkonsole mit der rechten Maustaste auf den Knoten "Sicherheitsrechte", zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "SMS-Benutzer verwalten", um den Sicherheits-Assistenten zu starten.

  4. Verwenden Sie den Assistenten, um die Sicherheitseinstellungen von Benutzern und Gruppen hinzuzufügen, zu entfernen oder zu ändern.

Problembehandlung bei der Sms-Administratorkonsolenkonnektivität

Wenn Sie eine Remote-SMS-Administratorkonsole testen, stellen Sie sicher, dass das neueste SMS Service Pack auf diese Konsole angewendet wurde. Wenn das Service Pack nicht angewendet wurde, kann ein Fehler, der dem folgenden ähnelt, in der AdminUI.log Datei protokolliert werden:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! Fehler beim Festlegen der Verbindung. Fehlercode: -2147217407 Führen Sie das Setupprogramm aus der Service Pack-Quelle aus, um zu ermitteln, ob die SMS-Administratorkonsole die einzige Komponente ist, die aktualisiert werden muss.

Beachten Sie die folgenden Probleme, um die Konsolenkonnektivität von SMS-Administratoren zu beheben:

  • Ist der SMS-Standortserver mit Microsoft Windows Server 2003 mit Service Pack 1 (SP1)?

    In Windows Server 2003 mit SP1 wird eine neue lokale Gruppe erstellt, die verteilte COM-Benutzer heißt. Um das Verbindungsproblem in Windows Server 2003 Service Pack 1 zu beheben, fügen Sie die Benutzer hinzu, die versuchen, Remoteverbindungen zur SMS-Administratorkonsole zur lokalen Gruppe "Verteilte COM-Benutzer" herzustellen.

  • Ist der Benutzer Mitglied einer globalen Gruppe, die Mitglied in der Gruppe SMS Admins ist oder der Benutzer explizit in der SMS Admins Group definiert ist?

    Die Gruppe SMS-Administratoren wird während der SMS-Standortinstallation erstellt. Wenn eine Website auf einem Mitgliedsserver installiert wurde, ist die GRUPPE SMS-Administratoren eine lokale Gruppe im lokalen Sicherheitskonten-Manager (SAM). Wenn es sich bei einem Standortserver um einen Domänencontroller handelt, handelt es sich bei der GRUPPE "SMS-Administratoren" um eine lokale Gruppe in der Domäne. Der Benutzer muss zur Gruppe SMS-Administratoren gehören, da dieser Gruppe die erforderlichen Berechtigungen für den SMS- und SMS_site Codenamespace im WMI-Repository (Windows Management Instrumentation) erteilt wird, wenn die SMS-Website erstellt wird.

  • Verfügt dieser Server über eine vorherige Installation von SMS?

    Wenn der Server über eine vorherige Installation von SMS verfügt, gibt es möglicherweise mehrere Standortcodes in der SMS_ProviderLocation Klasse, die sich im SMS-Namespace des Standortservers befindet. Löschen Sie den Websitecode, der nicht mehr auf dem Standortserver vorhanden ist. Sie können das WBEMtest-Tool verwenden, um die SMS_ProverLocation Klasse anzuzeigen.

  • Bestätigen Sie auf dem Standortserver die Eigenschafteneinstellungen, die im Dcomcnfg.exe Hilfsprogramm definiert sind.

    Wenn Sie die Eigenschaften anzeigen möchten, die im Hilfsprogramm Dcomcnfg.exe definiert sind, klicken Sie auf die Registerkarte "Standardeigenschaften", und bestätigen Sie dann die folgenden Einstellungen:

    1. Das Kontrollkästchen "Verteiltes COM auf diesem Computer aktivieren" ist aktiviert.
    2. Die Standardauthentifizierungsstufe ist auf "Verbinden" festgelegt.
    3. Die Standardidentitätswechselebene ist auf "Identifizieren" festgelegt.

  • Wenn Sie eine Remote-SMS-Administratorkonsole testen, stellen Sie sicher, dass das neueste SMS Service Pack auf diese Konsole angewendet wurde.

    Führen Sie das Setupprogramm aus der Service Pack-Quelle aus, um festzustellen, ob die SMS-Administratorkonsole die einzige Komponente ist, die aktualisiert werden muss.

Nachdem Sie diese Probleme berücksichtigt haben, führen Sie die in den folgenden Abschnitten beschriebenen Problembehandlungsverfahren aus.

Problembehandlung bei SMS-Namespacekonnektivität

Stellen Sie sicher, dass der Benutzer eine Verbindung mit dem SMS-Namespace und den Namespaces des SMS_'sitecode' herstellen kann. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", und geben Sie dann "wbemtest" ein.
  2. Klicken Sie auf "Verbinden", geben Sie "\\siteserver\root\sms" ein, und klicken Sie dann auf "Anmelden".
  3. Klicken Sie auf Enumerationsklassen, klicken Sie auf "Rekursiv" und dann auf "OK".
  4. Doppelklicken Sie in der Abfrageergebnisliste auf SMS_ProviderLocation.
  5. Klicken Sie auf "Instanzen", und doppelklicken Sie dann auf die Zeile, die den Zielwebsitecode enthält. Beispiel: SMS_ProviderLocation.SiteCode="xxx.".
  6. Suchen Sie im Abschnitt "Eigenschaften " die NamespacePath-Zeile. Möglicherweise müssen Sie auf diese Zeile doppelklicken, um die gesamte Zeile anzuzeigen.
  7. Kopieren Sie den NamespacePath-Wert in die Zwischenablage. Kopieren Sie beispielsweise den folgenden Wert:\\ server_name\root\sms\site_xxx.

Wenn Sie dieses Verfahren erfolgreich abschließen, können Sie eine Verbindung mit dem Standortserver herstellen und den SMS-Namespace aufzählen.

Problembehandlung bei der Serverkonnektivität

Ermitteln Sie, ob Sie eine Verbindung mit dem Server herstellen können, auf dem sich der Anbieter befindet. Der Server wird im NamespacePath-Wert definiert, den Sie im Abschnitt "Problembehandlung bei SMS-Namespacekonnektivität" festgelegt haben. In der Regel ist dieser Server derselbe Server.

  1. Schließen Sie alle WBEMtest-Fenster, die möglicherweise geöffnet sind.
  2. Klicken Sie auf "Verbinden", fügen Sie den NamespacePath ein, den Sie in Schritt 7 kopiert haben, und klicken Sie dann auf "Anmelden".
  3. Klicken Sie auf Enumerationsklassen, klicken Sie auf "Rekursiv" und dann auf "OK".
  4. Doppelklicken Sie in der Abfrageergebnisliste auf SMS_Site.

Wenn beim Ausführen dieses Verfahrens eine Fehlermeldung "Zugriff verweigert" angezeigt wird, liegt dies möglicherweise an einer der folgenden Ursachen:

  1. Der Sicherheitskonfigurations-Assistent wurde auf dem Server ausgeführt, auf dem der SMS-Anbieter gehostet wird. Der Sicherheitskonfigurations-Assistent kann den SMS-Anbieter jedoch nicht erkennen. Wenn Sie den Assistenten auf dem Server ausführen, auf dem der SMS-Anbieter installiert ist, müssen Sie den Remote-WMI-Dienst im Assistenten aktivieren. Sofern Sie Remote-WMI nicht aktivieren, kann die SMS-Administratorkonsole auf dem Standortserver und andere Remotekonsolen keine Verbindung mit dem SMS-Namespace in WMI herstellen. Gehen Sie wie folgt vor, um Remote-WMI im Assistenten zu aktivieren:

    Wählen Sie remote WMI auf der Seite "Verwaltung und andere Optionen auswählen" des Assistenten für die Sicherheitskonfiguration aus.

    Notiz

    Weitere Informationen zum Sichern von SMS-Websitesystemen finden Sie auf der folgenden Microsoft-Website: https://technet.microsoft.com/library/cc179764.aspx

  2. Das verwendete Konto verfügt nicht über die entsprechenden Berechtigungen für den Namespace des Anbieters. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu ändern oder zu überprüfen:

    1. Klicken Sie auf dem Server, auf dem Sie die SMS-Website auflisten, auf "Start", auf "Ausführen", geben Sie "wmimgmt.msc" ein, und klicken Sie dann auf "OK".

    2. Klicken Sie mit der rechten Maustaste auf das WMI-Steuerelement, und klicken Sie dann auf "Eigenschaften".

    3. Erweitern Sie auf der Registerkarte "Sicherheit" den Eintrag "Stamm", und klicken Sie dann auf SMS.

    4. Klicken Sie im Ergebnisbereich auf "Sicherheit ", um die Berechtigungen anzuzeigen.

    5. Klicken Sie auf "Erweitert", klicken Sie auf "SMS-Administratoren", und klicken Sie dann auf "Ansicht bearbeiten".

      Für den SMS-Namespace muss die Gruppe SMS-Administratoren über die folgenden Berechtigungen verfügen:

      • Konto aktivieren
      • Remoteaktivierung

    6. Wiederholen Sie die Schritte a bis e, um die Gruppe "SMS-Administratoren" für den SMS_ xxx-Namespace zu untersuchen. (xxx ist ein Platzhalter für den Websitecode.) Erteilen Sie dann dem Benutzer oder der Gruppe die Berechtigung "Remoteaktivieren ". Wenn der Benutzer oder die Gruppe nicht über entsprechende WMI-Berechtigungen in Security für den SMS-Namespace verfügt, kann das folgende Ereignis in der AdminUI.log Datei protokolliert werden:

Andere Sicherheitsprobleme

Verwenden Sie die in diesem Abschnitt beschriebenen Problembehandlungsverfahren, wenn eine der folgenden Bedingungen zutrifft:

  • Benutzern wird weiterhin der Zugriff verweigert, wenn sie versuchen, eine Verbindung mit der Konsole herzustellen, nachdem Sie den entsprechenden Konten das Recht "Remoteaktiv" in der WMI-Sicherheit erteilt haben.
  • Die Konsole ist nur teilweise verfügbar.

Überprüfen der Konfiguration der Windows-Firewall

Windows XP SP2 und Windows Server 2003 SP1 enthalten die Windows-Firewallfunktion. Wenn Sie die SMS-Administratorkonsole auf einem Windows XP SP2-basierten oder einem Windows Server 2003 SP1-basierten Computer ausführen, auf dem die Firewall aktiviert ist, müssen Sie das Unsecapp.exe Programm und den TCP-Port 135 aktivieren, um die Windows-Firewall zu durchlaufen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie firewall.cpl ein, und klicken Sie dann auf "OK".

  2. Klicken Sie auf der Registerkarte "Allgemein " auf "Ein ", um die Firewall zu aktivieren. Klicken Sie, um das Kontrollkästchen Ausnahmen nicht zulassen zu deaktivieren.

  3. Klicken Sie auf der Registerkarte Ausnahmen auf Programm hinzufügen.

  4. Klicken Sie auf "Durchsuchen", geben Sie "%windir%\System32\Wbem\Unsecapp.exe" in das Feld "Dateiname" ein, und klicken Sie dann auf "Öffnen". Wenn Sie den Bereich definieren müssen, klicken Sie auf " Bereich ändern", und klicken Sie dann auf "OK". Klicken Sie auf OK , um das Dialogfeld Programm hinzufügen zu schließen.

  5. Klicken Sie in der Liste "Programme und Dienste " auf das Kontrollkästchen Unsecapp.exe .

  6. Klicken Sie auf "Port hinzufügen".

  7. Geben Sie im Feld "Portnummer " den Typ 135 ein. Wählen Sie TCP aus, und geben Sie dann im Feld "Name" einen Namen für die Ausnahme ein. Wenn Sie den Bereich definieren müssen, klicken Sie auf " Bereich ändern", und klicken Sie dann auf "OK". Klicken Sie auf "OK ", um das Dialogfeld "Port hinzufügen" zu schließen.

  8. Klicken Sie in der Liste "Programme und Dienste ", um das Kontrollkästchen für die Ausnahme zu aktivieren, die Sie in Schritt 7 hinzugefügt haben.

  9. Klicken Sie auf OK.

Überprüfen der DCOM-Sicherheitseinstellungen

Warnung

Nehmen Sie diese Änderungen nur vor, wenn Sie dieses Problem nicht beheben können, indem Sie der Ausnahmenliste das Unsecapp.exe Programm und den TCP-Port 135 hinzufügen.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in der Microsoft Knowledge Base auf der folgenden Artikelnummer: 322756 Sichern und Wiederherstellen der Registrierung in Windows

Sie können dieses Problem möglicherweise nicht beheben, indem Sie diese Ausnahmen zur Windows-Firewall hinzufügen. Möglicherweise müssen Sie anonyme Remoteberechtigungen in DCOM für den Clientcomputer festlegen. Führen Sie die folgenden Schritte aus, um dies auf dem Windows XP SP2-basierten Computer auszuführen, auf dem die SMS-Administratorkonsole ausgeführt wird:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie dcomcnfg.exe ein, und klicken Sie dann auf "OK".

  2. Suchen Sie den Konsolenstammknoten, erweitern Sie Komponentendienste, erweitern Sie Computer, und klicken Sie dann auf "Arbeitsplatz".

  3. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf der Registerkarte "Meine Computereigenschaften" auf die Registerkarte "COM-Sicherheit ".

  5. Klicken Sie in Zugriffsberechtigungen auf "Grenzwerte bearbeiten".

  6. Klicken Sie auf ANONYME ANMELDUNG.

  7. Klicken Sie unter "Berechtigungen für ANONYME ANMELDUNG" auf "Einstellung zulassen" für den Remotezugriff.

  8. Klicken Sie zweimal auf OK.

  9. Starten Sie den Computer neu.

Ermitteln, ob die standardmäßigen DCOM-Berechtigungen geändert wurden

Überprüfen Sie den DefaultAccessPermission-Wert unter dem folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

Dies gibt an, dass die standardmäßigen DCOM-Berechtigungen geändert wurden. Wenn dieser Wert nicht vorhanden ist, sind die DCOM-Standardberechtigungen wirksam. Um dieses Problem zu beheben, löschen Sie den DefaultAccessPermission-Wert. Dadurch werden alle standardmäßigen DCOM-Berechtigungen zurückgesetzt. Dies ist eine Maßnahme der letzten Möglichkeit und ist nicht garantiert, das Problem zu beheben.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in der Microsoft Knowledge Base auf der folgenden Artikelnummer: 322756 Sichern und Wiederherstellen der Registrierung in Windows

Wichtig

Bevor Sie diesen Wert löschen, stellen Sie sicher, dass Sie versucht haben, das Problem zu beheben, indem Sie die Schritte zur Problembehandlung in DCOM in diesem Artikel ausführen. Sichern Sie außerdem den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole Registrierungsunterschlüssel.

Führen Sie die folgenden Schritte aus, um den DefaultAccessPermission-Wert zu löschen:

  1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit& ein, und klicken Sie auf OK.

  2. Suchen Und klicken Sie dann auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.

  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf "DefaultAccessPermission", und klicken Sie dann auf "Löschen".

  4. Klicken Sie im Dialogfeld "Wert löschen bestätigen" auf "Ja".

  5. Beenden Sie den Registrierungs-Editor.

  6. Melden Sie sich vom Computer ab, und melden Sie sich dann wieder auf dem Computer an.

Einschließen der Sicherheitsgruppe "Anonyme Anmeldung" in die Sicherheitsgruppe "Jeder"

Wenn die zuvor beschriebenen Verfahren das Berechtigungsproblem für die SMS-Administratorkonsole nicht beheben, kann es schwierig sein, Folgendes zu tun:

  • Ermitteln Sie, welche Ressource anonymen Zugriff auf dem Computer erfordert, auf dem Windows XP ausgeführt wird.
  • Ändern Sie die Berechtigungen für alle erforderlichen Ressourcen In diesen Situationen müssen Sie möglicherweise den Computer erzwingen, auf dem Windows XP ausgeführt wird, um die Sicherheitsgruppe "Anonyme Anmeldung" in die Sicherheitsgruppe "Jeder" einzuschließen. Um diese Funktionalität zu unterstützen, enthält Windows XP den Registrierungseintrag "EveryoneIncludesAnonymous".

Wenn der Registrierungseintrag "EveryoneIncludesAnonymous" auf REG_DWORD 0x1 festgelegt ist, enthält die lokale Sicherheitsbehörde (Local Security Authority, LSA) die Sicherheits-ID (SID) der Sicherheitsgruppe "Jeder" im Zugriffstoken des anonymen Benutzers. Verwenden Sie eine der folgenden Methoden, um den Wert des Registrierungseintrags "EveryoneIncludesAnonymous" festzulegen.

Methode 1: Festlegen des Registrierungseintrags "EveryoneIncludesAnonymous" mithilfe lokaler Sicherheitseinstellungen

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Admintools steuern" ein, und klicken Sie dann auf "OK".

  2. Doppelklicken Sie entweder auf die lokale Sicherheitsrichtlinie oder die Domänensicherheitsrichtlinie (nur auf Domänencontrollern).

  3. Doppelklicken Sie auf lokale Richtlinien, und klicken Sie dann auf "Sicherheitsoptionen".

  4. Klicken Sie mit der rechten Maustaste auf "Netzwerkzugriff": Zulassen, dass alle Berechtigungen für anonyme Benutzer gelten, und klicken Sie dann auf "Eigenschaften".

  5. Um anonyme Benutzer als Mitglieder der Sicherheitsgruppe "Jeder" zu aktivieren, klicken Sie auf "Aktiviert". Klicken Sie auf "Deaktiviert", um die Einbeziehung der Sicherheitsgruppen-SID in das Zugriffstoken des anonymen Benutzers zu verhindern. Dies ist die Standardeinstellung in Windows XP.

Methode 2: Festlegen des Registrierungswerts "EveryoneIncludesAnonymous" mithilfe des Registrierungs-Editors

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in der Microsoft Knowledge Base auf der folgenden Artikelnummer: 322756 Sichern und Wiederherstellen der Registrierung in Windows

  1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit& ein, und klicken Sie auf OK.

  2. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie dann auf den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Klicken Sie mit der rechten Maustaste auf "EveryoneIncludesAnonymous", und klicken Sie dann auf " Ändern".

  4. Um anonyme Benutzer als Mitglieder der Sicherheitsgruppe "Jeder" zu aktivieren, geben Sie "1 " in das Feld "Wertdaten " ein. Um zu verhindern, dass die Sicherheitsgruppen-SID für jeden in das Zugriffstoken des anonymen Benutzers aufgenommen wird, geben Sie "0 " in das Feld "Wertdaten " ein. Standardmäßig ist der Wert "EveryoneIncludesAnonymous" in Windows XP auf 0 festgelegt.

  5. Beenden Sie den Registrierungs-Editor.

  6. Starten Sie den Computer neu.

Notiz

Diese Änderung kann sich auf die folgenden Windows-basierten Technologien auswirken:

  • Com
  • Dcom
  • IIS
  • Message Queuing
  • Jede andere Technologie, bei der die anonyme Authentifizierung häufig eingesetzt wird.

Zusätzliche Konnektivitätstests

Starten Sie das WMI-Steuerelement auf dem Standortserver. Starten Sie das WMI-Steuerelement nicht auf dem Anbieterserver, wenn dieser Server anders ist. Klicken Sie auf die Registerkarte "Protokollierung", und legen Sie dann die Protokollierungsebene auf "Ausführlich" fest, um die Protokollierung auf die Datei Windows_folder\System32\Wbem\Logs\Wbemcore.log zu erhöhen.

Analysieren Sie dieses Protokoll auf dem Standortserver. Der gesamte generierte WMI-Datenverkehr wird angezeigt. Suchen Sie nach der Abfrage nach SMS_Providerlocation, die aufgetreten ist, wenn eine SMS-Administratorkonsole versucht hat, eine Verbindung herzustellen. Wenn diese Abfrage vorhanden ist, können Sie bestätigen, dass die Kommunikation zwischen der Konsole und dem Standortserver besteht. Testen Sie die Konnektivität vom Standortserver zurück zur anfordernden SMS-Administratorkonsole. Die Konnektivität ist in den folgenden Szenarien möglicherweise nicht vorhanden:

  • Der Remoteprozeduraufruf (RPC)-Server ist nicht verfügbar.

  • Es gibt ein Problem mit der DNS-Namensauflösung. Die Fehlermeldung "Verbindung fehlgeschlagen" kann auch auftreten, wenn die Namensauflösung nicht ordnungsgemäß abgeschlossen ist. Um festzustellen, ob ein Problem mit der Namensauflösung auftritt, verwenden Sie das WBEMtest-Tool, und versuchen Sie, mithilfe der IP-Adresse eine Verbindung mit dem Standortserver herzustellen. Verwenden Sie beispielsweise \111.222.333.444\root\default als Adresse. Wenn Sie eine Verbindung herstellen können, wenn Sie die IP-Adresse verwenden, aber keine Verbindung herstellen können, wenn Sie den NetBIOS-Namen des Standortservers verwenden, tritt ein Problem mit der Namensauflösung auf. Um dieses Problem zu beheben, bestätigen Sie entweder die WINS- oder DIE DNS-Konfigurationen.

Wenn Sie Knoten in einer Remote-SMS-Administratorkonsole erweitern, erstellt der SMS-Standortserver eine DCOM-Verbindung mit dem Computer, auf dem die Konsole installiert ist. Wenn für den Computer, auf dem die Konsole installiert ist, ein ungültiger DNS-Eintrag vorhanden ist, versucht der SMS-Standortserver möglicherweise, eine Verbindung mit der falschen IP-Adresse herzustellen. In diesem Fall wird der Konsolenknoten nicht erweitert, und der Konsolencomputer protokolliert den Fehler "WMI-Verbindung wurde gelöscht" im AdminUI.log. Um dies zu beheben, führen Sie den nslookup <console_computer_name> Befehl aus, um sicherzustellen, dass der Name in die richtige IP-Adresse aufgelöst wird. Wenn eine ungültige DNS-Registrierung für den Konsolencomputer vorhanden ist, entfernen Sie die ungültige DNS-Registrierung. Ermitteln Sie außerdem, wie die ungültige DNS-Registrierung erstellt wurde, um zu verhindern, dass sie erneut ausgeführt wird. Beispielsweise hat der Konsolencomputer möglicherweise eine VPN-Adresse registriert, aber die VPN-Adresse wurde nicht aus DNS entfernt, wenn die VPN-Verbindung getrennt wurde. Nachdem Sie das DNS-Problem behoben haben, führen Sie den folgenden Befehl an einer Eingabeaufforderung auf dem SMS 2003-Standortserver aus: ipconfig /flushdns

Wenn Sie den vollqualifizierten Domänennamen des Windows XP SP2-basierten Computers nicht mithilfe von DNS auflösen können, erstellen Sie einen Eintrag in der Hostdatei auf dem SMS 2003-Standortserver, um den vollqualifizierten Domänennamen des windows XP SP2-basierten Computers der IP-Adresse zuzuordnen.

Bekannte Probleme mit microsoft ISA-Server- oder Prüfpunkt-VPN-Software

Wenn Sie einige Knoten auf einer Remotekonsole nicht über eine Remoteverbindung von einem Windows 2003 SP1-Computer erweitern können, können remoteprozedurbasierte Vorgänge fehlschlagen, wenn bestimmte Firewall- und VPN-Produkte Netzwerkanforderungen verweigern. Diese Netzwerkanforderungen können auf Computern fehlschlagen, auf denen Sie Windows Server 2003 Service Pack 1 (SP1) auf einen Windows Server 2003-basierten Computer oder Ihre OEM- oder Einzelhandelsinstallationsmedien anwenden, einschließlich SP1-Updates. Die folgenden Produkte können diese Netzwerkanforderungen verweigern:

  • Firewall- oder VPN-Produkte (Virtual Private Network) von Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA)-Server

Dieses Problem kann auch auftreten, wenn die folgenden Bedingungen erfüllt sind:

  • Die RPC-Verbindung vom Client erfolgt über TCP-Port 135 und ist aktiviert.
  • Die Antwort vom zentralen Standortserver über ephemeren Ports, die über Port 1024 liegen, und die Firewall blockiert diesen Portbereich. Um dieses Problem zu beheben, konfigurieren Sie den Client und den Server, um den von der RPC-Verbindung verwendeten Portbereich einzuschränken, und aktivieren Sie dann diesen Bereich in der Firewall. Verwenden Sie dazu die im folgenden Artikel in der Microsoft Knowledge Base beschriebene Methode: 154596 Konfigurieren der dynamischen RPC-Portzuweisung für die Verwendung von Firewalls

References

Weitere Informationen zum Sichern von WMI-Remoteverbindungen finden Sie auf der folgenden Microsoft-Website: Verwalten der WMI-Sicherheit.