Guida dello scenario: Risolvere i problemi di connettività e accesso WMI

Questo articolo illustra come esaminare la configurazione di Strumentazione gestione Windows (WMI) e come diagnosticare e risolvere i problemi di connettività o accesso WMI.

Ecco alcuni esempi di problemi di configurazione o connettività WMI che possono verificarsi. I problemi provengono da prodotti e applicazioni diversi che usano o dipendono da WMI.

• La Creazione guidata cluster tenta di connettersi a un computer remoto (il nodo del cluster) ma non riesce a recuperare i dati.

  

  

• Quando il programma di installazione del ruolo Active Directory tenta di comunicare con il computer host, la configurazione guidata di Dominio di Active Directory Services ha esito negativo e viene visualizzato l'errore seguente:

  Adprep non è riuscito a recuperare dati dal server testbox.contoso.com tramite Strumentazione gestione Windows (WMI).

  

• La query WMI locale non riesce a usare il Get-WmiObject cmdlet di PowerShell e riceve l'errore "Accesso negato".

  

Flusso di connessione

Sono presenti più componenti e livelli coinvolti in una connessione WMI. I componenti seguenti sono coinvolti a livello generale:

• Applicazione client o di gestione che avvia la connessione o la query WMI

• Componente COM (Component Object Model) o DCOM (Distributed Component Object Model) usato per le comunicazioni tra processi locali e remote

• Livello di trasporto o di rete (Remote Procedure Call (RPC))

• Repository WMI e servizio WMI

• Provider WMI

• Oggetti gestiti

  

Identificare il problema

In base alla posizione in cui si verifica l'errore o il componente che restituisce l'errore, i problemi possono essere classificati come segue:

• Problemi di connettività
• Problemi di accesso
• Codici di errore del provider WMI core

Problemi di connettività

Un errore di connessione WMI che si verifica prima di stabilire la connessione all'infrastruttura WMI in locale o in remoto è considerato un problema di connettività.

Il problema o l'errore viene restituito dall'architettura COM/DCOM in locale o in remoto, dal livello di trasporto (RPC) o dal firewall. Possono verificarsi diversi errori con problemi di connettività, ma gli errori più comuni sono:

• 0x800706BA
  HRESULT_FROM_WIN32(RPC_S_SERVER_UNAVAILABLE)

• 0x80041015
  Errore di rete che impedisce il normale funzionamento.

Problemi di accesso

Si verifica un problema di accesso quando una connessione WMI o una query non riesce a causa di un errore di accesso o di una mancanza di autorizzazioni per uno o più componenti WMI.

In altre parole, esistono più aree all'interno dell'infrastruttura WMI, ad esempio COM/DCOM, spazi dei nomi WMI, repository WMI e provider e gli utenti devono disporre delle autorizzazioni appropriate per accedere, usare o interagire con essi. La mancanza di autorizzazioni o restrizioni comporta errori di connessione WMI ed è possibile che vengano visualizzati gli errori seguenti:

• 0x80070005
  E_ACCESS_DENIED
  Accesso negato dalla sicurezza DCOM

• 0x80041003
  WBEM_E_ACCESS_DENIED
  Accesso negato da un provider

Codici di errore del provider WMI core

Anche dopo la corretta connessione a WMI e la presenza delle autorizzazioni corrette, una query WMI o una connessione possono non riuscire a causa di un problema sottostante con la query, un errore restituito dal provider, una classe non valida o uno spazio dei nomi non valido.

Il problema può essere dovuto a vari motivi e gli errori vengono restituiti principalmente dal servizio WMI.

In questi casi, il codice di errore restituito consente di comprendere il problema. Ecco alcuni codici di errore:

• 0x80041002 - WBEM_E_NOT_FOUND

• 0x80041004 - WBEM_E_PROVIDER_FAILURE

• 0x80041062 - WBEM_E_PRIVILEGE_NOT_HELD

• 0x8004100E - WBEM_E_INVALID_NAMESPACE

• 0x80041010 - WBEM_E_INVALID_CLASS

• 0x80041011 - WBEM_E_PROVIDER_NOT_FOUND

• 0x80041012 - WBEM_E_INVALID_PROVIDER_REGISTRATION

• 0x80041013 - WBEM_E_PROVIDER_LOAD_FAILURE

L'elenco completo degli errori restituiti dall'infrastruttura WMI è elencato in Costanti errore WMI.

Controllare la configurazione

Se è possibile verificare che il problema sia una connettività o un problema di accesso in base all'errore o all'errore restituito, controllare la configurazione esistente di WMI o assicurarsi che l'utente disponga delle autorizzazioni appropriate.

• Per impostazione predefinita, solo i membri del gruppo Administrators possono accedere allo spazio dei nomi WMI in modalità remota.
• Per connettersi a un computer remoto tramite WMI, assicurarsi che le impostazioni DCOM corrette e le impostazioni di sicurezza dello spazio dei nomi WMI siano abilitate per la connessione.
• WMI ha impostazioni predefinite di rappresentazione, autenticazione e servizio di autenticazione (NTLM o Kerberos) richieste dal computer di destinazione in una connessione remota. Il computer locale può usare impostazioni predefinite diverse che il sistema di destinazione non accetta. È possibile modificare queste impostazioni nella chiamata di connessione.
• Le connessioni a WMI nel computer locale hanno un livello di autenticazione predefinito di PktPrivacy.
• Le connessioni remote WMI sono interessate dal controllo dell'account utente e da Windows Firewall.

Impostare la sicurezza DCOM per consentire a un utente non amministratore di accedere a un computer in remoto

È possibile configurare le impostazioni DCOM per WMI usando l'utilità di configurazione DCOM (DCOMCnfg.exe) disponibile in Strumenti di amministrazione in Pannello di controllo.

Questa utilità espone le impostazioni che consentono a determinati utenti di connettersi al computer in remoto tramite DCOM. Con questa utilità è possibile impostare la sicurezza per avviare, accedere e configurare il servizio WMI.

La procedura seguente descrive come concedere autorizzazioni di avvio e attivazione remote DCOM a determinati utenti e gruppi.

Se il computer A si connette in remoto al computer B, è possibile impostare queste autorizzazioni nel computer B per consentire a un utente o a un gruppo che non fa parte del gruppo Administrators nel computer B di eseguire chiamate di avvio e attivazione DCOM nel computer B.

Per concedere manualmente le autorizzazioni di avvio e attivazione remota DCOM a un utente o a un gruppo, seguire questa procedura:

1. Selezionare Avvia>esecuzione, digitare DCOMCNFG e quindi selezionare OK.
2. Nella finestra Servizi componenti espandere Computer servizi>componenti. Fare clic con il pulsante destro del mouse su Risorse del computer e scegliere Proprietà.
3. Nella finestra di dialogo Proprietà computer selezionare la scheda Sicurezza COM.
4. In Autorizzazioni di avvio e attivazione selezionare Modifica limiti.
5. Nella finestra di dialogo Autorizzazioni di avvio e attivazione selezionare Aggiungi se il nome o il gruppo non viene visualizzato nell'elenco Nomi di gruppo o utente. Nella finestra di dialogo Seleziona utenti, computer o gruppi aggiungere il nome e il gruppo nella casella Immettere i nomi degli oggetti da selezionare e quindi selezionare OK.
6. Nella finestra di dialogo Autorizzazioni di avvio e attivazione selezionare l'utente e il gruppo nell'elenco Gruppi o nomi utente. In autorizzazioni di per <utente o gruppo>selezionare ConsentiAvvio remoto e autorizzazioni di attivazione remota e quindi selezionare OK.

La procedura seguente descrive come concedere autorizzazioni di accesso remoto DCOM a determinati utenti e gruppi. Se il computer A si connette in remoto al computer B, è possibile impostare queste autorizzazioni nel computer B per consentire a un utente o a un gruppo che non fa parte del gruppo Administrators nel computer B per connettersi al computer B.

Per concedere le autorizzazioni di accesso remoto DCOM, seguire questa procedura:

1. Selezionare Avvia>esecuzione, digitare DCOMCNFG e quindi selezionare OK.
2. Nella finestra Servizi componenti espandere Computer servizi>componenti. Fare clic con il pulsante destro del mouse su Risorse del computer e scegliere Proprietà.
3. Nella finestra di dialogo Proprietà computer selezionare la scheda Sicurezza COM.
4. In Autorizzazioni di accesso selezionare Modifica limiti.
5. Nella finestra di dialogo Autorizzazioni di accesso selezionare ACCESSO ANONIMO nella casella Nome gruppo o utente. In Autorizzazioni per ACCESSO ANONIMO selezionare Consenti l'autorizzazione accesso remoto e quindi selezionare OK.

Note

È anche possibile aggiungere l'utente al gruppo Distributed COM Users localmente nel computer di destinazione. Per impostazione predefinita, questo gruppo dispone di tutte le autorizzazioni per accedere a COM/DCOM in qualsiasi computer Windows.

Consentire agli utenti di accedere a uno spazio dei nomi WMI specifico

È possibile consentire o impedire agli utenti di accedere a uno spazio dei nomi WMI specifico impostando l'autorizzazione Abilita remota nel controllo WMI per uno spazio dei nomi. Se un utente tenta di connettersi a uno spazio dei nomi a cui l'utente non è autorizzato ad accedere, l'utente riceverà l'errore 0x80041003.

Per impostazione predefinita, questa autorizzazione è abilitata solo per gli amministratori. Un amministratore può abilitare l'accesso remoto a spazi dei nomi WMI specifici per un utente non amministratore.

La procedura seguente imposta le autorizzazioni Di abilitazione remota per un utente non amministratore.

1. Connettersi al computer remoto usando WMIMGMT.msc.

2. Fare clic con il pulsante destro del mouse su Controllo WMI e scegliere Proprietà.

3. Nella scheda Sicurezza selezionare lo spazio dei nomi e selezionare Sicurezza.

   Note

   Root\cimv2 è lo spazio dei nomi predefinito.

4. Individuare o aggiungere l'account appropriato e selezionare Abilita e leggi sicurezza remota nell'elenco delle autorizzazioni.

   Note

   Per assicurarsi che le stesse autorizzazioni vengano ereditate nella sottocartella o negli spazi dei nomi secondari, selezionare Avanzate. Selezionare quindi l'utente desiderato e assicurarsi che questo spazio dei nomi e sottonomespace sia selezionato nella sezione Si applica a .

   

Per controllare la connettività a una classe specifica in uno spazio dei nomi specifico, è possibile usare lo strumento Windows Management Instrumentation Tester (WBEMTEST) seguendo questa procedura:

1. Aprire WBEMTEST come amministratore e selezionare Connetti. Per impostazione predefinita, la console si connette allo spazio dei nomi Root\cimv2 di WMI locale.
2. Modificare lo spazio dei nomi con quello a cui si sta provando a testare la connessione. Se si tratta di un computer remoto, immetterlo nel formato \\<machinename>\Root\cimv2.

Se la connessione ha esito positivo, la finestra principale WBEMTEST è connessa allo spazio dei nomi non predefinito specificato.

Per impostazione predefinita, la connessione WBEMTEST usa le credenziali utente registrate. Se ci si connette con un account diverso, le credenziali vengono visualizzate prima di tentare di connettersi.

L'esempio seguente mostra un tentativo di connessione allo spazio dei nomi root\ccm in "RemoteMachine1" usando le credenziali di User1.

Per configurare una connessione WMI tra un computer aggiunto a un dominio e un computer del gruppo di lavoro, prendere in considerazione un utente locale del computer di destinazione.

Note

Se si usa l'amministratore locale predefinito del computer di destinazione, questo utente dispone già dei diritti appropriati per accedere a WMI in remoto da altri computer e non richiede alcuna configurazione aggiuntiva.

Il firewall del computer di destinazione deve consentire la connessione WMI in ingresso, per cui è possibile eseguire la configurazione del firewall precedente, come illustrato nella sezione Impostazioni di Windows Firewall. Configurare quindi lo spazio dei nomi DCOM e WMI, come illustrato nelle sezioni Impostare la sicurezza DCOM per consentire a un utente non amministratore di accedere a un computer in remoto e Consentire agli utenti di accedere a uno spazio dei nomi WMI specifico.

Impostazioni di Windows Firewall

Le impostazioni WMI per le impostazioni di Windows Firewall consentono solo connessioni WMI anziché altre applicazioni DCOM.

È necessario impostare un'eccezione nel firewall per WMI nel computer di destinazione remoto.

L'eccezione per WMI consente a WMI di ricevere connessioni remote. Se un'applicazione client crea un sink personalizzato, tale sink deve essere aggiunto in modo esplicito alle eccezioni del firewall per consentire il successo dei callback.

È possibile abilitare o disabilitare il traffico WMI tramite l'interfaccia utente di Windows Firewall. A tale scopo, effettuare i passaggi seguenti:

1. In Pannello di controllo selezionare >di Windows Firewall.
2. Selezionare Cambia impostazioni, quindi selezionare la cartella Eccezioni.
3. Nella finestra Eccezioni selezionare la casella di controllo Strumentazione gestione Windows (WMI) per abilitare il traffico WMI attraverso il firewall. Per disabilitare il traffico WMI, deselezionare la casella di controllo.

È possibile abilitare o disabilitare il traffico WMI tramite il firewall al prompt dei comandi usando il gruppo di regole WMI.

• Usare il comando seguente al prompt dei comandi per abilitare il traffico WMI attraverso il firewall.

  netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
  

• Usare il comando seguente per disabilitare il traffico WMI attraverso il firewall.

  netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no
  

Anziché usare un singolo comando del gruppo di regole WMI, è anche possibile usare singoli comandi per ogni DCOM, servizio WMI e sink.

Per abilitare il traffico WMI usando regole separate per DCOM, WMI, sink di callback e connessioni in uscita:

• Per stabilire un'eccezione del firewall per la porta DCOM 135, usare il comando seguente:

  netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135
  

• Per stabilire un'eccezione del firewall per il servizio WMI, usare il comando seguente:

  netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any
  

• Per stabilire un'eccezione del firewall per il sink che riceve i callback da un computer remoto, usare il comando seguente:

  netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow
  

• Per stabilire un'eccezione del firewall per le connessioni in uscita a un computer remoto con cui il computer locale comunica in modo asincrono, usare il comando seguente:

  netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any
  

Per disabilitare il traffico WMI usando regole separate per DCOM, WMI, sink di callback e connessioni in uscita:

• Per disabilitare l'eccezione DCOM, usare il comando seguente:

  netsh advfirewall firewall delete rule name="DCOM"
  

• Per disabilitare l'eccezione del servizio WMI, usare il comando seguente:

  netsh advfirewall firewall delete rule name="WMI"
  

• Per disabilitare l'eccezione sink, usare il comando seguente:

  netsh advfirewall firewall delete rule name="UnsecApp"
  

• Per disabilitare l'eccezione in uscita, usare il comando seguente:

  netsh advfirewall firewall delete rule name="WMI_OUT"
  

Risolvere i problemi relativi a scenari diversi

La maggior parte dei problemi di connettività è dovuta a autorizzazioni non corrette, nessuna autorizzazione o fattori esterni come firewall o software antivirus. Di conseguenza, la revisione della configurazione può risolvere il problema.

Oltre alla configurazione predefinita, alcune impostazioni aggiuntive possono influire sulla connettività.

• Esaminare i registri eventi dell'applicazione e del sistema per eventuali errori registrati dall'applicazione client o dall'origine (Microsoft-Windows-DistributedCOM) e cercare eventuali errori o eventi rilevanti che possono essere registrati nel computer di origine o di destinazione a seconda dello scenario.

• Esaminare i registri eventi di Windows Firewall in Visualizzatore eventi> Registrazione applicazioni e servizi di>Microsoft>Windows>Firewall con Firewall di sicurezza>avanzata per tutte le connessioni da WMI bloccate dal firewall.

  Alcune impostazioni di Criteri di gruppo sono abilitate per modificare il comportamento predefinito e le autorizzazioni di RPC e DCOM. Ad esempio:

  • Questo criterio di gruppo può limitare le chiamate RPC non autenticate, che possono causare l'errore:

    Server RPC non disponibile. (Eccezione da HRESULT: 0x800706BA)

    Configurazione\\amministrativi Chiamata di procedura\Limita client RPC non autenticati

    Questa impostazione controlla il modo in cui il runtime del server RPC gestisce i client RPC non autenticati che si connettono ai server RPC. Questa impostazione di criterio influisce su tutte le applicazioni RPC, incluso WMI.

  • Questi criteri di gruppo possono configurare autorizzazioni DCOM personalizzate:

    Configurazione\computer Impostazioni di Windows Impostazioni\di sicurezza Criteri\locali\Opzioni\di sicurezza DCOM: Restrizioni di avvio del computer nella sintassi SDDL (Security Descriptor Definition Language)

    Questa impostazione consente di specificare un elenco di controllo di accesso in due modi. È possibile digitare il descrittore di sicurezza in SDDL oppure concedere o negare le autorizzazioni di accesso locale e accesso remoto a utenti e gruppi.

• Esaminare l'intervallo di porte dinamiche RPC nel computer di destinazione:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

  Confrontarlo con una macchina funzionante. Se l'intervallo di porte non è predefinito o limitato a un intervallo ridotto, questa operazione può influire sulla connessione WMI. La panoramica del servizio e i requisiti delle porte di rete per Windows mostrano l'intervallo di porte predefinito necessario per RPC.

Se il problema è un problema di accesso o un errore WMI principale, le query in ingresso vengono registrate come eventi operativi nel log Microsoft-Windows-WMI-Activity/Operational in Visualizzatore eventi Applications and Services Logs Microsoft Windows WMI-Activity.If the issue is an access issue or a core WMI error, the incoming querys are logged microsoft Windows WMI-Activity/Operational under >WMI-Activity.

In alcuni scenari, le connessioni WMI locali potrebbero non riuscire.

È possibile usare WMIMGMT.msc per controllare la connettività WMI locale facendo clic con il pulsante destro del mouse su Controllo WMI e scegliendo Proprietà.

Ecco alcuni errori che si verificano quando wmi locale ha esito negativo:

• Impossibile connettersi al <computer> locale perché "WMI: Non trovato"

  

• Impossibile connettersi al <computer> locale perché "Win32: impossibile trovare il percorso specificato".

  

• Impossibile connettersi al <computer> locale perché "WMI: Errore generico"

  

Questi tipi di errori possono talvolta essere causati in caso di errori nel repository WMI o in caso di danneggiamento.

È possibile usare il comando seguente in una finestra del prompt dei comandi con privilegi elevati per eseguire una verifica coerenza nel repository WMI attivo o attualmente usato.

winmgmt /verifyrepository

È anche possibile eseguire questo comando con /verifyrepository <path>. Quando si specifica l'argomento percorso, è possibile verificare qualsiasi copia salvata del repository.

In questo caso, l'argomento path deve contenere il percorso completo della copia del repository salvato. Il repository salvato deve essere una copia dell'intera cartella del repository.

La procedura seguente descrive come ricompilare i file MOF del provider WMI e registrare nuovamente le DLL del provider WMI. Sono inclusi tutti i provider predefiniti e quelli inseriti nel percorso predefinito. Eseguire i comandi seguenti in una finestra del prompt dei comandi con privilegi elevati.

Note

La procedura seguente comporta il riavvio del servizio WMI.

1. Arrestare il servizio WMI e impostarlo su disabled:

   sc config winmgmt start= disabled
   net stop winmgmt /y
   

2. Passare alla cartella WBEM :

   %systemdrive%
   cd %windir%\system32\wbem
   

3. Registrare nuovamente i provider WMI:

   for /f %s in ('dir /b *.dll') do regsvr32 /s %s
   

4. Impostare di nuovo il servizio WMI su Auto e avviare il servizio:

   sc config winmgmt start= Auto
   net start winmgmt 
   

5. Ricompilare i file MOF:

   dir /b *.mof *.mfl | findstr /v /i uninstall > moflist.txt & for /F %s in (moflist.txt) do mofcomp %s 
   

Note

Sono disponibili più blog e siti esterni per reimpostare il repository WMI o ricompilare il repository WMI. In questo modo il repository WMI torna allo stato iniziale quando è stato installato il sistema operativo. WMI perderà tutte le informazioni raccolte nel tempo relative al sistema stesso, alle applicazioni, ai servizi e ad altre entità. Di conseguenza, non è consigliabile ricompilare il repository WMI a meno che non venga eseguito dal supporto Tecnico Microsoft.

Flusso di connessione a livello di rete

Le tracce seguenti sono l'output delle tracce di rete acquisite usando Monitoraggio di rete tra due computer durante l'esecuzione di una query WMI con WMIC.exe.

Ciò consente di determinare se il problema è un problema di connettività di rete.

• Connessione al mapper dell'endpoint sulla porta 135 del computer di destinazione:

  65        9:07:30 AM 3/21/2017        6.2302032        svchost.exe        10.0.0.6        10.0.0.22        TCP        TCP:Flags=......S., SrcPort=49229, DstPort=DCE endpoint resolution(135), PayloadLen=0, Seq=3759018265, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192        {TCP:8, IPv4:7}
  

• Richiesta dell'UUID dell'interfaccia RPC per IRemoteSCMActivator:

  68        9:07:30 AM 3/21/2017        6.2366981        svchost.exe        10.0.0.6        10.0.0.22        MSRPC        MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x5  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0         {MSRPC:9, TCP:8, IPv4:7}
  

• Connessione a una delle porte dinamiche fornite dal mapper dell'endpoint del computer di destinazione:

  77        9:07:30 AM 3/21/2017        6.3539124        WMIC.exe        10.0.0.6        10.0.0.22        TCP        TCP:Flags=......S., SrcPort=49230, DstPort=49154, PayloadLen=0, Seq=2143969401, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192        {TCP:10, IPv4:7}
  

• Connessione allo spazio dei nomi Root\CIMV2 del computer "TargetMachine":

  96        9:07:30 AM 3/21/2017        6.4702188        WMIC.exe        10.0.0.6        10.0.0.22        WMI        WMI:IWbemLevel1Login:NTLMLogin Request, NetworkResource=\\TargetMachine\ROOT\CIMV2 PreferredLocale=ms_409,en-US,en Flags=0        {MSRPC:11, TCP:10, IPv4:7}
  

• Esecuzione di query:

  116        9:07:31 AM 3/21/2017        6.7577443        WMIC.exe        10.0.0.6        10.0.0.22        WMI        WMI:IWbemServices:ExecQuery Request, *Encrypted*        {MSRPC:11, TCP:10, IPv4:7}
  

Raccolta dei dati

Prima di aprire un caso di supporto per ulteriori indagini, è possibile raccogliere dati seguendo questa procedura:

Scaricare TSS.zip ed estrarre il contenuto.

1. Avviare la traccia eseguendo il cmdlet seguente da un prompt dei comandi di PowerShell con privilegi elevati.

   .\TSS.ps1 -UEX_WMIAdvanced -WMIProvList RPC,DCOM -NetshScenario netconnection -noBasicLog
   

2. Riprodurre l'errore di connettività o attendere che l'errore venga riprodotto. Mantenere la traccia in esecuzione per più di due minuti.

3. Arrestare la traccia seguendo le istruzioni nella finestra di PowerShell che esegue lo strumento TSS.

Lo script crea un file ZIP contenente tutti i risultati della traccia e le informazioni di diagnostica. Dopo aver creato un caso di supporto, è possibile caricare questo file nell'area di lavoro sicura per l'analisi.