Руководство по сценарию. Устранение неполадок с подключением и доступом к WMI

  • Статья

В этой статье описывается, как просмотреть конфигурацию инструментария управления Windows (WMI), а также как диагностировать и устранять проблемы с подключением или доступом К WMI.

Ниже приведены некоторые примеры проблем с конфигурацией WMI или подключением, которые могут возникнуть. Проблемы связаны с различными продуктами и приложениями, которые используют или зависят от WMI.

  • Мастер создания кластера пытается подключиться к удаленному компьютеру (узлу кластера), но не получает данные.

    Снимок экрана: мастер создания кластера с ошибкой

    Снимок экрана: мастер добавления узла, показывающий ошибку при получении максимального числа узлов.

  • Когда установщик ролей Active Directory пытается связаться со своим хост-компьютером, мастер настройки доменные службы Active Directory завершается сбоем со следующей ошибкой:

    Adprep не удалось получить данные с сервера testbox.contoso.com с помощью инструментария управления Windows (WMI).

    Снимок экрана: мастер настройки доменные службы Active Directory с ошибкой Adprep не удалось получить данные.

  • Локальный запрос WMI не использует Get-WmiObject командлет PowerShell и получает ошибку "Доступ запрещен".

    Снимок экрана: результат командлета get-wmiobject с ошибкой

Поток подключения

В соединении WMI задействовано несколько компонентов и уровней. На высоком уровне задействованы следующие компоненты:

  • Клиент или приложение управления, инициирующее подключение или запрос WMI

  • Компонент объектной модели (COM) или распределенной объектной модели компонентов (DCOM), используемый для локального и удаленного взаимодействия между процессами (IPC)

  • Транспортный или сетевой уровень (удаленный вызов процедур (RPC))

  • Репозиторий WMI и служба WMI

  • Поставщик WMI

  • Управляемые объекты

    Схема потока подключения WMI.

Определение проблемы

В зависимости от места возникновения ошибки или сбоя или компонента, возвращающего ошибку, проблемы можно классифицировать следующим образом:

  • Проблемы с подключением
  • Проблемы с доступом
  • Коды ошибок поставщика WMI core

Проблемы с подключением

Сбой подключения WMI, возникающий перед установкой подключения к инфраструктуре WMI локально или удаленно, считается проблемой подключения.

Проблема или ошибка возвращаются архитектурой COM/DCOM локально или удаленно, на транспортном уровне (RPC) или брандмауэре. При проблемах с подключением могут возникать различные ошибки, но наиболее распространенные ошибки:

  • 0x800706BA
    HRESULT_FROM_WIN32(RPC_S_SERVER_UNAVAILABLE)

  • 0x80041015
    Произошла ошибка сети, препятствующая нормальной работе.

Проблемы с доступом

Проблема с доступом возникает при сбое подключения или запроса WMI из-за сбоя доступа или отсутствия разрешений для одного или нескольких компонентов WMI.

Иными словами, в инфраструктуре WMI есть несколько областей, таких как COM/DCOM, пространства имен WMI, репозиторий WMI и поставщики, и пользователям требуются соответствующие разрешения для доступа к ним, использования или взаимодействия с ними. Отсутствие разрешений или ограничений приводит к сбоям подключения WMI, и вы можете получить следующие ошибки:

  • 0x80070005
    E_ACCESS_DENIED
    Доступ запрещен безопасностью DCOM

  • 0x80041003
    WBEM_E_ACCESS_DENIED
    Доступ запрещен поставщиком

Коды ошибок поставщика WMI core

Даже после успешного подключения к WMI и наличия правильных разрешений запрос или подключение WMI может завершиться ошибкой из-за базовой проблемы с запросом, ошибки, возвращенной поставщиком, недопустимым классом или недопустимым пространством имен.

Проблема может быть вызвана различными причинами, и ошибки в основном возвращаются службой WMI.

В таких случаях возвращаемый код ошибки помогает понять проблему. Ниже приведены некоторые коды ошибок:

  • 0x80041002 - WBEM_E_NOT_FOUND

  • 0x80041004 — WBEM_E_PROVIDER_FAILURE

  • 0x80041062 — WBEM_E_PRIVILEGE_NOT_HELD

  • 0x8004100E - WBEM_E_INVALID_NAMESPACE

  • 0x80041010 — WBEM_E_INVALID_CLASS

  • 0x80041011 — WBEM_E_PROVIDER_NOT_FOUND

  • 0x80041012 — WBEM_E_INVALID_PROVIDER_REGISTRATION

  • 0x80041013 - WBEM_E_PROVIDER_LOAD_FAILURE

Полный список ошибок, возвращаемых инфраструктурой WMI, указан в разделе Константы ошибок WMI.

Проверка конфигурации

Если вы можете убедиться, что проблема связана с подключением или доступом на основе возвращенного сбоя или ошибки, проверка существующую конфигурацию WMI или убедитесь, что у пользователя есть соответствующие разрешения.

  • По умолчанию удаленный доступ к пространству имен WMI могут получить только члены группы администраторов .
  • Чтобы подключиться к удаленному компьютеру с помощью WMI, убедитесь, что для подключения включены правильные параметры DCOM и параметры безопасности пространства имен WMI.
  • WMI имеет параметры олицетворения, проверки подлинности и службы проверки подлинности (NTLM или Kerberos), которые требуются целевому компьютеру в удаленном подключении. На локальном компьютере могут использоваться другие значения по умолчанию, которые целевая система не принимает. Эти параметры можно изменить в вызове подключения.
  • Connections WMI на локальном компьютере имеют уровень проверки подлинности PktPrivacyпо умолчанию .
  • На удаленные подключения WMI влияет контроль учетных записей пользователей (UAC) и брандмауэр Windows.

Настройка безопасности DCOM, чтобы разрешить пользователю без прав администратора удаленный доступ к компьютеру

Параметры DCOM для WMI можно настроить с помощью служебной программы конфигурации DCOM (DCOMCnfg.exe) в разделе Администрирование в панель управления.

Эта служебная программа предоставляет параметры, позволяющие определенным пользователям подключаться к компьютеру удаленно через DCOM. С помощью этой служебной программы можно настроить безопасность для запуска, доступа к службе WMI и ее настройки.

В следующей процедуре описано, как предоставить разрешения на удаленный запуск и активацию DCOM определенным пользователям и группам.

Если компьютер А подключается удаленно к компьютеру B, можно задать эти разрешения на компьютере B, чтобы разрешить пользователю или группе, не включающейся в группу администраторов на компьютере B, выполнять вызовы запуска И активации DCOM на компьютере B.

Чтобы предоставить пользователю или группе разрешения на удаленный запуск и активацию DCOM вручную, выполните следующие действия.

  1. Выберите Запустить>запуск, введите DCOMCNFG и нажмите кнопку ОК.
  2. В окне Службы компонентов разверните узел Компьютеры служб компонентов>. Щелкните правой кнопкой мыши Мой компьютер и выберите Свойства.
  3. В диалоговом окне Свойства компьютера выберите вкладку Безопасность COM .
  4. В разделе Разрешения на запуск и активацию выберите Изменить ограничения.
  5. В диалоговом окне Разрешение на запуск и активацию выберите Добавить , если ваше имя или группа не отображаются в списке Имена групп или пользователей . В диалоговом окне Выбор пользователей, компьютеров или групп добавьте свое имя и группу в поле Введите имена объектов для выбора , а затем нажмите кнопку ОК.
  6. В диалоговом окне Разрешение на запуск и активацию выберите пользователя и группу в списке Группа или имена пользователей . В разделе Permissions для <пользователя или группы> проверка Разрешить разрешения на удаленный запуск и удаленную активацию, а затем нажмите кнопку ОК.

В следующей процедуре описывается предоставление разрешений на удаленный доступ DCOM определенным пользователям и группам. Если компьютер A подключается удаленно к компьютеру B, можно настроить эти разрешения на компьютере B, чтобы разрешить пользователю или группе, не включающейся в группу администраторов на компьютере B, подключаться к компьютеру B.

Чтобы предоставить разрешения на удаленный доступ DCOM, выполните следующие действия.

  1. Выберите Запустить>запуск, введите DCOMCNFG и нажмите кнопку ОК.
  2. В окне Службы компонентов разверните узел Компьютеры служб компонентов>. Щелкните правой кнопкой мыши Мой компьютер и выберите Свойства.
  3. В диалоговом окне Свойства компьютера выберите вкладку Безопасность COM .
  4. В разделе Разрешения доступа выберите Изменить ограничения.
  5. В диалоговом окне Разрешение на доступ выберите АНОНИМНЫЙ ВХОД в поле Имя группы или пользователя . В разделе Разрешения для анонимного входа проверка Разрешить для разрешения удаленный доступ, а затем нажмите кнопку ОК.

Примечание.

Вы также можете добавить пользователя в группу распределенных COM-пользователей локально на целевом компьютере. По умолчанию эта группа имеет все разрешения на доступ к COM/DCOM на любом компьютере с Windows.

Разрешить пользователям доступ к определенному пространству имен WMI

Вы можете разрешить или запретить пользователям доступ к определенному пространству имен WMI, задав разрешение Remote Enable в элементе управления WMI для пространства имен. Если пользователь попытается подключиться к пространству имен, доступ к которому ему не разрешен, пользователь получит сообщение об ошибке 0x80041003.

По умолчанию это разрешение включено только для администраторов. Администратор может включить удаленный доступ к определенным пространствам имен WMI для пользователя без прав администратора.

Следующая процедура задает разрешения удаленного включения для пользователя без прав администратора.

  1. Подключитесь к удаленному компьютеру с помощью WMIMGMT.msc.

  2. Щелкните правой кнопкой мыши элемент управления WMI и выберите пункт Свойства.

  3. На вкладке Безопасность выберите пространство имен и выберите Безопасность.

    Примечание.

    Root\cimv2 — это пространство имен по умолчанию.

  4. Найдите или добавьте соответствующую учетную запись и проверка Remote Enable and Read Security в списке разрешений.

    Примечание.

    Чтобы убедиться, что одни и те же разрешения наследуются для подпапки или подпространств, выберите Дополнительно. Затем выберите нужного пользователя и убедитесь, что в разделе Применимо квыбрано это пространство имен и подпространства имен.

    Снимок экрана: запись разрешений для CIMV2 с выбранными соответствующими разрешениями.

Чтобы проверка подключение к определенному классу в определенном пространстве имен, можно использовать средство Windows Management Instrumentation Tester (WBEMTEST), выполнив следующие действия:

  1. Откройте WBEMTEST от имени администратора и выберите Подключиться. По умолчанию консоль подключается к пространству имен Root\cimv2 локального WMI.
  2. Измените пространство имен на то, с чем вы пытаетесь проверить подключение. Если это удаленный компьютер, введите его в формате \\<machinename>\Root\cimv2.

Если подключение выполнено успешно, окно main WBEMTEST подключается к указанному пространству имен, не используемому по умолчанию.

По умолчанию подключение WBEMTEST использует учетные данные пользователя, выполнившего вход. При подключении с другой учетной записью перед попыткой подключения всплывают учетные данные.

В следующем примере показана попытка подключиться к пространству имен root\ccm в RemoteMachine1 с помощью учетных данных User1.

Снимок экрана: окно подключения, показывающее попытку подключения к пространству имен root\ccm в RemoteMachine1 с учетными данными User1.

Чтобы настроить подключение WMI между компьютером, присоединенным к домену, и компьютером рабочей группы, рассмотрите возможность локального пользователя целевого компьютера.

Примечание.

Если вы используете встроенный локальный администратор целевого компьютера, этот пользователь уже имеет соответствующие права на удаленный доступ к WMI с других компьютеров и не нуждается в дополнительной настройке.

Брандмауэр целевого компьютера должен разрешать входящее подключение WMI, для которого можно выполнить указанную выше настройку брандмауэра, как показано в разделе Параметры брандмауэра Windows . Затем настройте безопасность DCOM и пространство имен WMI, как показано в разделе Настройка безопасности DCOM, чтобы разрешить пользователю, не являющемся администратором, доступ к компьютеру удаленно и Разрешить пользователям доступ к определенному пространству имен WMI .

Параметры брандмауэра Windows

Параметры WMI для параметров брандмауэра Windows позволяют использовать только подключения WMI, а не другие приложения DCOM.

В брандмауэре для WMI на удаленном целевом компьютере должно быть задано исключение.

Исключение для WMI позволяет WMI получать удаленные подключения. Если клиентское приложение создает собственный приемник, этот приемник должен быть явно добавлен в исключения брандмауэра, чтобы обеспечить успешное выполнение обратных вызовов.

Вы можете включить или отключить трафик WMI с помощью пользовательского интерфейса брандмауэра Windows. Для этого выполните следующие действия:

  1. В панель управления выберите Безопасность>Брандмауэр Windows.
  2. Выберите Изменить параметры , а затем перейдите на вкладку Исключения .
  3. В окне Исключения выберите поле Инструментарий управления Windows (WMI) проверка, чтобы включить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок проверка.

Вы можете включить или отключить трафик WMI через брандмауэр в командной строке с помощью группы правил WMI.

  • Используйте следующую команду в командной строке, чтобы включить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

  • Используйте следующую команду, чтобы отключить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Вместо одной команды группы правил WMI можно также использовать отдельные команды для каждого DCOM, службы WMI и приемника.

Чтобы включить трафик WMI с помощью отдельных правил для DCOM, WMI, приемника обратного вызова и исходящих подключений:

  • Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду:

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  • Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду:

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  • Чтобы установить исключение брандмауэра для приемника, получающего обратные вызовы с удаленного компьютера, используйте следующую команду:

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  • Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду:

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Чтобы отключить трафик WMI с помощью отдельных правил для DCOM, WMI, приемников обратного вызова и исходящих подключений:

  • Чтобы отключить исключение DCOM, используйте следующую команду:

    netsh advfirewall firewall delete rule name="DCOM"

  • Чтобы отключить исключение службы WMI, используйте следующую команду:

    netsh advfirewall firewall delete rule name="WMI"

  • Чтобы отключить исключение приемника, используйте следующую команду:

    netsh advfirewall firewall delete rule name="UnsecApp"

  • Чтобы отключить исходящее исключение, используйте следующую команду:

    netsh advfirewall firewall delete rule name="WMI_OUT"

Устранение неполадок в различных сценариях

Большинство проблем с подключением связаны с неправильными разрешениями, отсутствием разрешений или внешними факторами, такими как брандмауэры или антивирусное программное обеспечение. Таким образом, проверка конфигурации может устранить проблему.

Помимо конфигурации по умолчанию, некоторые дополнительные параметры могут повлиять на подключение.

  • Просмотрите журналы приложений и системных событий на наличие ошибок, зарегистрированных клиентским приложением или из источника (Microsoft-Windows-DistributedCOM), и найдите все соответствующие ошибки или события, которые могут быть зарегистрированы на исходном или целевом компьютере в зависимости от сценария.

  • Просмотрите журналы событий брандмауэра Windows в разделе Просмотр событий>Приложения и журналы> службБрандмауэр Microsoft>Windows>с расширеннымбрандмауэром безопасности > на наличие подключений из WMI, блокируемых брандмауэром.

    Некоторые параметры групповая политика включены для изменения поведения по умолчанию и разрешений RPC и DCOM. Например:

    • Эта групповая политика может ограничить вызовы RPC без проверки подлинности, что может привести к ошибке:

      Сервер RPC недоступен. (Exception from HRESULT: 0x800706BA)

      Конфигурация\ компьютераАдминистративные шаблоны\Системы\Удаленный вызов\ процедурыОграничение клиентов RPC без проверки подлинности

      Этот параметр определяет, как среда выполнения сервера RPC обрабатывает клиенты RPC без проверки подлинности, подключающиеся к серверам RPC. Этот параметр политики влияет на все приложения RPC, включая WMI.

    • Эта групповая политика может настроить пользовательские разрешения DCOM:

      Конфигурация\ компьютераПараметры\ WindowsПараметры\ безопасностиЛокальные политики\Параметры\ безопасностиDCOM: ограничения запуска компьютера в синтаксисе языка определения дескриптора безопасности (SDDL)

      Этот параметр позволяет указать список ACL двумя способами. Вы можете ввести дескриптор безопасности в SDDL или предоставить или запретить локальный доступ и удаленный доступ пользователям и группам.

  • Просмотрите диапазон динамических портов RPC на целевом компьютере:

    • netsh int ipv4 show dynamicport tcp
    • netsh int ipv4 show dynamicport udp
    • netsh int ipv6 show dynamicport tcp
    • netsh int ipv6 show dynamicport udp

    Сравните его с рабочим компьютером. Если диапазон портов не используется по умолчанию или ограничен небольшим диапазоном, это может повлиять на подключение WMI. В разделе Общие сведения о службе и требования к сетевому порту для Windows отображается диапазон портов по умолчанию, необходимый для RPC.

Если проблема связана с проблемой доступа или основной ошибкой WMI, входящие запросы регистрируются как операционные события в журнале Microsoft-Windows-WMI-Activity/Operational в разделе Просмотр событий>Applications and Services Logs>Microsoft>Windows>WMI-Activity.

В некоторых сценариях локальные подключения WMI могут завершиться ошибкой.

Вы можете использовать WMIMGMT.msc для проверка локального подключения WMI, щелкнув правой кнопкой мыши элемент управления WMI и выбрав Свойства.

Ниже приведены некоторые ошибки, возникающие при сбое локального WMI:

  • Не удалось подключиться к локальному компьютеру<>, так как "WMI: не найден"

    Снимок экрана: элемент управления WMI (локальный) окно свойств с ошибкой WMI Not Found (Не найден).

  • Не удалось подключиться к локальному компьютеру<>, так как "Win32: система не может найти указанный путь".

    Снимок экрана: элемент управления WMI (локальный) окно свойств, показывающий, что система не может найти указанный путь ошибки.

  • Не удалось подключиться к локальному компьютеру <> из-за "WMI: универсальный сбой"

    Снимок экрана: окно свойств элемента управления WMI (local) с ошибкой универсального сбоя WMI.

Такие ошибки иногда могут возникать при возникновении сбоя в репозитории WMI или повреждения.

В окне командной строки с повышенными привилегиями можно использовать следующую команду, чтобы выполнить проверка согласованности в активном или используемом репозитории WMI.

winmgmt /verifyrepository

Эту команду также можно выполнить с помощью /verifyrepository <path>. При указании аргумента path можно проверить любую сохраненную копию репозитория.

В этом случае аргумент path должен содержать полный путь к сохраненной копии репозитория. Сохраненный репозиторий должен быть копией всей папки репозитория.

В следующей процедуре описывается, как повторно скомпилировать MOF-файлы поставщика WMI и повторно зарегистрировать библиотеки DLL поставщика WMI. Сюда входят все встроенные поставщики и поставщики, помещенные в путь по умолчанию. Выполните следующие команды в окне командной строки с повышенными привилегиями.

Примечание.

Следующие шаги включают перезапуск службы WMI.

  1. Остановите службу WMI и задайте для нее значение disabled:

    sc config winmgmt start= disabled
net stop winmgmt /y

  2. Перейдите в папку WBEM :

    %systemdrive%
cd %windir%\system32\wbem

  3. Перерегистрируйте поставщиков WMI:

    for /f %s in ('dir /b *.dll') do regsvr32 /s %s

  4. Задайте для службы WMI значение Auto и запустите службу:

    sc config winmgmt start= Auto
net start winmgmt

  5. Перекомпиляция MOF-файлов:

    dir /b *.mof *.mfl | findstr /v /i uninstall > moflist.txt & for /F %s in (moflist.txt) do mofcomp %s

Примечание.

Существует несколько внешних блогов и сайтов для сброса репозитория WMI или перестроения репозитория WMI. При этом репозиторий WMI возвращает исходное состояние при установке операционной системы. WMI потеряет всю собранную с течением времени информацию о самой системе, приложениях, службах и других сущностях вокруг нее. Поэтому мы не рекомендуем перестраивать репозиторий WMI, если это не выполняется службой поддержки Майкрософт.

Поток подключения на уровне сети

Следующие трассировки представляют собой выходные данные трассировки сети, захваченные с помощью сетевого монитора между двумя компьютерами при выполнении запроса WMI с WMIC.exe.

Это поможет определить, связана ли проблема с сетевым подключением.

  • Подключение к средству сопоставления конечных точек через порт 135 целевого компьютера:

    65        9:07:30 AM 3/21/2017        6.2302032        svchost.exe        10.0.0.6        10.0.0.22        TCP        TCP:Flags=......S., SrcPort=49229, DstPort=DCE endpoint resolution(135), PayloadLen=0, Seq=3759018265, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192        {TCP:8, IPv4:7}

  • Запрос UUID интерфейса RPC для IRemoteSCMActivator:

    68        9:07:30 AM 3/21/2017        6.2366981        svchost.exe        10.0.0.6        10.0.0.22        MSRPC        MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x5  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0         {MSRPC:9, TCP:8, IPv4:7}

  • Подключение к одному из динамических портов, предоставляемых сопоставителями конечных точек целевого компьютера:

    77        9:07:30 AM 3/21/2017        6.3539124        WMIC.exe        10.0.0.6        10.0.0.22        TCP        TCP:Flags=......S., SrcPort=49230, DstPort=49154, PayloadLen=0, Seq=2143969401, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192        {TCP:10, IPv4:7}

  • Подключение к пространству имен Root\CIMV2 компьютера TargetMachine:

    96        9:07:30 AM 3/21/2017        6.4702188        WMIC.exe        10.0.0.6        10.0.0.22        WMI        WMI:IWbemLevel1Login:NTLMLogin Request, NetworkResource=\\TargetMachine\ROOT\CIMV2 PreferredLocale=ms_409,en-US,en Flags=0        {MSRPC:11, TCP:10, IPv4:7}

  • Выполнение запроса:

    116        9:07:31 AM 3/21/2017        6.7577443        WMIC.exe        10.0.0.6        10.0.0.22        WMI        WMI:IWbemServices:ExecQuery Request, *Encrypted*        {MSRPC:11, TCP:10, IPv4:7}

Сбор данных

Прежде чем обращаться в службу поддержки для дальнейшего изучения проблемы, вы можете собрать сведения, выполнив действия, описанные в разделе Сбор сведений с помощью TSS для проблем с взаимодействием с пользователем. Вы также можете собирать сведения с помощью средства WMI-Collect на компьютере, на котором недавно возникла проблема. Эти этапы описаны ниже.

Примечание.

При воспроизведении проблемы на исходном и целевом компьютерах можно выполнить следующие действия.

  1. Скачайте WMI-Collect.zip и извлеките его в папку, например C:\temp.

  2. В командной строке PowerShell с повышенными привилегиями запустите сценарий WMI-Collect.ps1 из папки, в которой сохранен скрипт. Например:

        C:\temp\WMI-Collect.ps1 -Logs -Trace -Network

  3. Оставьте командную строку PowerShell открытой с сообщением "Нажмите клавишу ВВОД, чтобы остановить запись:".

    Примечание.

    Не включайте трассировку более одной минуты.

  4. Остановите трассировку, нажав клавишу ВВОД.

  5. Скрипт создает вложенную папку, содержащую результаты всех трассировок и диагностические сведения. Сжать папку. После создания обращения в службу поддержки этот файл можно отправить в безопасную рабочую область для анализа.