Устранение неполадок с подключением консоли администрирования SMS

В этой статье описывается, как устранить неполадки с новой или существующей консолью администрирования SMS, чтобы определить, почему она не может подключиться к серверу сайта.

Исходный номер базы знаний: 317872

Итоги

Если вы используете SMS и пытаетесь подключиться к серверу сайта, может появиться сообщение "Сбой подключения". Кроме того, узлы могут не отображаться после подключения. Кроме того, ошибки, аналогичные следующим, могут быть вошли в файл AdminUI.log на сервере:

Ошибка: возможный код ошибки подключения пользовательского интерфейса — -2147023174 [0x800706ba]

Ошибка: возможный код ошибки подключения пользовательского интерфейса — -2146959355 [0x80080005]

Ошибка: возможный код ошибки подключения пользовательского интерфейса — -2147217394

Ошибка. Возможный код ошибки подключения пользовательского интерфейса — -2147217389[0x80041013] Не удалось выполнить метод GetProviderVersion! Функция GetProviderVersion возвращает пустую строку ProviderVersion. Сбой вызова Wbem: T_WbemSyncEnumToContainer_Core, код возврата: -2147217389 Не удается получить ProviderVersion. SiteCode — SiteServerName, версия поставщика: не удалось установить подключение. Код ошибки: -2147217389

Error(ConnectServer): Возможный код ошибки подключения пользовательского интерфейса — -2147024891

Ошибка. Возможный код ошибки подключения пользовательского интерфейса — -2147024891 [0x80070005]

[994][<дата><>]: error(CheckForDisconnect2): недопустимый указатель службы. Подключение WMI было удалено. : -2147024891 [0x80070005]

Дополнительная информация

Предоставление доступа к консоли администрирования SMS

Чтобы получить доступ к локальной или удаленной консоли администрирования SMS, пользователи должны быть членами локальной группы администраторов SMS. Группа администраторов SMS явно предоставляется включить учетную запись и удаленное включение в пространстве имен Root\SMS. Группа администраторов SMS предоставляет своим членам доступ к поставщику SMS через WMI. Добавьте пользователей в группу администраторов SMS, когда им нужно получить доступ к консоли администрирования SMS, но не должны быть локальными администраторами. Если вы хотите использовать другую локальную группу для предоставления доступа к консоли администрирования SMS, необходимо также предоставить эту локальную или доменную локальную группу с тем же разрешением WMI, что и группа администраторов SMS. Чтобы предоставить доступ к консоли администрирования SMS, выполните следующие действия.

1. Создайте глобальную группу для домена, которая содержит пользователей, которым требуется определенный доступ к консоли администрирования SMS.

2. Добавьте эту глобальную группу или явную учетную запись пользователя домена в локальную группу администраторов SMS.

3. Настройте разрешения SMS для созданной глобальной группы.

   Примечание.

   • Чтобы выполнить этот шаг, необходимо быть администратором и иметь полные разрешения на сайте.
   • Если вы можете подключиться к базе данных, но если узлы не перечислены, проверьте разрешения SMS, предоставленные глобальной группе или конкретному пользователю в узле безопасности консоли администрирования SMS. Например, определите, отображается ли узел коллекций, узел пакетов или другие узлы.

   Предоставленные разрешения зависят от функциональных возможностей, которые требуется выполнить членам этой глобальной группы. Чтобы предоставить разрешения, щелкните правой кнопкой мыши узел прав безопасности в консоли администрирования SMS, наведите указатель на все задачи и нажмите кнопку "Управление пользователями SMS", чтобы запустить мастер безопасности.

4. Используйте мастер для добавления, удаления или изменения параметров безопасности пользователей и групп.

Устранение неполадок с подключением консоли администрирования SMS

Если вы тестируете удаленную консоль администрирования SMS, убедитесь, что к этой консоли применен последний пакет обновления SMS. Если пакет обновления не был применен, в файл AdminUI.log может быть зарегистрирована ошибка, аналогичная следующей:

CLASS_SMS_ContextMethods, METHOD_GetContextHandle! Не удалось установить подключение. Код ошибки: -2147217407 запустить программу установки из источника пакета обновления, чтобы определить, является ли консоль администрирования SMS единственным компонентом, который необходимо обновить.

Чтобы устранить неполадки с подключением консоли администрирования SMS, рассмотрите следующие проблемы:

• Сервер сайта SMS под управлением Microsoft Windows Server 2003 с пакетом обновления 1 (SP1)?

  В Windows Server 2003 с пакетом обновления 1 (SP1) создается новая локальная группа с именем распределенных пользователей COM. Чтобы устранить проблему с подключением в Windows Server 2003 с пакетом обновления 1 ( SP1), добавьте пользователей, которые пытаются выполнить удаленные подключения к консоли администрирования SMS в локальную группу распределенных пользователей COM.

• Является ли пользователь членом глобальной группы, которая входит в группу администраторов SMS, или пользователь явно определен в группе администраторов SMS?

  Группа администраторов SMS создается во время установки сайта SMS. Если сайт был установлен на сервере-члене, группа администраторов SMS является локальной группой в локальном диспетчере учетных записей безопасности (SAM). Если сервер сайта является контроллером домена, группа администраторов SMS является локальной группой в домене. Пользователь должен принадлежать группе администраторов SMS, так как эта группа предоставляет необходимые разрешения для пространства имен SMS и SMS_site кода в репозитории инструментария управления Windows (WMI) при создании сайта SMS.

• У этого сервера была предыдущая установка SMS?

  Если у сервера была предыдущая установка SMS, в классе SMS_ProviderLocation может быть несколько кодов сайта, расположенных в пространстве имен SMS сервера сайта. Удалите любой код сайта, который больше не существует на сервере сайта. Средство WBEMtest можно использовать для просмотра класса SMS_ProverLocation.

• На сервере сайта подтвердите параметры свойств, определенные в служебной программе Dcomcnfg.exe.

  Чтобы просмотреть свойства, определенные в служебной программе Dcomcnfg.exe, перейдите на вкладку свойств по умолчанию и подтвердите следующие параметры:

  1. Установлен флажок Enable Distributed COM на этом компьютере.
  2. Для уровня проверки подлинности по умолчанию задано значение Connect.
  3. Для уровня олицетворения по умолчанию задано значение "Идентификация".

• Если вы тестируете удаленную консоль администрирования SMS, убедитесь, что к этой консоли применен последний пакет обновления SMS.

  Запустите программу установки из источника пакета обновления, чтобы определить, является ли консоль администрирования SMS единственным компонентом, который необходимо обновить.

После рассмотрения этих проблем выполните процедуры устранения неполадок, описанные в следующих разделах.

Устранение неполадок подключения к пространству имен SMS

Убедитесь, что пользователь может подключиться к пространству имен SMS и пространствам имен SMS_"sitecode". Для этого выполните следующие шаги.

1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", а затем введите wbemtest.
2. Нажмите кнопку "Подключить", введите \\siteserver\root\sms и нажмите кнопку "Войти".
3. Нажмите кнопку "Классы перечисления", нажмите кнопку "Рекурсивный" и нажмите кнопку "ОК".
4. В списке результатов запроса дважды щелкните SMS_ProviderLocation.
5. Щелкните экземпляры и дважды щелкните строку, содержащую код целевого сайта. Например, SMS_ProviderLocation.SiteCode="xxx".
6. В разделе "Свойства" найдите строку NamespacePath. Чтобы увидеть всю строку, может потребоваться дважды щелкнуть эту строку.
7. Скопируйте значение NamespacePath в буфер обмена. Например, скопируйте следующее значение:\\ server_name\root\sms\site_xxx.

При успешном выполнении этой процедуры можно подключиться к серверу сайта и перечислить пространство имен SMS.

Устранение неполадок с подключением к серверу

Определите, можно ли подключиться к серверу, на который находится поставщик. Сервер определен в значении NamespacePath, определенном в разделе "Устранение неполадок с подключением к пространству имен SMS". Как правило, этот сервер является тем же сервером.

1. Закройте все окна WBEMtest, которые могут быть открыты.
2. Нажмите кнопку "Подключить", вставьте имя namespacePath, скопированное на шаге 7, и нажмите кнопку "Войти".
3. Нажмите кнопку "Классы перечисления", нажмите кнопку "Рекурсивный" и нажмите кнопку "ОК".
4. В списке результатов запроса дважды щелкните SMS_Site.

Если при выполнении этой процедуры появляется сообщение об ошибке "отказано в доступе", это может быть вызвано одной из следующих причин:

1. Мастер настройки безопасности запущен на сервере, на котором размещен поставщик SMS. Однако мастер настройки безопасности не может распознать поставщика SMS. Если вы запускаете мастер на сервере с установленным поставщиком SMS, необходимо включить службу удаленного WMI в мастере. Если вы не включите удаленный WMI, консоль администрирования SMS на сервере сайта и любые другие удаленные консоли не могут подключиться к пространству имен SMS в WMI. Чтобы включить удаленный WMI в мастере, сделайте следующее:

   Выберите удаленный WMI на странице выбора администрирования и других параметров мастера настройки безопасности.

   Примечание.

   Дополнительные сведения о защите систем сайта SMS см. на следующем веб-сайте Майкрософт: https://technet.microsoft.com/library/cc179764.aspx

2. Используемая учетная запись не имеет соответствующих разрешений для пространства имен поставщика. Чтобы изменить или проверить разрешения, выполните следующие действия.

   1. На сервере, на котором вы перечислили сайт SMS, нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите wmimgmt.msc и нажмите кнопку "ОК".

   2. Щелкните правой кнопкой мыши элемент управления WMI и выберите пункт "Свойства".

   3. На вкладке "Безопасность" разверните корневой каталог и нажмите кнопку SMS.

   4. Щелкните "Безопасность " в области результатов, чтобы просмотреть разрешения.

   5. Нажмите кнопку "Дополнительно", щелкните "Администраторы SMS" и выберите команду "Просмотреть".

      Для пространства имен SMS группа администраторов SMS должна иметь следующие разрешения:

      • включить учетную запись;
      • включить удаленно.

   6. Повторите шаги e, чтобы проверить группу администраторов SMS для пространства имен SMS_ xxx . (xxx — это заполнитель для кода сайта.) Затем предоставьте пользователю или группе разрешение удаленного включения . Если у пользователя или группы нет соответствующих разрешений WMI в системе безопасности пространства имен SMS, в файл AdminUI.log может быть зарегистрировано следующее событие:

Другие проблемы безопасности

Используйте процедуры устранения неполадок, описанные в этом разделе, если одно из следующих условий имеет значение true:

• Пользователи по-прежнему запрещают доступ при попытке подключиться к консоли после предоставления соответствующих учетных записей право "Удаленное включение" в безопасности WMI.
• Консоль доступна только частично.

Проверка конфигурации брандмауэра Windows

Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1) включают функцию брандмауэра Windows. Если вы запускаете консоль администрирования SMS на базе Windows XP с пакетом обновления 2 (SP2) или на компьютере под управлением Windows Server 2003 с пакетом обновления 1 (SP1) с включенным брандмауэром, необходимо включить программу Unsecapp.exe и TCP-порт 135 для передачи через брандмауэр Windows. Для этого выполните следующие шаги.

1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите firewall.cpl и нажмите кнопку "ОК".

2. На вкладке "Общие " нажмите кнопку "Включить ", чтобы включить брандмауэр. Установите флажок " Не разрешать исключения ".

3. На вкладке "Исключения" нажмите кнопку "Добавить программу".

4. Нажмите кнопку "Обзор", введите %windir%\System32\Wbem\Unsecapp.exe в поле имени файла и нажмите кнопку "Открыть". Если необходимо определить область, нажмите кнопку "Изменить область" и нажмите кнопку "ОК". Нажмите кнопку ОК , чтобы закрыть диалоговое окно Добавить программу .

5. В списке "Программы и службы " установите флажок Unsecapp.exe .

6. Нажмите кнопку "Добавить порт".

7. В поле "Номер порта" введите 135. Выберите TCP и введите имя исключения в поле "Имя ". Если необходимо определить область, нажмите кнопку "Изменить область" и нажмите кнопку "ОК". Нажмите кнопку "ОК" , чтобы закрыть диалоговое окно "Добавить порт ".

8. В списке "Программы и службы " установите флажок для исключения, добавленного на шаге 7.

9. Нажмите кнопку ОК.

Проверка параметров безопасности DCOM

Предупреждение

Не вносите эти изменения, если не удается устранить эту проблему, добавив программу Unsecapp.exe и TCP-порт 135 в список исключений.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт: 322756 Как создать резервную копию и восстановить реестр в Windows.

Эту проблему можно устранить, добавив эти исключения в брандмауэр Windows. Для клиентского компьютера может потребоваться задать анонимные удаленные разрешения в DCOM. Для этого на компьютере под управлением Windows XP с пакетом обновления 2 (SP2) с консолью администрирования SMS выполните следующие действия.

1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите dcomcnfg.exe и нажмите кнопку "ОК".

2. Найдите корневой узел консоли, разверните службы компонентов, разверните узел "Компьютеры", а затем щелкните "Мой компьютер".

3. Щелкните правой кнопкой мыши Мой компьютер, затем выберите Свойства.

4. На вкладке "Свойства компьютера" щелкните вкладку "Безопасность COM".

5. В разделе "Разрешения доступа" нажмите кнопку "Изменить ограничения".

6. Щелкните АНОНИМНЫЙ ВХОД.

7. В разделе "Разрешения для анонимного входа" нажмите кнопку "Разрешить" для удаленного доступа.

8. Два раза нажмите кнопку ОК.

9. Restart your computer.

Определение того, были ли изменены разрешения DCOM по умолчанию

Проверьте значение DefaultAccessPermission в следующем подразделе реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

Это означает, что разрешения DCOM по умолчанию были изменены. Если это значение не существует, разрешения DCOM по умолчанию применяются. Чтобы устранить эту проблему, удалите значение DefaultAccessPermission. Это приведет к сбросу всех разрешений DCOM по умолчанию. Это мера последней меры и не гарантируется исправить проблему.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт: 322756 Как создать резервную копию и восстановить реестр в Windows.

Внимание

Перед удалением этого значения убедитесь, что вы попытались устранить проблему, выполнив действия по устранению неполадок DCOM в этой статье. Кроме того, создайте резервную копию подраздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole реестра.

Чтобы удалить значение DefaultAccessPermission, выполните следующие действия.

1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

2. Найдите и выберите следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

3. В правой области щелкните правой кнопкой мыши DefaultAccessPermission и нажмите кнопку " Удалить".

4. В диалоговом окне "Подтвердить удаление значения" нажмите кнопку "Да".

5. Закройте редактор реестра.

6. Выйдите из компьютера и снова войдите на компьютер.

Включить группу безопасности анонимного входа в группу безопасности "Все"

Если описанные ранее процедуры не разрешают проблемы с разрешениями для консоли администрирования SMS, это может быть трудно сделать следующее:

• Определите, какой ресурс требует анонимного доступа на компьютере под управлением Windows XP.
• Измените разрешения на все необходимые ресурсы в этих ситуациях, возможно, потребуется принудительно принудить компьютер под управлением Windows XP включить группу безопасности анонимного входа в группу безопасности "Все". Для поддержки этой функции Windows XP включает запись реестра EveryoneIncludesAnonymous.

Если для записи реестра EveryoneIncludesAnonymous задано значение REG_DWORD 0x1, локальный центр безопасности (LSA) включает идентификатор безопасности группы безопасности "Все" в маркере доступа анонимного пользователя. Чтобы задать значение записи реестра EveryoneIncludesAnonymous, используйте любой из следующих методов.

Метод 1. Задание записи реестра EveryoneIncludesAnonymous с помощью локальных параметров безопасности

1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите "Управление администраторами" и нажмите кнопку "ОК".

2. Дважды щелкните локальную политику безопасности или политику безопасности домена (только на контроллерах домена).

3. Дважды щелкните локальные политики и выберите пункт "Параметры безопасности".

4. Щелкните правой кнопкой мыши доступ к сети: разрешить всем пользователям применять разрешения для анонимных пользователей, а затем нажмите кнопку " Свойства".

5. Чтобы разрешить анонимным пользователям быть членами группы безопасности "Все", нажмите кнопку "Включено". Чтобы предотвратить включение идентификатора безопасности группы безопасности "Все" в маркер доступа анонимного пользователя, нажмите кнопку "Отключено". Это параметр по умолчанию в Windows XP.

Метод 2. Установка значения реестра EveryoneIncludesAnonymous с помощью редактора реестра

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт: 322756 Как создать резервную копию и восстановить реестр в Windows.

1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

2. Найдите и выберите следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Щелкните правой кнопкой мыши ВсеIncludesAnonymous и нажмите кнопку "Изменить".

4. Чтобы анонимные пользователи могли быть членами группы безопасности "Все", введите 1 в поле данных "Значение". Чтобы предотвратить включение идентификатора безопасности группы безопасности "Все" в маркер доступа анонимного пользователя, введите 0 в поле данных "Значение". По умолчанию значение EveryoneIncludesAnonymous имеет значение 0 в Windows XP.

5. Закройте редактор реестра.

6. Перезагрузите компьютер.

Примечание.

Это изменение может повлиять на следующие технологии windows:

• Ком
• Dcom
• IIS
• Очереди сообщений
• Любая другая технология, в которой часто используется анонимная проверка подлинности.

Дополнительные тесты подключения

Запустите элемент управления WMI на сервере сайта. Не запускайте элемент управления WMI на сервере поставщика, если этот сервер отличается. Перейдите на вкладку "Ведение журнала", а затем задайте для уровня ведения журнала значение Verbose, чтобы увеличить ведение журнала до файла Windows_folder\System32\Wbem\Logs\Wbemcore.log.

Анализ этого журнала на сервере сайта. Отображается весь созданный трафик WMI. Найдите запрос SMS_Providerlocation, который произошел при попытке подключения консоли администрирования SMS. Если этот запрос присутствует, можно убедиться, что между консолью и сервером сайта есть связь. Проверьте подключение с сервера сайта обратно к запрашивающей консоли администрирования SMS. Подключение может не существовать в следующих сценариях:

• Сервер удаленной процедуры (RPC) недоступен.

• Возникла проблема с разрешением DNS-имен. Сообщение об ошибке подключения также может произойти, если разрешение имен не выполнено правильно. Чтобы определить, возникает ли проблема с разрешением имен, используйте средство WBEMtest и попытайтесь подключиться к серверу сайта с помощью IP-адреса. Например, используйте \111.222.333.444\root\default в качестве адреса. Если вы можете подключиться при использовании IP-адреса, но при использовании netBIOS-имени сервера сайта возникает проблема с разрешением имен. Чтобы устранить эту проблему, подтвердите конфигурации WINS или DNS.

При развертывании узлов в удаленной консоли администрирования SMS сервер сайта SMS устанавливает подключение DCOM к компьютеру, на котором установлена консоль. Если для компьютера, на котором установлена консоль, существует недопустимая запись DNS, сервер сайта SMS может попытаться подключиться к неправильному IP-адресу. Когда это происходит, узел консоли не сможет развернуться, и консольный компьютер зановит ошибку "Подключение WMI было удалено" в AdminUI.log. Чтобы устранить эту проблему, выполните nslookup <console_computer_name> команду, чтобы убедиться, что имя разрешается в правильный IP-адрес. Если для компьютера консоли существует недопустимая регистрация DNS, удалите недопустимую регистрацию DNS. Кроме того, определите, как была создана недопустимая регистрация DNS, чтобы предотвратить повторную регистрацию DNS. Например, компьютер консоли может зарегистрировать VPN-адрес, но VPN-адрес не был удален из DNS при отключении VPN. После устранения проблемы с DNS выполните следующую команду в командной строке на сервере сайта SMS 2003: ipconfig /flushdns

Если вы не можете разрешить полное доменное имя компьютера под управлением Windows XP с пакетом обновления 2 (SP2) с помощью DNS, создайте запись в файле узлов на сервере сайта SMS 2003, чтобы сопоставить полное доменное имя компьютера windows XP с пакетом обновления 2 (SP2) с его IP-адресом.

Известные проблемы с сервером Microsoft ISA или программным обеспечением VPN контрольных точек

Если вы не можете развернуть некоторые узлы на удаленной консоли через удаленное подключение с компьютера Windows 2003 с пакетом обновления 1 (SP1), операции удаленного вызова процедур могут завершиться ошибкой, если определенные брандмауэры и VPN-продукты запрещают сетевые запросы. Эти сетевые запросы могут завершиться сбоем на компьютерах, на которых вы применяете windows Server 2003 с пакетом обновления 1 (SP1) к компьютеру под управлением Windows Server 2003, или к установочному носителю oem или розничной установки входят обновления с пакетом обновления 1 (SP1). Следующие продукты могут запретить эти сетевые запросы:

• Продукты брандмауэра или виртуальной частной сети (VPN) из контрольных программных технологий
• Сервер Microsoft Internet Security and Acceleration (ISA)

Эта проблема также может возникать при выполнении следующих условий:

• Подключение RPC от клиента через TCP-порт 135 и включено.
• Ответ от центрального сервера сайта превышает временные порты, превышающие порт 1024, и брандмауэр блокирует этот диапазон портов. Чтобы устранить эту проблему, настройте клиент и сервер, чтобы ограничить диапазон портов, используемых подключением RPC, а затем включите этот диапазон в брандмауэре. Для этого используйте метод, описанный в следующей статье базы знаний Майкрософт: 154596 Настройка динамического распределения портов RPC для работы с брандмауэрами

Ссылки

Дополнительные сведения о защите удаленных подключений WMI см. на следующем веб-сайте Майкрософт: обслуживание безопасности WMI.