WMI远程监控常见错误与其解决办法1.doc

WMI 远程监控常见错误及其解决办法 V1 0 0 第 1 页 WMI 远程监控常见错误及其解决办法 V1 0 0 编号 Doc No 作者 刘晓强 日期 Date 2007 08 WMI 远程监控常见错误及其解决办法 V1 0 0 第 2 页 目目 录录 1前言前言 3 2 RPC 服务器不可用服务器不可用 及其解决办法及其解决办法 3 2 1产生原因 3 2 2解决方案 4 2 2 1设置windows系统自带的防火墙 4 2 2 2设置卡巴斯基防火墙 5 2 2 3RPC服务设置 6 2 2 4DCOM设置 7 3 拒绝访问拒绝访问 及其解决办法及其解决办法 8 3 1监控端权限不够 8 3 2用户的密码是错误的 11 3 3监控所用的用户的权限不够 11 3 3 1设置DCOM 11 3 3 2设置WMI 13 3 3 3其他设置 13 3 4使用域账号来作为监控用户时的解决方案 13 3 4 1解决方案一 把被监控端机器加入域 13 3 4 2解决方案二 把被监控机器退出域 然后重新加入域 15 3 4 3解决方案三 在被监控机器上显式的添加sc bsmtest的权限 19 4其他错误其他错误 21 4 1错误 无法启动服务 原因可能是已被禁用或与其相关联的设备没有启动 及其解决办法 21 WMI 远程监控常见错误及其解决办法 V1 0 0 第 3 页 1 前言前言 一 什么是 WMI WMI Windows Management Instrumentation 即 Windows 管理规范 是一项核心的 Windows 管理技术 用户可以使用 WMI 管理本地和远程计算机 WMI 中的 Instrumentation 特指 WMI 可以获得关于计算机内部状态的信息 这与汽车仪表盘获 得并显示引擎的状态信息非常类似 WMI 对磁盘 进程 和其他 Windows 系统对象进行建 模 从而实现 指示 功能 这些计算机系统对象采用类来建立模型 例如 Win32 LogicalDiskWin32 LogicalDisk 或 Win32 ProcessWin32 Process 如您所料 Win32 LogicalDisk 类用于建立在计 算机上安装的逻辑磁盘的模型 Win32 Process 类用于建立正在计算机上运行的任何进程 的模型 这些类基于一个名为通用信息模型 Common Information Model CIM 的可扩展 架构 CIM 架构是分布式管理任务组 Distributed Management Task Force 的一个公开 标准 WMI 官方文档 二 远程使用 WMI WMI 使用 DCOM 来实现远程通信 而 DCOM 是建立在 RPC Remote Procedure Call 远程 过程调用 协议之上的 DCOM Distributed Component Object Model 即分布式组件对 象模型 是一系列微软的概念和程序接口 利用这个接口 客户端程序对象能够请求来自 网络中另一台计算机上的服务器程序对象 DCOM 基于组件对象模型 COM COM 提供了一 套允许同一台计算机上的客户端和服务器之间进行通信的接口 DCOM 是 COM 的扩展 它支 持不同的两台机器上的组件间的通信 而且不论它们是运行在局域网 广域网 还是 Internet 上 借助 DCOM 你的应用程序将能够任意进行空间分布 三 WMI 远程监控常见错误概述 在 WMI 远程监控过程中最常见的错误就是 RPC 服务器不可用 和 拒绝访问 这 两种错误 这两个错误占用了所有错误的至少 90 以上 2 RPC 服务器不可用服务器不可用 及其解决办法及其解决办法 2 1 产生原因产生原因 由于 WMI 服务是建立在 RPC Remote Procedure Call 远程过程调用 协议之上的 所以 使用 WMI 监控远程机器时 就会首先访问远程的 RPC 服务器 如果连接失败就会返 回 RPC 服务器不可用 的错误 首先要确保远程机器是开着的 如果远程机器关闭 也会报 RPC 服务器不可用 的 错误 如果远程机器正常运行 那么最常见的原因就是防火墙 防火墙屏蔽 RPC 端口 135 端口 就会导致 RPC 服务器不可用 的错误 下面我们就介绍各种解决方案 WMI 远程监控常见错误及其解决办法 V1 0 0 第 4 页 2 2 解决方案解决方案 2 2 1 设置设置 windows 系统自带的防火墙系统自带的防火墙 最简单的设置防火墙的办法就是直接关闭防火墙 呵呵 也许有的人不愿意关闭防火 墙 那么我们也可以对防火墙进行设置 下面我就介绍怎样设置 windows 系统自带的防火 墙 在下一小节再介绍其他防火墙的设置办法 设置步骤 1 单击 开始 单击 运行 键入 gpedit msc 然后单击 确定 2 依次展开 计算机配置 管理模板 网络 网络连接 windows 防火墙 域 配置文件 3 右键单击 Windows 防火墙 允许远程管理例外 然后单击 属性 4 单击 已启用 然后单击 确定 图 设置 windows 系统自带防火墙 如果你嫌上面的步骤太繁琐 也可以用下面的命令来代替 可以起到同样的效果 netsh firewall set service RemoteAdmin enable WMI 远程监控常见错误及其解决办法 V1 0 0 第 5 页 2 2 2 设置卡巴斯基防火墙设置卡巴斯基防火墙 在系统托盘区右键点击卡巴斯基图标 然后点击 设置 选项 在弹出的对话框中选中 系统安全 选项 然后点击 防火墙 框的 设置 按钮 就会 规则设置 对话框 选择 网络数据 包 选项卡 在 数据包规则 中添加 Local Services TCP 和 Any incoming TCP stream 为 允许 WMI 远程监控常见错误及其解决办法 V1 0 0 第 6 页 然后点击 确定 按钮 退出设置 2 2 3 RPC 服务设置服务设置 如果防火墙都已设置完毕 但是系统还继续报 RPC 服务器不可用 的错误 那么我 们就要考虑其他的因素了 下面我们来考虑 RPC 服务 点击 开始 运行 输入 services msc 命令 在打开的服务列表中 右键点击 Remote Procedure Call RPC Locator 服务 在弹出的菜单中 选择 启动 选项来启动 此服务 如下图所示 WMI 远程监控常见错误及其解决办法 V1 0 0 第 7 页 2 2 4 DCOM 设置设置 1 单击 开始 单击 运行 键入 dcomcnfg 然后单击 确定 2 依次展开 组件服务 计算机 然后展开 我的电脑 右键单击 我的电脑 然后 单击 属性 3 在 我的电脑 对话框中 单击 默认属性 选项卡 4 选中 在此计算机上启用分布式 COM 5 选择 默认身份验证级别 为 连接 6 选择 默认模拟级别 为 标识 WMI 远程监控常见错误及其解决办法 V1 0 0 第 8 页 7 在 我的电脑 对话框中 单击 默认协议 选项卡 选中 面向连接的 TCP IP 3 拒绝访问拒绝访问 及其解决办法及其解决办法 在 WMI 的所有错误类型中 拒绝访问 也许是最难定位的错误类型了 这是因为有 许许多多的因素都可以导致 拒绝访问 比如 密码错误或者权限不够都会报 拒绝访问 然而令人遗憾的是 微软只会报出来 拒绝访问 而不会报告是什么原因导致了拒绝访 问 所以我们就只能根据各种可能的因素来进行一一猜测 下面我会把各种充分条件一一 列出 3 1 监控端权限不够监控端权限不够 MRAM 服务在安装之后的默认登录用户是 本地系统 如下图所示 图 MRAM 服务的默认登录用户 这样是不行的 需要修改成下面的样子 这样是不行的 需要修改成下面的样子 WMI 远程监控常见错误及其解决办法 V1 0 0 第 9 页 图 图 MRAM 服务正确的配置服务正确的配置 下面详细介绍修改步骤 1 在桌面上右键单击 我的电脑 选择 管理 进入 计算机管理 对话框 2 依次选择 系统工具 本地用户和组 用户 右键单击 用户 选择 新用 户 3 新建一个用户 比如新建一个名为 monitor 的用户 4 双击用户 monitor 弹出 属性 对话框 选择 隶属于 选项卡 5 单击 添加 按钮 把 administrators 组添加进来 WMI 远程监控常见错误及其解决办法 V1 0 0 第 10 页 6 单击 确定 按钮 退出 属性 对话框 7 在 计算机管理 对话框中 依次选择 服务和应用程序 服务 8 在服务列表中选择服务名为 Mocha RAM Agent 的服务 右键单击 选择 属性 弹出 属性 对话框 9 选择 登录 选项卡 然后选中 此账户 10 在账户名称中输入刚才新建的用户 这里为 monitor 并输入密码 WMI 远程监控常见错误及其解决办法 V1 0 0 第 11 页 11 单击 确定 退出 并关闭 计算机管理 对话框 12 重复 8 11 把 Mocha RAM Server 服务也进行同样的设置 3 2 用户的密码是错误的用户的密码是错误的 这个不用多说 你一定得确保密码是正确的 不过我需要提醒一点的是 本来用户名 和密码都是正确的 但是在监控过程中有其他人把密码给改了 从而造成 拒绝访问 这 样的错误 3 3 监控所用的用户的权限不够监控所用的用户的权限不够 假如监控时使用的用户名是 forwmi 则 在被监控端的机器上我们需要进行如下设 置 设置 DCOM 和 WMI 3 3 1 设置设置 DCOM 1 单击 开始 单击 运行 键入 dcomcnfg 然后单击 确定 2 依次展开 组件服务 计算机 然后展开 我的电脑 右键单击 我的电脑 然后 单击 属性 3 在 我的电脑 对话框中 单击 COM 安全 选项卡 4 在 访问权限 下 单击 编辑限制 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 12 页 5 在 访问权限 对话框中 如果用户 forwmi 没有在 组或用户名称 列表中 请按照下 列步骤操作 a 在 访问权限 对话框中 单击 添加 b 在 选择用户 计算机或组 对话框中 将用户 forwmi 添加到 输入对象名称来选择 框中 然后单击 确定 6 在 访问权限 对话框中 在 组或用户名称 框内选择您的用户和组 在 用户权限 下的 允许 栏中 选择 远程访问 然后单击 确定 7 在 启动和激活权限 下 单击 编辑限制 按钮 8 重复步骤 5 6 把 forwmi 用户添加 远程启动 和 远程激活 权限 如下图所示 WMI 远程监控常见错误及其解决办法 V1 0 0 第 13 页 3 3 2 设置设置 WMI 3 3 3 其他设置其他设置 3 4 使用域账号来作为监控用户时的解决方案使用域账号来作为监控用户时的解决方案 假如使用域账号 比如 sc bsmtest 来监控公司所有的机器 如果报 拒绝访问 我们有以下三种解决方案 3 4 1 解决方案一 把被监控端机器加入域解决方案一 把被监控端机器加入域 使用域账号只能监控域中的机器 如果被监控端机器不在域中 则需要把其加到域中 下面介绍加入域的步骤 1 在桌面上右键点击 我的电脑 选择 属性 在弹出的对话框中选择 计算机名 选 项卡 然后选择 要重新命名此计算机或加入域 单击更改 字符串右面的 更改 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 14 页 2 在弹出的对话框中 选择 域 单选框 在域名编辑框中输入域的名称 在这里域名是 然后点击 确定 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 15 页 如果弹出类似下面的对话框 则表示进入域成功 3 依次点击 确定 按钮 退出设置 最后会弹出一个重启机器的对话框 选择 是 这样重新启动机器之后 就可以了 3 4 2 解决方案二 把被监控机器退出域 然后重新加入域解决方案二 把被监控机器退出域 然后重新加入域 如果被监控端机器在域中 但还是报 拒绝访问 的错误 则需要先把机器退出域 然后重新加入域 才可以 我们先介绍怎样退出域和重新加入域 然后再进行详细解释 3 4 2 1 退出域 然后重新加入域的步骤退出域 然后重新加入域的步骤 1 在桌面上右键点击 我的电脑 选择 属性 在弹出的对话框中选择 计算机名 选 项卡 然后选择 要重新命名此计算机或加入域 单击更改 字符串右面的 更改 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 16 页 2 在弹出的对话框中 选择 工作组 单选框 在工作组名称编辑框中随便输入一个字符 串即可 例如我输入的是字符串 111 然后点击 确定 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 17 页 如果退出域成功 则会弹出类似下面的对话框 3 依次点击 确定 按钮 退出设置 然后重新启动计算机 4 当计算机重新启动之后 需要再次在桌面上右键点击 我的电脑 选择 属性 选择 计算机名 选项卡 然后再点击 更改 按钮 WMI 远程监控常见错误及其解决办法 V1 0 0 第 18 页 5 在弹出的对话框中 选择 域 单选框 在域名编辑框中输入域的名称 在这里域名是 然后点击 确定 按钮 如果弹出类似下面的对话框 则表示进入域成功 6 依次点击 确定 按钮 退出设置 最后会弹出一个重启机器的对话框 选择 是 这样重新启动机器之后 就可以了 WMI 远程监控常见错误及其解决办法 V1 0 0 第 19 页 3 4 2 2 原因解释原因解释 1 加入过域但机器的域信息已经出现问题 原因 因被监控端需要使用域进行登录验证 但该监控端本身从域控制器上获取并保 存在的信息已经损坏或丢失 无法从域控制器上验证登录用户的有效性 因而无法被 MARA 监控到 2 加入过域 登录域正常但用 MRAM 发现时无法发现 原因 被监控本身保存在本机上的域信息中只保留了登录过本机账号的信息 机器上 域的一些相关信息由于长时间使用已经失去时效性 只能验证本地或