Otestování vzdálené WMI konektivity

Poslední produkty Microsoftu (k mé nelibosti) zhusta používají WMI, nejlépe oboustranně navazované RPC spojení a podobné špeky. To v momentě, kdy je v cestě firewall, nezřídka znamená konec všech snah o zprovoznění. Výjimkou je MS ISA Server, ale jen v případě, že pravidla na něm nevyráběl jouda.

Testovat dostupnost WMI pomocí těch cílových softů je peklo, v případě problémů je nutné přejít o několik úrovní níž na diagnostické nástroje. Nástroje ping a telnet jsou ale už zase moc nízko :)

Na počítači, z něhož chci vyvolávat WMI komunikaci, spustím nástroj wbemtest.exe.

wbem1

Klepnu na tlačítko Connect…, v okně, které se otevře, změním Namespace na \\cílový_server\root\cimv2, vyplním User pole ve tvaru doména\uživatel a následně Password a stisknu Connect.

wbem2

Tím se vrátím na první okno. V něm klepnu třeba na tlačítko Query… a zadám si libovolný dotaz, např.

select * from Win32_Service

a stisknu tlačítko Apply. Pokud WMI komunikace funguje, dostanu výpis všech služeb existujících na vzdáleném serveru.

A teď možné příčiny, pokud WMI nefunguje (jež jsem si vyzkoušel na vlastní kůži):

1) na cílovém počítači neběží služba WMI
2) na cílovém počítači je spuštěn firewall nepovolující WMI komunikaci
3) na cílovém počítači byl aplikován Security Configuration Wizard, který zamezil Remote WMI (viz obrázek níže)
4) v cestě je libovolný non-MS ISA firewall, který něco zařezává
5) v cestě je MS ISA firewall, který vyžaduje Strict RPC compliance (viz obrázek níže)
6) v cestě je MS ISA firewall, u něhož “zabírá” (tj. je dříve v pořadí) pravidlo, jež si vynucuje Strict RPC compliance, takže se na to druhé pravidlo již nikdy nedostane
7) na počítači, z něhož chci přistupovat, je firewall nepovolující WMI odchozí komunikaci
8) na některém z počítačů není korektní konfigurace DCOM – řešení zde

SCW a povolení vzdáleného WMI přístupu

remote_wmi

MS ISA Server 2006 a vypnutí Strict RPC compliance u konkrétního pravidla pro Hyper-V administraci

isa_strict_rpc

Zobrazit komentáře