DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 875605 - Dernière mise à jour: jeudi 11 janvier 2007 - Version: 3.3

Sommaire

Résumé

Plusieurs modifications apportées au verrouillage de sécurité dans Microsoft Windows XP Service Pack 2 (SP2) peuvent entraîner des problèmes avec l'infrastructure de gestion Windows WMI (Windows Management Instrumentation), en particulier dans des scénarios à distance.
Par exemple, le Pare-feu Windows est activé par défaut dans Windows XP SP2. Par ailleurs, les restrictions DCOM dans Windows XP SP2 sont différentes de celles des versions précédentes de Windows.

Introduction

Suite à des modifications de sécurité, des messages d'erreur de type « Accès refusé » peuvent s'afficher lorsque vous accédez à l'infrastructure WMI dans Microsoft Windows XP SP2. Vous pouvez également rencontrer des problèmes lorsque vous accédez à un ordinateur non-Windows XP SP2 si vous utilisez une requête asynchrone.

Résoudre des problèmes liés à l'infrastructure WMI dans Windows XP SP2

Lorsque vous résolvez des problèmes liés à l'infrastructure WMI, déterminez d'abord s'il s'agit d'un dysfonctionnement local ou distant. Pour cela, essayez d'accéder localement à l'infrastructure WMI pour éliminer les problèmes réseau. Si le problème se produit même lorsque vous accédez localement à l'infrastructure WMI, il n'est pas lié aux modifications de sécurité dans Windows XP SP2.

Si le problème disparaît lorsque vous accédez localement à l'infrastructure WMI, il peut concerner le Pare-feu Windows et DCOM. Lorsque vous exécutez une opération distante WMI à partir d'un ordinateur A vers un ordinateur B, une connexion DCOM doit être établie de l'ordinateur A à l'ordinateur B. Sur l'ordinateur B, le Pare-feu Windows et DCOM doivent être configurés pour autoriser la connexion. Si l'opération WMI est synchrone ou semi-synchrone, une seule connexion est requise. Toutefois, si l'opération WMI est asynchrone, une autre connexion de l'ordinateur B à l'ordinateur A est requise.
Réduire cette imageAgrandir cette image
 Figure 1 : La connexion 2 est requise lorsque l'opération WMI est asynchrone.
Pour établir la connexion 1 entre l'ordinateur A et l'ordinateur B, procédez comme suit :
  1. Si le Pare-feu Windows est activé sur l'ordinateur B, activez le paramètre Pare-feu Windows : autoriser l'exception d'administration à distance. Par défaut, le Pare-feu Windows est activé dans Windows XP Service Pack 2.

    Pour plus d'informations sur la façon d'activer ce paramètre, reportez-vous à la section Autoriser l'administration à distance.
  2. Si l'utilisateur à l'origine de la demande distante n'est pas un administrateur, assurez-vous que l'utilisateur dispose des autorisations d'exécution à distance DCOM sur l'ordinateur B.

    Pour plus d'informations, reportez-vous à la section Accorder des autorisations d'exécution à distance DCOM.
La connexion 2 est requise uniquement lorsque vous utilisez une opération WMI asynchrone. Si vous le pouvez, nous vous recommandons d'utiliser à la place une opération semi-synchrone. L'effet sur les performances est négligeable et une opération semi-synchrone permet les mêmes fonctionnalités sans requérir de connexion inversée.

Si vous devez utiliser une opération asynchrone, procédez comme suit :
  1. Si le Pare-feu Windows est activé sur l'ordinateur A, ouvrez le port DCOM. Par défaut, le Pare-feu Windows est activé dans Windows XP Service Pack 2.

    Pour plus d'informations sur la façon d'ouvrir le port DCOM, reportez-vous à la section Ouvrir le port DCOM.
  2. Sur l'ordinateur A, ajoutez l'application cliente à la liste d'exceptions du Pare-feu Windows afin que la connexion inversée puisse être exécutée.

    L'application cliente est souvent Unsecapp.exe. L'application Unsecapp.exe permet de renvoyer les résultats à un client dans le cadre d'un processus qui ne dispose peut-être pas des autorisations pour être un service DCOM. Les scripts et l'espace de noms System.Management Microsoft .NET dépendent de l'application Unsecapp.exe pour recevoir les résultats des opérations asynchrones.

    Pour plus d'informations sur la façon d'ajouter l'application cliente à la liste d'exceptions du Pare-feu Windows, reportez-vous à la section Ajouter l'application cliente à la liste d'exceptions du Pare-feu Windows.
  3. Si la connexion inversée est créée en tant que connexion anonyme, accordez des autorisations d'exécution à distance dans DCOM au compte d'ouverture de session anonyme sur l'ordinateur A. La connexion inversée est créée en tant que connexion anonyme si l'une des conditions suivantes est remplie :
    • L'ordinateur B est membre d'un groupe de travail.
    • L'ordinateur B n'appartient pas au même domaine que l'ordinateur A et le domaine de l'ordinateur B n'est pas un domaine approuvé.
    Pour plus d'informations, reportez-vous à la section Accorder des autorisations d'exécution à distance DCOM.
  4. Sécurisez le plus possible la connexion inversée. Pour plus d'informations, reportez-vous au site Web MSDN (Microsoft Developer Network) à l'adresse suivante (en anglais) :
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx (http://msdn2.microsoft.com/en-gb/library/aa393614.aspx)

Autoriser l'administration à distance

  1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
  2. Sous Racine de la console, développez Configuration ordinateur, Modèles d'administration, Réseau, Connexions réseau et Pare-feu Windows, puis cliquez sur Profil du domaine.
  3. Cliquez avec le bouton droit sur Pare-feu Windows : autoriser l'exception d'administration à distance, puis cliquez sur Propriétés.
  4. Cliquez sur Activé, puis sur OK.

Accorder des autorisations d'exécution à distance DCOM

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez DCOMCNFG, puis cliquez sur OK.
  2. Dans la boîte de dialogue Services de composants, développez Services de composants, Ordinateurs et Poste de travail.
  3. Dans la barre d'outils, cliquez sur le bouton Configurer le Poste de travail.

    La boîte de dialogue Poste de travail s'affiche.
  4. Dans la boîte de dialogue Poste de travail, cliquez sur l'onglet Sécurité COM.
  5. Sous Autorisations d'exécution et d'activation, cliquez sur Modifier les limites.
  6. Dans la boîte de dialogue Autorisation d'exécution, suivez ces étapes si votre nom ou votre groupe n'apparaît pas dans la liste Noms d'utilisateur ou de groupe :
    1. Dans la boîte de dialogue Autorisation d'exécution, cliquez sur Ajouter.
    2. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, ajoutez votre nom et le groupe dans la zone Entrez les noms des objets à sélectionner, puis cliquez sur OK.
  7. Dans la boîte de dialogue Autorisation d'exécution, sélectionnez l'utilisateur et le groupe dans la zone Noms d'utilisateur ou de groupe. Dans la colonne Autoriser sous Autorisations pour Utilisateur, sélectionnez Exécution à distance, puis cliquez sur OK.

Ouvrir le port DCOM

Avant d'activer des ports dans le Pare-feu Windows, assurez-vous que le paramètre Pare-feu Windows : autoriser les exceptions de ports locaux dans la stratégie de groupe est activé. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
  2. Sous Racine de la console, développez Configuration ordinateur, Modèles d'administration, Réseau, Connexions réseau et Pare-feu Windows, puis cliquez sur Profil du domaine.
  3. Cliquez avec le bouton droit sur Pare-feu Windows : autoriser les exceptions de ports locaux, puis cliquez sur Propriétés.
  4. Cliquez sur Activé, puis sur OK.
Remarque Vous pouvez également utiliser le paramètre Pare-feu Windows : définir les exceptions de ports pour configurer les exceptions de ports locaux.

Le port DCOM est le port TCP 35. Pour l'ouvrir, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration.
  2. Double-cliquez sur Pare-feu Windows, puis cliquez sur l'onglet Exceptions.
  3. Cliquez sur Ajouter un port.
  4. Dans la zone Nom, tapez DCOM_TCP135, puis tapez 135 dans la zone Numéro du port.
  5. Cliquez sur TCP, puis sur OK.
  6. Cliquez à nouveau sur OK.
Remarque Vous pouvez également taper la commande suivante à une invite de commandes pour ouvrir un port :
netsh firewall add portopening [TCP/UDP][Port][Nom]

Ajouter une application cliente à la liste d'exceptions du Pare-feu Windows

Avant de définir des exceptions de programmes dans le Pare-feu Windows, assurez-vous que le paramètre Pare-feu Windows : autoriser les exceptions de programmes locaux dans la stratégie de groupe est activé.
  1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
  2. Sous Racine de la console, développez Configuration ordinateur, Modèles d'administration, Réseau, Connexions réseau et Pare-feu Windows, puis cliquez sur Profil du domaine.
  3. Cliquez avec le bouton droit sur Pare-feu Windows : autoriser les exceptions de programmes locaux, puis cliquez sur Propriétés.
  4. Cliquez sur Activé, puis sur OK.
Remarque Vous pouvez également utiliser le paramètre Pare-feu Windows : définir les exceptions de programmes pour configurer les exceptions de programmes locaux.

Pour ajouter une application cliente à la liste d'exceptions du Pare-feu Windows, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration.
  2. Double-cliquez sur Pare-feu Windows, puis cliquez sur l'onglet Exceptions.
  3. Cliquez sur Ajouter un programme.
  4. Recherchez l'application à ajouter, puis cliquez sur OK.
  5. Cliquez sur OK.
Remarque Vous pouvez également taper la commande suivante à une invite de commandes pour ajouter un programme à la liste d'exceptions du Pare-feu Windows :
netsh firewall add allowedprogram [<Chemin d'accès>\Nom_Programme] [ACTIVÉ/DÉSACTIVÉ]

Exemple

Lorsque vous tentez d'utiliser l'outil Informations système, Msinfo32.exe, pour vous connecter à un ordinateur distant Microsoft Windows XP SP2, le message d'erreur suivant s'affiche :
La connexion à nom_ordinateur n'a pas pu être établie. Vérifiez que le chemin d'accès au réseau est correct, que vous disposez de l'autorisation nécessaire pour accéder à l'infrastructure WMI (Windows Management Instrumentation) et que le service WMI est en cours d'exécution sur cet ordinateur.
Remarque Dans ce message, nom_ordinateur est un espace réservé.

Pour contourner ce problème, suivez les étapes mentionnées dans la section Autoriser l'administration à distance.

Références

Pour plus d'informations, consultez les sites Web de Microsoft aux adresses suivantes (en anglais):
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1 (http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1)
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
875357  (http://support.microsoft.com/kb/875357/ ) Réglage des paramètres du Pare-feu Windows dans Windows XP Service Pack 2

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Management Instrumentation 1.5
Mots-clés : 
kbinfo kbtshoot KB875605
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store