DetailPage-MSS-KB

기술 자료

기술 자료: 875605 - 마지막 검토: 2007년 1월 11일 목요일 - 수정: 2.2

이 페이지에서

요약

Microsoft Windows XP 서비스 팩 2(SP2)에서는 여러 가지 보안 기능이 변경되어 특히 원격 시나리오에서 Windows Management Instrumentation(WMI) 관련 문제가 발생할 수 있습니다. 예를 들어 Windows XP SP2에서는 Windows 방화벽이 기본적으로 사용 가능하게 설정되어 있습니다. 또한 Windows XP SP2에서는 DCOM 제한도 Windows 이전 버전에서의 DCOM 제한과 다릅니다.

소개

보안 변경으로 인해 Microsoft Windows XP SP2에서 WMI에 액세스하면 "액세스 거부" 오류 메시지가 나타날 수 있습니다. 또한 비동기 쿼리를 사용할 경우 Windows XP SP2 기반 컴퓨터에서 다른 Windows 기반 컴퓨터에 액세스할 때도 문제가 발생할 수 있습니다.

Windows XP SP2에서 WMI 관련 문제 해결

WMI 관련 문제를 해결할 때는 먼저 문제가 로컬 문제인지 또는 원격 문제인지를 확인합니다. 이렇게 하려면 WMI에 로컬로 액세스하여 네트워크 문제를 배제합니다. WMI에 로컬로 액세스할 때도 문제가 발생한다면 문제는 Windows XP SP2의 보안 변경과 관계가 없습니다.

WMI에 로컬로 액세스할 때 문제가 발생하지 않는다면 Windows 방화벽 및 DCOM 관련 문제일 수 있습니다. 컴퓨터 A에서 컴퓨터 B로 원격 WMI 작업을 수행할 경우 컴퓨터 A에서 컴퓨터 B로 DCOM 연결을 설정하고 컴퓨터 B에서 이 연결을 허용하도록 Windows 방화벽과 DCOM을 구성해야 합니다. WMI 작업이 동기 작업이거나 반동기 작업인 경우 연결이 하나만 필요합니다. 그러나 WMI 작업이 비동기 작업이라면 컴퓨터 B에서 컴퓨터 A로의 다른 연결이 필요합니다.
그림 축소그림 확대
그림 1: WMI 작업이 비동기식일 경우 연결 2 필요
컴퓨터 A와 컴퓨터 B 사이에서 연결 1을 설정하려면 다음과 같이 하십시오.
  1. 컴퓨터 B에서 Windows 방화벽이 사용 가능하게 설정되어 있을 경우 Windows 방화벽: 원격 관리 허용 설정을 사용 가능하게 설정합니다. Windows XP SP2에서 Windows 방화벽은 기본적으로 사용 가능하게 설정되어 있습니다.

    이 설정을 사용 가능하게 설정하는 방법에 대한 자세한 내용은 원격 관리 허용 절을 참조하십시오.
  2. 관리자가 아닌 사용자가 원격 요청을 하는 경우 해당 사용자가 컴퓨터 B에 대한 DCOM 원격 시작 권한을 가지고 있는지 확인합니다.

    자세한 내용은 DCOM 원격 시작 권한 부여 절을 참조하십시오.
비동기 WMI 작업을 사용하는 경우에는 연결 2만 필요합니다. 가능할 경우 반동기 작업을 대신 사용하는 것이 좋습니다. 반동기 작업을 사용하면 성능에 작은 영향만 주며 동일한 기능을 사용할 수 있지만 역 연결은 필요하지 않습니다.

비동기 작업을 사용해야 할 경우 다음과 같이 하십시오.
  1. 컴퓨터 A에서 Windows 방화벽이 사용 가능하게 설정되어 있을 경우 DCOM 포트를 엽니다. Windows XP SP2에서 Windows 방화벽은 기본적으로 사용 가능하게 설정되어 있습니다.

    DCOM 포트를 여는 방법에 대한 자세한 내용은 DCOM 포트 열기 절을 참조하십시오.
  2. 컴퓨터 A에서 역 연결이 설정될 수 있도록 Windows 방화벽 예외 목록에 클라이언트 응용 프로그램을 추가합니다.

    클라이언트 응용 프로그램은 주로 Unsecapp.exe 응용 프로그램입니다. Unsecapp.exe 응용 프로그램은 프로세스에서 DCOM 서비스가 될 수 있는 사용 권한이 없는 클라이언트로 결과를 보내는 데 사용됩니다. 스크립팅과 Microsoft .NET System.Management 네임스페이스는 모두 비동기 작업 결과를 받을 때 Unsecapp.exe 응용 프로그램에 의존합니다.

    Windows 방화벽 예외 목록에 클라이언트 응용 프로그램을 추가하는 방법에 대한 자세한 내용은 Windows 방화벽 예외 목록에 클라이언트 응용 프로그램 추가 절을 참조하십시오.
  3. 역 연결을 익명 연결로 만든 경우에는 컴퓨터 A에서 익명 로그온 계정에 DCOM의 원격 시작 권한을 부여합니다. 아래 경우 중 하나에 해당하면 역 연결이 익명 연결로 만들어집니다.
    • 컴퓨터 B가 작업 그룹의 구성원인 경우
    • 컴퓨터 B가 컴퓨터 A와 같은 도메인에 없고 컴퓨터 B의 도메인이 트러스트된 도메인이 아닌 경우
    자세한 내용은 DCOM 원격 시작 권한 부여 절을 참조하십시오.
  4. 역 연결을 가능한 한 안전하게 만듭니다. 자세한 내용을 보려면 다음 Microsoft Developer Network(MSDN) 웹 사이트를 방문하십시오.
    http://msdn2.microsoft.com/en-gb/library/aa393614.aspx (http://msdn2.microsoft.com/en-gb/library/aa393614.aspx)

원격 관리 허용

  1. 시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.
  2. 콘솔 루트에서 컴퓨터 구성, 관리 템플릿, 네트워크, 네트워크 연결, Windows 방화벽을 차례로 확장한 다음 도메인 프로필을 누릅니다.
  3. Windows 방화벽: 원격 관리 허용을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 사용을 누른 다음 확인을 누릅니다.

DCOM 원격 시작 권한 부여

  1. 시작, 실행을 차례로 누르고 DCOMCNFG를 입력한 다음 확인을 누릅니다.
  2. 구성 요소 서비스 대화 상자에서 구성 요소 서비스, 컴퓨터를 차례로 확장하고 내 컴퓨터를 누릅니다.
  3. 도구 모음에서 내 컴퓨터 구성 단추를 누릅니다.

    내 컴퓨터 대화 상자가 나타납니다.
  4. 내 컴퓨터 대화 상자에서 COM 보안 탭을 누릅니다.
  5. 시작 및 활성화 권한에서 제한값 편집을 누릅니다.
  6. 시작 권한 대화 상자에서 그룹 또는 사용자 이름 목록에 사용자 이름이나 그룹이 나타나지 않을 경우 다음과 같이 합니다.
    1. 시작 권한 대화 상자에서 추가를 누릅니다.
    2. 사용자 또는 그룹(을)를 선택하십시오. 대화 상자에서 선택할 개체 이름을 입력하십시오. 상자에 사용자 이름이나 그룹을 추가한 다음 확인을 누릅니다.
  7. 시작 권한 대화 상자의 그룹 또는 사용자 이름 상자에서 해당 사용자나 그룹을 선택합니다. User의 사용 권한에 있는 허용 열에서 원격 시작을 선택한 다음 확인을 누릅니다.

DCOM 포트 열기

Windows 방화벽에서 포트를 사용 가능하게 설정하기 전에 그룹 정책에서 Windows 방화벽: 예외 로컬 포트 허용 설정이 사용 가능하게 설정되었는지 확인합니다. 이를 확인하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.
  2. 콘솔 루트에서 컴퓨터 구성, 관리 템플릿, 네트워크, 네트워크 연결, Windows 방화벽을 차례로 확장한 다음 도메인 프로필을 누릅니다.
  3. Windows 방화벽: 예외 로컬 포트 허용을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 사용을 누른 다음 확인을 누릅니다.
참고 또한 Windows 방화벽: 예외 포트 정의 설정을 사용하여 예외 로컬 포트를 구성할 수도 있습니다.

DCOM 포트는 TCP 135입니다. DCOM 포트를 열려면 다음과 같이 하십시오.
  1. 시작을 누른 다음 제어판을 누릅니다.
  2. Windows 방화벽을 두 번 누른 다음 예외 탭을 누릅니다.
  3. 포트 추가를 누릅니다.
  4. 이름 상자에 DCOM_TCP135를 입력하고 포트 번호 상자에 135를 입력합니다.
  5. TCP를 누른 다음 확인을 누릅니다.
  6. 확인을 누릅니다.
참고 또한 명령 프롬프트에서 다음 명령을 입력하여 포트를 열 수도 있습니다.
netsh firewall add portopening [TCP/UDP][Port][Name]

Windows 방화벽 예외 목록에 클라이언트 응용 프로그램 추가

Windows 방화벽에서 예외 프로그램을 정의하기 전에 그룹 정책에서 Windows 방화벽: 예외 로컬 프로그램 허용 설정이 사용 가능하게 설정되었는지 확인합니다.
  1. 시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.
  2. 콘솔 루트에서 컴퓨터 구성, 관리 템플릿, 네트워크, 네트워크 연결, Windows 방화벽을 차례로 확장한 다음 도메인 프로필을 누릅니다.
  3. Windows 방화벽: 예외 로컬 프로그램 허용을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 사용을 누른 다음 확인을 누릅니다.
참고 또한 Windows 방화벽: 예외 프로그램 정의 설정을 사용하여 예외 로컬 프로그램을 구성할 수도 있습니다.

Windows 방화벽 예외 목록에 클라이언트 응용 프로그램을 추가하려면 다음과 같이 하십시오.
  1. 시작을 누른 다음 제어판을 누릅니다.
  2. Windows 방화벽을 두 번 누른 다음 예외 탭을 누릅니다.
  3. 프로그램 추가를 누릅니다.
  4. 추가할 응용 프로그램을 찾은 다음 확인을 누릅니다.
  5. 확인을 누릅니다.
참고 또한 명령 프롬프트에서 아래의 명령을 입력하여 Windows 방화벽 예외 목록에 프로그램을 추가할 수도 있습니다.
netsh firewall add allowedprogram [<Path>\ProgramName] [ENABLE/DISABLE]

예제

시스템 정보 도구 Msinfo32.exe를 사용하여 Microsoft Windows XP SP2를 실행하는 원격 컴퓨터에 연결하려고 하면 다음과 같은 오류 메시지가 나타날 수 있습니다.
computer name에 연결할 수 없습니다. 네트워크 경로 이름이 맞는지, WMI(Windows Management Instrumentation) 액세스 권한이 있는지, 시스템에 WMI가 설치되어 있는지 등을 확인하십시오.
참고 이 메시지에서 computer name은 자리 표시자입니다.

이 문제를 해결하려면 원격 관리 허용 절에 나와 있는 단계를 수행하십시오.

참조

자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1 (http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1)
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
875357  (http://support.microsoft.com/kb/875357/ ) Windows XP 서비스 팩 2에서 Windows 방화벽 설정 문제 해결




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Management Instrumentation 1.5
키워드: 
kbinfo kbtshoot KB875605
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store