none
リモートでのWMI接続の条件について​ RRS feed

  • 質問

  • Windows10professional端末に対するWMIのリモート接続不可の解決手順について

    いつもお世話になってます。
    標記、切り分け方法・解決方法をご教示お願いしたく

    ◆環境:WMIサーバ側:Windows10professional

        WMIクライアント側:1,Windows10professional
                  2,Windows7professional

    Windows7proに対しては同様設定といますが、
    WMIC,WMIMGMTはローカル・リモート双方正常取得できています。
    ※設定内容は後述します。

    認証が生じるとNGのように見えますが、
    当該のアカウント/パスワードでのリモートデスクトップはできています。

    ◆確認結果
    1.リモートでの確認結果
    ×リモートでのwmimgmt.msc確認
     WMIコントロール(IPアドレス)
       「\\***.***.***.***に接続できませんでした
        Win32:アクセスが拒否されました。」
     →→取得不可



    2.ローカルでの確認結果
     1)ローカルでのwmimgmt.msc結果
     WMIコントロール(IPアドレス)
     WMIコントロール(ローカル)
     →「このダイアログによって、コンピュータの全般情報を取得できます。」
     →→正常取得




     2)CMD画面での実行結果


    〇C:\Users\winte>wmic  OS GET CSName


     CSName


     WIN10PRO
     →正常取得

    ×C:\Users\winte>wmic /node:"***.***.***.***" /user:"wmitest" /password:"**********" OS GET CSName


     ノード - ***.***.***.***


     エラー:


     説明 = アクセスが拒否されました。
     →取得不可

    ×C:\Users\winte>wmic /node:"127.0.0.1" /user:"wmitest" /password:"**********" OS GET CSName
     ノード - 127.0.0.1


     エラー:


     説明 = アクセスが拒否されました。
     →取得不可

    ×C:\Users\winte>wmic /node:"localhost" /user:"wmitest" /password:"**********" OS GET CSName


     ノード - WIN10PRO


     エラー:


     説明 = ユーザー資格情報はローカル接続には使用できません
     →取得不可




    -------------------------------------------------------------------------------------------------------------------------------
    ◆WMIクライアント側設定
     1)WMI用管理者アカウント追加

     2)wmimgmt.msc起動
     [ファイル名を指定して実行] ->"wmimgmt.msc"を入力 -> [OK] を押下
     コンソールツリーで[WMI コントロール] を右クリック -> [プロパティ] を押下
     [セキュリティ] タブを押下
     ユーザーにアクセスを許可する名前空間[Root]を選択し -> [セキュリティ] を押下
     [セキュリティ] ダイアログボックスで [追加] を押下
     [ユーザー、コンピューターまたはグループの選択] で、 
     追加するオブジェクト (ユーザー) の名前を手順1)のアカウント入力。
     [名前の確認] を押下して入力が有効であることを確認し -> [OK] を押下
     [セキュリティ] ダイアログボックスの [アクセス許可] で、
     新しいユーザーにアクセス許可の項目を全部チェック
     [詳細設定]->[セキュリティの詳細設定]で追加したユーザ選択
     ->[編集]->[適用先]を"この名前空間と副名前空間"に変更->[OK]を押下
      [適用]を押下

     3)docomcnfg.exe起動
     [コンソールルート] -> [コンポーネントサービス] -> [コンピューター] ->
      [マイコンピュータ]を選択 -> マイコンピュータを右クリック->プロパティ選択
     「アクセス許可」の「制限の編集」「起動とアクティブ化のアクセス許可」の[制限の編集]
     リモートでアクセスの手順1)のアカウント追加
     アクセス許可の項目を全部チェック入力
      [OK]を押下
      [適用]クリック

     「既定のプロパティ」タブ
     「このコンピュータ上でCOMインターネットサービスを有効にする(N)」 チェック:「OFF」←→「ON」
     「既定の偽装レベル(I):「識別する」←→「偽装する」
     ↑上記はいずれでもNGでした。組み合わせは試していないです。
     
     
     

     4)WindowsFirewall
          受信:TCP135,137,138,139,445
          WindowsManagementInstrumentation(DCOM受信)プライベート
               WindowsManagementInstrumentation(DCOM受信)ドメイン
          WindowsManagementInstrumentation(WMI受信)プライベート
               WindowsManagementInstrumentation(WMI受信)ドメイン     
          WindowsManagementInstrumentation(非同期受信)プライベート
               WindowsManagementInstrumentation(非同期受信)ドメイン    

       送信:TCP137,138,139,445
               WindowsManagementInstrumentation(WMI送信)プライベート
               WindowsManagementInstrumentation(WMI送信)ドメイン

       
     5)クライアント機器リブート


    ◆設定内容
    -------------------------------------------------------------------------------------------------------------------------------

    ◆WMIサーバ側設定
     1)WMI用管理者アカウント追加
     3)docomcnfg.exe
     [コンソールルート] -> [コンポーネントサービス] -> [コンピューター] ->
      [マイコンピュータ]を選択 -> マイコンピュータを右クリック->プロパティ選択
     起動とアクティブ化のアクセス許可の[制限の編集]
     リモートでアクセスの手順1)のアカウント追加
     アクセス許可の項目を全部チェック入力
      [OK]を押下
      [適用]クリック
     
     4)WindowsFirewall
          受信:TCP137,138,139,445
          WindowsManagementInstrumentation(DCOM受信)プライベート
               WindowsManagementInstrumentation(DCOM受信)ドメイン
          WindowsManagementInstrumentation(WMI受信)プライベート
               WindowsManagementInstrumentation(WMI受信)ドメイン     
          WindowsManagementInstrumentation(非同期受信)プライベート
               WindowsManagementInstrumentation(非同期受信)ドメイン    

       送信:TCP135,137,138,139,445
               WindowsManagementInstrumentation(WMI送信)プライベート
               WindowsManagementInstrumentation(WMI送信)ドメイン


     5)サーバ機器再起動
    2019年1月11日 7:40

回答

  • こちらでの確認結果をお送りします。

    RemoteWMI送信側のWindws10Professional1803へver1809を適用し、
    クライアントへRemoteWMI接続を行たっところ、
    正常に接続でき情報取得することができました。

    またWMIの上位で動いているアプリケーションも問題なく動作するようになりました。

    気になるのはMicrosoftの公式ドキュメントはまだ見つかっておりませんが、
    一旦は私の質問はクローズとさせていただきます。

    • 回答としてマーク zukkie777 2019年1月22日 2:35
    2019年1月22日 2:35

すべての返信

  • リモートでのWMI接続の条件について​ ​ WMI接続は、ドメイン参加&AD環境であるなどの条件​ はあるのでしょうか?​ ​ ​ ​ ​ 以下のトピック主ですが、未だに解決に至っておりません。​ ■Windows10professional端末に対するWMIのリモート接続不可の解決手順について ​ https://social.technet.microsoft.com/Forums/ja-JP/421ba1fe-0520-45c9-92c7-4375b15abfe8/windows10professional314712641112395235501237712427wmi12398125221251412?forum=win10itprogeneralJP​ ​ そこでいくつかのドキュメント、Webサイトを確認したところ、​ 前述のように、WMI接続の条件としてはドメイン参加が必要な記述があるのですが、​ 事実でしょうか?環境に​ADとドメイン参加の構成を取ることが困難のため代替案をご存知の方いましたらご教示をお願いしたく。 ​ 他の同様のトピック:​ WMIへのリモートアクセス「アクセスは拒否されました​ https://social.technet.microsoft.com/Forums/ja-JP/4f3a2cc3-b59d-4f23-b0a7-a54cce9342a9/wmi124081239812522125141254012488124501246312475124731230012450?forum=w7itprogeneralja」​ ​ ​ ■実施内容​ WMI接続元ーWMI接続先のパソコンは双方Windows10professional、​ 管理者アカウント​ ​ リモートレジストリ起動​ 各種TCPポート開放​ (TCP:135/137/138/139/445)​ 管理コンソール wmimgmt.msc で、名前空間RootへEveryone にフル権限を付与​ dcomcnfg を起動して「このコンピュータ上で分散COMを有効にする」にチェック押下​ COMセキュリティの「制限の編集」で、Everyoneにフル権限付与​ ​ UAC無効化&関連レジストリ変更​
    2019年1月16日 17:08
  • チャブーンです。

    この件ですが、回答に言及する前に、ちょっと申し上げておきたいことがあります。大変申し上げにくく、キビシイ表現となってしまいますが、個人的に「困っている」から何とかしてほしい、というような感情を訴求するような投稿表現はお奨めしません。

    理由は、答える側は必ずしもそのように(技術とは無関係に「困っている方を助けるのが第一義」と)考えているわけでないこと、またうまくいかなかった際のコミュニケーションに問題が生じる可能性を考えるためです。こういうケースでは問題解決がうまくいかない場合を考慮する必要があり、どこかで「投稿を打ち切る」ことを念頭にやりとりを行うことになります。感情に取り込まれてしまった方は、この見極めができないケースが多く、これが原因で発生するコミュニケーション上の問題を、私はたくさん見てきました。このような疑いをもたれないよう、冷静な文面で投稿されることを、強くお奨めします。

    答えの方ですが、切り分け、というのでしたら、基本的に以下のような分け方はあるかもしれません。

    1. ファイアウォール設定の影響を確認したいなら、ふつうはファイアウォールを「無効」にして影響を除くと思います。
    2. アクセス許可の影響を確認するのであれば、(うまくいっているという)Windows 7の同じ箇所の設定をマネする、といった方法で確認を行うと思います。
    3. Windows 10の場合UACの影響が考えられます。ここではネットワーク経由のUACが問題になっている可能性があるので、したのページを見て、ネットワークのUAC設定を無効にすることで、切り分けられるでしょう。
      https://support.microsoft.com/en-us/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年1月17日 2:33
  • チャブーンさま


    こちらお返事ありがとうございます。
    また配慮が至らず大変申し訳ありませんでした。

    お返事いただいた3点については、以下の通りです。

    1.ファイヤウォールは現在全て無効化設定している。

    2.Windows7と設定内容は全て同一にしてある。

    3.UAC設定無効化、関連レジストリのエントリ追加を行っている
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    LocalAccountTokenFilterPolicyの値データ:1を入力



    それで現時点は、Windows10のバージョンが1803であるため、
    それらが影響している可能性があるのではないかと考えています。



    まだ確認途中ではありますが、Microsoft・MSDN、他有志サイトでその類の記載を見つけましたので、
    次の対応としてはWindowsUpdate、OSのダウングレードによる対応を検討するところです。

    https://social.msdn.microsoft.com/Forums/azure/en-US/511ad60e-a9c3-49da-9810-3660c54fc2b8/0x80070005-access-denied-for-remote-wmi-using-managementscopeconnect-to-win-10-pro-1803?forum=wcf

    https://borncity.com/win/2018/12/02/windows-10-v1803-remote-wmi-causes-error-0x80070005/

    https://support.microsoft.com/ja-jp/help/3119213/wmi-group-policy-filters-that-compare-win32-operatingsystem-buildnumbe



    ↑特に1つ目、2つ目のURLが参考になるのですが、
    私の環境でリモートWMI接続失敗しているのはOSバージョンがWMIの送信元と送信先が、
    Windows10の1803同士の場合にリモートWMIを試みようとすると、必ず拒否されている状態です。

    記載ではWindowsServer2019でも発生するだろうとされていますが、
    私のもう一つの環境(送信元:WindowsServer2019(1809)・受信先:Windows10pro(1803))では、
    送信元・受信先のOSとバージョンが異なるためか発生せず、WMIのリモート接続は正常に完了しております。


    取り急ぎお返事とさせていただき、
    検証進捗あり次第別途こちらに記載させていただきます。


    2019年1月18日 15:50
  • こちらでの確認結果をお送りします。

    RemoteWMI送信側のWindws10Professional1803へver1809を適用し、
    クライアントへRemoteWMI接続を行たっところ、
    正常に接続でき情報取得することができました。

    またWMIの上位で動いているアプリケーションも問題なく動作するようになりました。

    気になるのはMicrosoftの公式ドキュメントはまだ見つかっておりませんが、
    一旦は私の質問はクローズとさせていただきます。

    • 回答としてマーク zukkie777 2019年1月22日 2:35
    2019年1月22日 2:35