1 Тема от Lirien

  • Lirien
  • Участник
  • Неактивен

Тема: VBS: WMI на удаленном компьютере

Добрый день,

Есть скрипт VBS\WSH, который должен выполнять некоторые действия на удаленных рабочих станциях посредством WMI

Компьютерная сеть около 3000 рабочих станций
Единый домен.
Скрипт запускается с правами администратора домена на рабочей станции администратора.
80% рабочих станций обрабатываются скриптом без ошибок (скрипт полностью выполняет возложенную на него задачу)

Но на 20% рабочих станций скрипт останавливается с ошибкой Разрешение отклонено "GetObject"

Проблемная строка:

set objWMIService = GetObject("winmgmts:\\" & sCompName & i & "\root\cimv2")

Сейчас занимаюсь анализом проблемы, но пока закономерностей не нашел.

Буду благодарен за помощь.

2 Ответ от cbh

  • cbh
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien пишет:

80% рабочих станций обрабатываются скриптом без ошибок (скрипт полностью выполняет возложенную на него задачу)

Но на 20% рабочих станций скрипт останавливается с ошибкой Разрешение отклонено "GetObject"

Lirien пишет:

Сейчас занимаюсь анализом проблемы, но пока закономерностей не нашел.

А говорите закономерностей нет.
Какова логика скрипта? Если отключить от сети 20% рабрчих станций то скрипт отрабатывается без проблем?

3 Ответ от Dmitrii (изменено: Dmitrii, 2011-02-21 16:48:21)

  • Dmitrii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien, первые приходящие в голову причины (в порядке уменьшения вероятности):
- неверна настройка безопасности для пространства CIMV2;
- подключению к станции мешает установленный брандмауэр;
- "учётка" администратора домена не входит в группу локальных администраторов.

4 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

cbh пишет:

А говорите закономерностей нет.
Какова логика скрипта? Если отключить от сети 20% рабрчих станций то скрипт отрабатывается без проблем?

Изначально скрипт задумывался для замены IP-адресов на рабочих станциях в регионах. В связи со сдвигом внутренней IP-адресации
В одном филиале все на ура прошло. В остальных пока не было необходимости.
Затем переделал скрипт под изменение конфигурационных файлов (XML) корпоративного софта. Вот тут обнаружилась проблема.
В этом же филиале не работает и изначальный скрипт. Запустил по всем филиалам - получил некоторую статистику. 80\20%


Dmitrii пишет:

- неверна настройка безопасности для пространства CIMV2;

Вот тут бы поподробней

Dmitrii пишет:

- подключению к станции мешает установленный брандмауэр;

Забыл упомянуть - ОС: WinXP SP3
AV: Symantec Endpoint Protection Manager 11.0.6 MP2

Встроенный брандмауэр отключен, его замещает брандмауэр Symantec-а.
Но политики защиты накатываются централизованно по всем филиалам на все компьютеры.
И в одинаковых условиях часть компьютеров дают доступ к объекту WMI а часть нет.

Но даже если что-то блокируется, то что? Какой порт мне открыть или какому приложению открыть доступ?

Dmitrii пишет:

- "учётка" администратора домена не входит в группу локальных администраторов.

Проверил учетка администратора входит в группу локальных администраторов.

5 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Сейчас проверю вот это..
настройки безопасности для пространства CIMV2: Управление компьютером - Службы и приложения - Управляющий элемент WMI - Свойства - Безопасность.

6 Ответ от Dmitrii

  • Dmitrii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Ещё одна из наиболее вероятных причин: на "проблемных" станциях настроен пониженный "умолчальный" уровень олицетворения протокола DCOM (Ваш сценарий использует как раз уровень олицетворения по умолчанию).

7 Ответ от Dmitrii

  • Dmitrii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien пишет:

... политики защиты накатываются централизованно по всем филиалам на все компьютеры.
И в одинаковых условиях часть компьютеров дают доступ к объекту WMI а часть нет...

Проверьте корректность распространения групповой политики (и с помощью RSoP, и с помощью элементарного тестового отключения брандмауэра).

8 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien пишет:

Сейчас проверю вот это..
настройки безопасности для пространства CIMV2: Управление компьютером - Службы и приложения - Управляющий элемент WMI - Свойства - Безопасность.

Проверил. на первой же вкладке Управляющий элемент WMI -> Общие
вижу сообщение:

Неуспешное подключение\\ххх.ххх.ххх.ххх поскольку "Win32: Отказано в доступе."

Но в локальных администраторах я есть.

9 Ответ от Dmitrii

  • Dmitrii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien пишет:

... в локальных администраторах я есть.

Этого может быть недостаточно.

Lirien пишет:

... вижу сообщение:
Неуспешное подключение\\ххх.ххх.ххх.ххх поскольку "Win32: Отказано в доступе."...

С помощью любого доступного средства удалённого доступа (RDP, RAdnin и т.п.) смотрите настройки безопасности пространства.

10 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Зашел через RDP
Поверил настройки безопасности.
Доступ предоставлен группе локальных администраторов, в которую входит моя учетная запись.
Локально к WMI подключаюсь
Брандмауэр отключен

Но удаленно так и немогу подключиться к WMI

11 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Сейчас поехал домой..
завтра еще логи разберу.

12 Ответ от Dmitrii

  • Dmitrii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien пишет:

... Локально к WMI подключаюсь
Брандмауэр отключен
Но удаленно так и немогу подключиться к WMI

В таком случае пробуйте указать в сценарии нужные уровни олицетворения и аутентификации.

13 Ответ от alexii

  • alexii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Наш набор для плясок с бубном: VBScript: почему не работают скрипты WMI?. Я бы начал танцевать со сравнения настроек того, где работает с тем, где не работает.

14 Ответ от Lirien (изменено: Lirien, 2011-02-22 15:55:21)

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

В общем в настройках безопасности COM разрешил удаленный доступ для всех групп (новых не добавлял)
И во вкладке"Свойства по умаолчанию" поставил галку "Разрешать использование DCOM на этом компьютере"

Исправил настройки доме - проставил суффиксы в настройках подключения

Сразу ничего не заработало, а вот после перезагрузки, я смог подключиться удаленно к объектам WMI.

Попозже протестирую стоит ли открывать всем подряд удаленный доступ, возможно достаточно
поставить галку "Разрешать использование DCOM на этом компьютере".

Дополнительно обнаружились другие ошибки в некоторых филиалах.. но там на всех компьютерах имеются
некоторые неточности в сетевых настройках и регистрации в домене..

Большое спасибо за помощь

15 Ответ от Lirien

  • Lirien
  • Участник
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Уточнил.
Во вкладке"Свойства по умаолчанию" поставил галку "Разрешать использование DCOM на этом компьютере"
И после перезагрузки начинает работать удаленный WMI

16 Ответ от alexii

  • alexii
  • Разработчик
  • Неактивен

Re: VBS: WMI на удаленном компьютере

Lirien, спасибо за комментарии.