4

我正在尝试使用 WMI 和 C# 从远程机器的事件查看器中获取通知。我能够连接系统并使用ManagementObjectSearcher. 但是当我尝试使用ManagementEventWatcher.Start方法时,我遇到了一个异常:

访问被拒绝。(来自 HRESULT 的异常:0x80070005 (E_ACCESSDENIED))

我已将 WMI 控制中root\cimv2的权限授予并授予 DCOM 配置中用户帐户的管理员权限。

我有普通的 Windows 应用程序,因此我没有使用 ASP.net(ASPNET 用户)。

我的代码是:

ConnectionOptions connectionOptions = new ConnectionOptions();
connectionOptions.Username = @"Domain\UName";//txtUserName.Text;
connectionOptions.Password = "pass";//txtPassword.Text;
connectionOptions.Impersonation = ImpersonationLevel.Impersonate;
ManagementScope managementScope = new ManagementScope(@"\\server\root\cimv2",connectionOptions);
managementScope.Options.EnablePrivileges = true;
managementScope.Connect(); // this line is executing fine.
eventWatcher = new ManagementEventWatcher(managementScope, new EventQuery("Select * From __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent'  and TargetInstance.LogFile = 'Application'"));
eventWatcher.EventArrived += new EventArrivedEventHandler(Arrived);
eventWatcher.Scope.Options.EnablePrivileges = true;
eventWatcher.Start(); // Error occurs here
4

3 回答 3

5

首先,请记住,Microsoft 建议使用半同步操作(正如 Brian 建议的那样):

如果可以,我们建议您改用半同步操作。性能影响小,半同步操作允许相同的功能但不需要反向连接。

另请参阅在 VBScript 中为异步调用设置安全性

如果您仍想使用 Async 操作,请参阅以下文章:

YMMV,但对我来说(客户端:Win7 x64 SP1 服务器:Windows Server 2008 Enterprise SP2 w/o firewall)E_ACCESSDENIED在第三篇文章中找到了异常的解决方案:

  1. 单击开始,单击运行,键入DCOMCNFG,然后单击确定。
  2. 在“组件服务”对话框中,展开“组件服务” 、“计算机”,然后右键单击“我的电脑”并单击“属性” 。
  3. 在“我的电脑属性”对话框中,单击“ COM 安全”选项卡。
  4. 访问权限下,单击编辑限制
  5. 访问权限对话框中,在组或用户名框中选择匿名登录名。在用户权限下的允许列中,选择远程访问,然后单击确定

请注意,我在客户端执行了上述操作。虽然这为我解决了 DCOM 权限问题,但随后我遇到了 WMI 访问被拒绝错误 ( 0x80041003)。原来这是由于第二篇文章中提到的注册表项:

如果远程连接在没有信任关系的计算机之间,则需要更新 CIMOM 设置;否则,异步连接将失败。不应为同一域或受信任域中的计算机修改此设置。

需要修改以下注册表项以允许匿名回调:HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

如果 AllowAnonymousCallback 键设置为 0,WMI 服务会阻止对客户端的匿名回调。如果该值设置为 1,则 WMI 服务允许对客户端进行匿名回调。

请注意,您需要在服务器中设置上述内容。一旦我这样做了,异步回调就起作用了。您可以尝试的其他事情是以管理员身份运行您的客户端并将ConnectionOptions.EnablePrivileges设置为 true。

有关故障排除,请参阅:

最后,我建议您利用 Microsoft 的 WMI 测试器 ( %windir%\system32\wbem\wbemtest.exe)

于 2011-12-07T16:10:24.063 回答
4

尝试使用 WaitForNextEvent() 进行半同步监听:

    var managementScope = new ManagementScope(@"\\mysever\root\onguard"); 
    managementScope.Connect(); 

    var query = new EventQuery("select * from lnl_AccessEvent");
    var eventWatcher = new ManagementEventWatcher(managementScope, query);
    var wmiEvent = eventWatcher.WaitForNextEvent();
    Console.Out.WriteLine(wmiEvent.GetPropertyValue("Description"));

我们还发现 wbemtest.exe 很有用。单击 Notification Query... 按钮以侦听事件。您可以尝试各种连接方法(同步、异步或半同步)。连接到本地计算机时,所有连接方法都有效,但我们只能半同步远程工作。异步(您正在使用)更复杂(且安全性较低),因为服务器必须与客户端建立连接。

这里有一些关于安全和配置设置的好信息:http: //www.packettrap.com/network/Knowledge-Base/PacketTrap-MSP/WMI-Troubleshooting.aspx#_Toc239699682

于 2010-11-19T01:17:21.210 回答
0

我花了几个小时弄清楚这个。以上都不适合我。

在分析了我的 IIS 服务器上的事件日志后,我发现每次调用 ManagementEventWatcher 对象的 Start 方法时,我都会在系统日志中收到以下错误事件:

机器默认权限设置不向用户 IIS APPPOOL\DefaultAppPool 授予 CLSID {49BD2028-1523-11D1-AD79-00C04FD8FDFF} 和 APPID {49BD2028-1523-11D1-AD79-00C04FD8FDFF} 的 COM 服务器应用程序的本地激活权限SID (S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415) 来自地址 LocalHost(使用 LRPC)。可以使用组件服务管理工具修改此安全权限。

注册表搜索显示错误中指定 APPID 的应用程序是

Microsoft WBEM 无担保公寓

要使异步回调起作用,您需要将此 COM 对象的本地激活权限授予 IIS APPPOOL\DefaultAppPool 用户,这听起来很容易,除了用户在安全数据库中没有显示为有效帐户这一事实。这是因为它是在创建 IIS 应用程序池时自动构建的系统生成的用户帐户。

完成这项工作的过程如下:

  1. 运行 mmc,添加组件服务管理单元
  2. 打开计算机->我的电脑->DCOM 配置
  3. 向下滚动到“Microsoft WBEM Unsecured Apartment Object”
  4. 右键单击并选择属性
  5. 单击“安全”选项卡,然后在“启动和激活权限”部分下选择“自定义”选项并点击“编辑”
  6. 如果您的 IIS 服务器是域的一部分,请确保您在位置字段中指定了本地计算机,而不是域。
  7. 点击添加按钮并在用户框中输入“IIS APPPool\DefaultAppPool”,然后点击检查名称按钮。如果您不使用 DefaultAppPool,则替换您正在使用的应用程序池的名称。
  8. 您将看到一个有效的用户出现在框中,点击确定。
  9. 在列表中选择用户并选中本地启动和本地激活的允许框。
  10. 享受您将不再在 WMI 事件侦听器的异步回调中看到 E_ACCESSDENIED 的事实。
于 2012-10-26T05:02:30.147 回答