如何 WMI 使用远程连接验证 WBEMTEST
69095
Created On 04/30/19 03:20 AM - Last Modified 07/19/22 03:21 AM
Objective
–使用无代理用户方法实现从帕洛阿尔托网络 firewall 到活动目录服务器的成功连接 ID 。
–验证 WMI 从Windows客户端到活动目录(域控制器)服务器的远程连接。
Environment
Palo Alto 网络 firewall 配置与无代理用户 ID - 方法到微软活动目录
服务器监控显示 访问拒绝一个或多个服务器 AD (s)
日志从使用.log类似于下面 (有 NT 代码):
Error: pan_user_id_win_sess_query(pan_user_id_win.c:1498): session query for dc03.panlab.test failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003 Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1040): WMIC message from server dc03.panlab.test: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
Procedure
请参阅以下指南来配置组成员资格和 WMI 权限:如何配置为服务帐户配置的无代理用户-–ID
组成员资格 可复制 到 AD 域中的所有服务器。
– WMI 权限必须在每个服务器中配置 AD (它是本地设置并 NOT 复制 到其他 AD 服务器)。
在此示例中,我们使用的参数如下: -
AD 服务器: dc03.panlab.test
- 服务帐户用户名: svc_paloalto
要验证 WMI AD 与服务器的远程连接,可用的工具之一是 WBEMTEST ,大多数 Windows 系统都可用。
从任何 Windows 机器(域名成员)运行以下步骤。 不要从 AD 服务器本身运行。
STEP 1: 转到 "开始",在搜索或运行框中键入 wbemtest
STEP 2: 将启动名为"Windows 管理仪器测试仪"的新窗口。 请注意,大多数按钮都已禁用(已灰化)
STEP 3:单击连接
STEP 4:指定名称空间: \\dc03.panlab.test=root_cimv2
STEP 5: svc_paloalto及其密码
STEP6:单击Connect
STEP 7:观察是否显示任何错误消息 (写下错误编号和错误描述并查看本文WMI错误常数)
STEP 8:在成功连接时, 验证名称空间,并启用所有按钮(未灰化)
最常见的错误是0x80041003。 这表明服务帐户无权 WMI 远程连接。 请确保 AD 服务器配置 WMI 为该服务帐户的正确权限(启用访问、远程启用和读取安全)。
Additional Information
有关其他信息,请查看以下资源:
如何配置无代理用户-ID
无代理用户 ID -"访问拒绝"错误在服务器监视器
无代理用户 ID 错误未能解析安全日志buf
外部链接:WMI错误常数
导入WBEMTEST