问: 我所有的客户端都接收不到任何策略。我该检查什么?(新增日期:2004 年 2 月 27 日) 答:
向管理点上的 IIS 模拟发送一个简单的客户端请求。首先,在“开始”菜单中,单击“运行”并键入“http://<管理点名称>/sms_mp/.sms_aut?mplist”。如果看到一个空白屏幕而不是错误消息,表明这个请求是成功的。下一步,在“开始”菜单中,单击“运行”并键入
“http://<管理点名称>/sms_mp/.sms_aut?mpcer”。如果请求成功,您就会看到一个长长的由数字和字母组成的列表。最后,运行可从 Microsoft 下载站点下载的 SMS Toolkit1 中的 MPGetPolicy 工具。如果这些测试均失败,请验证是否正确地安装了管理点。有关验证管理点安装是否成功方面的更多信息,请参见 Microsoft TechNet 上的“Site Systems Frequently Asked Questions”(站点系统常见问题解
问: 为什么我的“高级客户端”实际已安装了但不在“所有系统”集合中显示为已安装? 答:
首先,验证 SMS 代理主机服务是否已安装并在运行。如果是,则“高级客户端”确实已安装。如果它未在“所有系统”集合中显示出来,可能是因为该客户端未分配到站点,也有可能是该客户端无法在其分配到的站点找到默认管理点。您可以使用控制面板中的“系统管理”程序的“高级”选项卡来验证该客户端是否已分配到某一站点。如果未分配到站点,您可以配置该客户端应分配到的站点的站点代码。如果它分配到了某个站点,则请查看该客户端上的 LocationServices.log (Windows\System32\CCM\Logs),看该客户端是否能够检索其分配到的站点的默认管理点。有可能是管理点安装因为缺少在管理点角色分配到该计算机之前安装的 IIS 或 BITS 服务而失败。
问: 我希望安装 Windows XP SP2,它与 SMS 2003 是否存在应用程序兼容性问题?(更新日期:2004 年 3 月 31 日) 答:
是的。目前有两个已知的要求修复程序的兼容性问题,和五个由 Windows 防火墙(也叫 Internet 连接防火墙或 ICF)的安全配置导致的应用程序兼容性问题。
修复程序
访问控制面板中的 SMS 内容项 由于 Windows XP SP2 中对 DCOM 施加的限制,用户将无法访问控制面板中的“Run Advertised Programs”(运行广告的程序)或“Program Download Monitor”(程序下载监视器)。而且无法访问控制面板中“系统管理”上的“操作”选项卡。我们已提供一个纠正该问题的修复程序。有关该修复程序的更多信息,请参见 Microsoft 知识库文章 832862。要使用 SMS 软件分发功能成功地将该修复程序部署到客户端,您必须确认 Advertised Programs Client(广告的程序客户端)代理是否禁用了倒计时功能。
使用 BITS 下载软件包 Windows XP SP2 与“高级客户端”使用 BITS 下载软件包的这一能力有冲突。使用 BITS 下载策略不受影响。向启用 BITS 的分发点应用一个修复程序即可修复此问题。有关该修复程序的更多信息,请参见 Microsoft 知识库文章 832860。
应用程序兼容性问题和变通办法
安装 Windows XP SP2 时,默认情况下“Windows 防火墙”为启用状态。默认“Windows 防火墙”设置与几项 SMS 功能的运行有冲突。要修改 Windows 防火墙允许运行的程序和服务的种类,请:
1.
在运行 Windows XP 的计算机上,在控制面板中打开“Windows 防火墙”。
2.
在“例外”选项卡中,您可以选择本部分稍后指定的默认服务,也可以单击“添加程序”或“添加端口”创建自定义的程序或端口。
注意:Windows XP SP2 测试版的控制面板中有“Internet 连接防火墙”,而不是“Windows 防火墙”。
远程控制 无法使用 SMS 远程工具对运行 Windows XP SP2 的 SMS 客户端进行远程管理。建议的最佳做法是在支持“远程协助”的客户端计算机(如 Windows XP)上使用“远程协助”功能。要启用 SMS 远程工具,请为每一个必要的远程工具添加以下端口:
端口 功能
TCP 端口 2701
允许常规联系、重启和 ping
TCP 端口 2702
远程控制
TCP 端口 2703
聊天
TCP 端口 2704
文件传输
有关 SMS 远程控制使用的端口的更多信息,请参见 Microsoft 知识库文章 256884。
“远程协助”在从 SMS 管理员控制台启动时不可用 从 SMS 管理员控制台启动的到运行 Windows XP SP2 的计算机的远程协助会话将失败,不过 Windows XP 客户端请求的远程协助会话将成功。要使“远程协助”能够从 SMS 管理员控制台中启动,请在 Windows XP 客户端上的“Windows 防火墙”中将自定义程序 helpsvc.exe 和自定义端口 TCP 135 添加到允许的程序和服务列表中。另外,Windows 防火墙必须配置为允许“远程协助”和“远程桌面”。如果用户从这个计算机发出一个“远程协助”请求,Windows 防火墙将自动配置为允许“远程协助”和“远程桌面”。
SMS 管理员控制台中的 Windows 事件查看器、系统监视器和“Windows 诊断” SMS 管理员控制台无法访问运行 Windows XP SP2 的计算机上的 Windows 事件查看器或系统监视器。要启用对这些功能的远程访问,请在 Windows XP 客户端上的“Windows 防火墙”配置中启用“文件和打印共享”。现在对于从 SMS 管理员控制台访问“Windows 诊断”尚没有变通解决办法。
客户端推送安装 Client Push Installation(客户端推送安装)在运行 Windows XP SP2 的客户端计算机上失败。要启用客户端推送安装,请在 Windows XP 上的“Windows 防火墙”配置中启用“文件和打印共享”。
SMS 管理员控制台 Windows 防火墙有三种设置:On(打开)、On with no exceptions(无例外打开)和 Off(关闭)。当您选中 Don’t allow exceptions(不允许例外)复选框时,SMS 管理员控制台不能从 Windows XP 客户端连接到任何 SMS 站点数据库。这一点是特意设计的。如果 Windows 防火墙设置为“On (recommended)”,则在您将程序 unsecapp.exe 和端口 TCP 135 添加到 Windows 防火墙的“例外”选项卡上的程序和服务列表中之前,SMS 管理员控制台不能在控制台树中显示所有项。
在某些情形中,只添加这两个例外还不够。您还可能需要在 DCOM 中的匿名远程访问权限,并且您可能需要更改客户端计算机的安全策略以将“本地策略\安全选项\网络访问:让“每个人”权限应用于匿名用户”设置为“启用”状态。该安全策略可通过“Active Directory 组策略”或本地安全策略进行设置。只有当向例外列表中添加程序 unsecapp.exe 和端口 TCP 135 未能解决问题是,才进行这些更改。
要在 DCOM 中允许匿名远程访问,请:
1.
从“开始”菜单上,单击“运行”并键入 Dcomcnfg.exe。
2.
在“组件服务”中,导航到“控制台根节点”,依次单击“组件服务”、“计算机”和“我的电脑”。在“操作”菜单中,单击“属性”。
3.
在 My Computer Properties(我的电脑属性)对话框中的“COM 安全”选项卡上的“访问权限”部分,单击 Edit Limits(编辑限制)。
4.
在“访问权限”对话框中,向“匿名登录”授予“允许远程访问”权限。
高级用户可以使用 netsh.exe 命令行工具配置“Windows 防火墙”。有关此工具的更多信息,请在“帮助和支持中心”中搜索“从命令行配置 Windows 防火墙”。网络管理员还可以使用“组策略”配置“Windows 防火墙”设置。如想查看组策略选项的完整列表,请参见 Microsoft 下载中心的“Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2”(部署 Microsoft Windows XP SP2 的 Internet 连接防火墙设置)。
浙公网安备 33010602011771号