SMS 2003 客户端常见问题

e351r72l26

SMS 2003 客户端常见问题
部署客户端
if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question11');if(q != null) q.style.display = "none";document.getElementById('answer11').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question12');if(q != null) q.style.display = "none";document.getElementById('answer12').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question13');if(q != null) q.style.display = "none";document.getElementById('answer13').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question14');if(q != null) q.style.display = "none";document.getElementById('answer14').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question15');if(q != null) q.style.display = "none";document.getElementById('answer15').style.display = "none";}

问：	为什么我们需要“旧式客户端”？为什么不只部署“高级客户端”？
答：	“高级客户端”只运行于 Windows 2000 或更高版本上。如果您仍然有 Windows 98 或 Windows NT 4.0 客户端计算机，那么您必须运行“旧式客户端”。“高级客户端”是所有运行 Windows 2000 或更高版本的客户机上建议使用的客户端。
问：	运行 Windows 2000 及更高版本的计算机是否会自动升级到“高级客户端”？
答：	不会。在客户端访问点用 SMS 2003 二进制文件更新之后，所有的 SMS 2.0 客户端在其下一个 CCIM 周期中将升级到 SMS 2003 旧式客户端。您可以使用客户端升级工具来阻止 SMS 2.0 客户端升级，并允许将升级指向 SMS 2003 高级客户端和执行升级准备工作。 　　有关升级 SMS 客户端软件的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide（Microsoft Systems Management Server 2003 概念、规划和部署指南，下同）中的第 17 章“Discovering Resources and Deploying Clients”（发现资源和部署客户端，下同）。
问：	是否能够在 SMS 2003 中建立 SMS 客户端映像？
答：	是的。有关详细信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 17 章“Discovering Resources and Deploying Clients”中的“Using Computer Imaging”（使用计算机映像）部分。还可以在 SMS 2003 操作发行说明中搜索“creating a computer master image with the SMS Advanced Client installed”（使用安装的 SMS 高级客户端创建计算机主映像）。
问：	客户端是否需要开启文件和打印共享，以便进行客户端推送安装？（更新日期：2004 年 3 月 31 日）
答：	是的。“服务器”服务必须在运行，因为您要连接到客户端上的 Admin$ 共享。这与 SMS 2.0 中的情况相同。 　　另外，如要在运行 Windows XP SP2 的客户端计算机上启用“客户端推送安装”，请在 Windows XP 客户机上的“Windows 防火墙”（以前叫 Internet 连接防火墙或 ICF）配置中启用“文件和打印共享”。 　　有关部署 SMS 客户端的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 10 章“Planning Your SMS Deployment and Configuration”（规划 SMS 部署和配置）。有关如何在 Windows XP SP2 上配置“Windows 防火墙”的信息，请在“帮助和支持中心”中搜索“Windows 防火墙”。
问：	CCMSETUP.EXE、SMSMAN.EXE、CAPINST.EXE 和 CLIENT.MSI 之间有何区别？（新增日期：2003 年 12 月 12 日）
答：	CCMSetup.exe 是“高级客户端”的手动安装程序。SMSMan.exe 是“旧式客户端”的手动安装程序。 　　Capinst 用于登录脚本启动的客户端安装。它要求有一个服务器定位点以确定客户端分配到的站点。然后，Capinst.exe 相应地启动 CCMSetup.exe 或 SMSMan.exe。 　　Client.msi 是一个包含“高级客户端”软件的“Windows 安装程序”软件包。它可用于通过组策略分发“高级客户端”，但不应在客户端上手动运行它。如果您需要手动安装“高级客户端”，请使用 CCMSetup。
问： 答：

高级客户端
if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question21');if(q != null) q.style.display = "none";document.getElementById('answer21').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question22');if(q != null) q.style.display = "none";document.getElementById('answer22').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question23');if(q != null) q.style.display = "none";document.getElementById('answer23').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question24');if(q != null) q.style.display = "none";document.getElementById('answer24').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question25');if(q != null) q.style.display = "none";document.getElementById('answer25').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question26');if(q != null) q.style.display = "none";document.getElementById('answer26').style.display = "none";}

问：	“高级客户端”是否需要 Active Directory 和 Active Directory 架构扩展？
答：	不需要。“高级客户端”可以在 Windows NT 4.0 域中运行。高级安全模式要求 Active Directory。全球漫游要求 Active Directory 架构扩展。如果您希望客户端自动检测服务器定位点和管理点而不产生 WINS 通信量，则还要求具有架构扩展的 Active Directory。 　　有关“高级客户端”的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 4 章“Understanding SMS Clients”（理解 SMS 客户端）。
问：	“高级客户端”是否有某种类型的 30 天客户端确认过程？（更新日期：2004 年 3 月 31 日）
答：	没有。管理员必须创建一个具有新的或更新的“高级客户端”文件版本的广告。SMS 不像“旧式客户端”那样，它从不自动检查或更新“高级客户端”版本。因为客户端是使用 .msi 安装的，它可以像任何其他 .msi 应用程序那样执行自我修复。如果对一个“高级客户端”组件应用了修复程序，就必须对所有“高级客户端”应用 .MSP 修补程序。您可以使用“SMS 软件分发”完成这一工作。
问：	如何在“高级客户端”启用“调试/详细”日志记录？（更新日期：2004 年 1 月 21 日）
答：	在使用 CCMSETUP 安装“高级客户端”时，您可以使用 CCMDEBUGLOGGING 开关启用调试日志记录。CCMLOGLEVEL 开关的默认值为 1。在使用 CCMSETUP 启用详细日志记录时，请将此值更改为 0。 　　要在安装完成后启用调试日志记录，请创建以下注册表项： 　　HKLM\SOFTWARE\Microsoft\CCM\Logging\debuglogging 　　要在安装完成后启用详细日志记录，请将下面的值更改为 0： 　　HKLM\Software\Microsoft\CCM\Logging\@Global\Loglevel 　　您可能需要更改此注册表项上的注册表权限，然后才能更改这些键值。 　　有关启用 Windows 安装程序日志记录的更多信息，请参见 Microsoft 知识库文章 223300“How to Enable Windows Installer Logging”（如何启用 Windows 安装程序日志记录）。
问：	SMS 高级客户端文件存储在哪一个目录中？
答：	默认情况下，“高级客户端”安装在 %Windir%\System32\CCM 文件夹中。您可以通过运行具有 CCMINSTALLDIR 安装属性的 Ccmsetup.exe 来更改这一默认安装位置。无论“高级客户端”软件安装在哪里，Ccmcore.dll 文件总安装在 %Windir%\System32 文件夹中。这样是为了使控制面板中的 SMS 高级客户端程序能够正常工作。 　　没有配置为管理点的新“高级客户端”将把客户端日志存储在 %windir%\System32\CCM\ 中。配置为管理点的新“高级客户端”将把客户端日志文件存储在 SMS_CCM\Logs 中。SMS 2003 旧式客户端仍将客户端日志文件存储在 %windir%\MS\SMS\Logs 中。
问：	如何更改“高级客户端”使用的端口？
答：	目前，“高级客户端”不支持使用端口 80 以外的其他端口。
问：	如何删除“高级客户端”？（新增日期：2003 年 12 月 12 日）
答：	在任何情况下，SMS 高级客户端软件都不会自动删除。您可以通过两种途径手动删除它：可以使用 SMS 2003 Toolkit 1 中的 CCMClean.exe，该软件可从下面的 Microsoft 网站下载：http://www.microsoft.com/smserver/downloads。 　　您也可以运行 　　msiexec /x \\<管理点>\smsclient\i386\client.msi。 　　只有拥有计算机上的管理凭据的用户才能删除“高级客户端”软件。
问： 答：

辅助站点的客户端
if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question31');if(q != null) q.style.display = "none";document.getElementById('answer31').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question32');if(q != null) q.style.display = "none";document.getElementById('answer32').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question33');if(q != null) q.style.display = "none";document.getElementById('answer33').style.display = "none";}

问：	辅助站点不支持“高级客户端”，真是这样吗？
答：	辅助站点不支持“高级客户端”。不过，“高级客户端”不会分配到辅助站点。它们总会分配到父级主要站点，但可驻留在辅助站点的边界内，以利用辅助站点的代理管理点和分发点。 　　有关规划站点边界和漫游边界的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 中的第 8 章“Designing Your SMS Sites and Hierarchy”（设计 SMS 站点和分层结构，下同）。
问：	为什么不能将 SMS 2003 高级客户端分配到 SMS 辅助站点？
答：	管理点必须与 SMS 站点数据库通信。辅助站点不具有它们自己的 SMS 站点数据库，它们使用其父级主站点的站点数据库。“高级客户端”的“策略”系统是基于主站点的，并且客户端只有在分配到主站点后才能获取策略。 　　有关规划站点边界和漫游边界的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 中的第 8 章“Designing Your SMS Sites and Hierarchy”。
问：	我不能够使用 Client Push Installation（客户端推送安装）在我的辅助站点服务器上安装 SMS 客户端。这是为什么？
答：	辅助站点服务器通常有一个到主站点服务器的现有连接。这与安装 SMS 客户端所需的安全上下文有冲突。这一问题和变通解决办法已记录在 SMS 2003 安装发行说明中。您可以搜索“Client Push Installation on a Secondary Site Server Computer from a Primary Site Server Might Fail”。
问： 答：

漫游
if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question41');if(q != null) q.style.display = "none";document.getElementById('answer41').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question42');if(q != null) q.style.display = "none";document.getElementById('answer42').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question43');if(q != null) q.style.display = "none";document.getElementById('answer43').style.display = "none";}

问：	什么是漫游？
答：	漫游是指将一个运行 SMS 高级客户端的计算机从一个 IP 子网或 Active Directory 站点移动到另一 IP 子网或站点的这一能力。漫游总要涉及客户端 IP 地址的更改。在 SMS 2.0 中，移动到其他站点的客户端可能已经卸载并重新安装到新的站点，或者可能已跨慢速 WAN 链接检索到软件包并联系了客户端访问点。开发漫游功能是为了控制移动计算机在与 SMS 分发点和管理点通信时使用网络的方式。 　　有关漫游和漫游边界的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 2 章“Understanding SMS Sites”（理解 SMS 站点，下同）。
问：	本地漫游边界与远程漫游边界有何不同？
答：	在配置漫游边界时，SMS 管理员指定漫游边界是本地漫游边界还是远程漫游边界。“本地”和“远程”这两个术语是由 SMS 管理员分别用来标志“良好连接”和“非良好连接”网段的。如果 SMS 管理员以这种方法定义漫游边界，则以下定义适用： 　　本地漫游边界 一种“高级客户端”可以使用本地站点分发点并可以通过良好连接的链接获得软件包的漫游边界。在运行程序前，发送到“高级客户端”的广告指定“高级客户端”是否从本地可用的分发点下载此程序的软件包源文件。 　　远程漫游边界 一种“高级客户端”不能使用本地站点分发点的漫游边界。发送到“高级客户端”的广告指定客户端是在从远程分发点下载软件程序后再运行它，是从远程分发点运行软件包，还是什么也不做一直到有本地分发点为止。 　　有关漫游和漫游边界的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 2 章“Understanding SMS Sites”。
问：	全球和区域漫游之间有何区别？
答：	如果 Active Directory 不可用或者未针对 SMS 扩展 Active Directory 架构，那么“高级客户端”只能漫游到它们分配到的站点的较低级别的站点。这叫做区域漫游。在区域漫游中，“高级客户端”可漫游到较低级别的站点并仍能从分发点接收软件包。 　　全球漫游允许“高级客户端”漫游到较高级别站点、同级站点，以及 SMS 分层结构中其他分支中的站点，并且仍从分发点接收软件包。全球漫游需要 Active Directory 和 SMS Active Directory 架构扩展。不能跨 Active Directory 林执行全球漫游。 　　有关漫游和漫游边界的更多信息，请参见 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 第 2 章“Understanding SMS Sites”。
问： 答：

客户端故障排查
if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question51');if(q != null) q.style.display = "none";document.getElementById('answer51').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question52');if(q != null) q.style.display = "none";document.getElementById('answer52').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question53');if(q != null) q.style.display = "none";document.getElementById('answer53').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question54');if(q != null) q.style.display = "none";document.getElementById('answer54').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question55');if(q != null) q.style.display = "none";document.getElementById('answer55').style.display = "none";}if(typeof(IsPrinterFriendly) == "undefined"){var q = document.getElementById('question56');if(q != null) q.style.display = "none";document.getElementById('answer56').style.display = "none";}

问：	我手动运行 client.msi 在几台计算机上安装“高级客户端”，但其中一个客户端不能获取任何策略。为什么不能？
答：	确保安装期间您输入了正确的站点代码。如果没有指定正确的站点代码，客户端可能能够成功完成安装并且有正确的控制面板内容，但可能无法与任何现有的 SMS 站点通信以获取策略。检查 ClientLocation.log 以确定是否分配了该客户端。检查 Locationservices.log 以验证客户端是否能够找到站点管理点。如果在这些日志文件未发现任何错误，则请在 DataTransferservice.log 中查找策略请求和下载活动。
问：	我所有的客户端都接收不到任何策略。我该检查什么？（新增日期：2004 年 2 月 27 日）
答：	向管理点上的 IIS 模拟发送一个简单的客户端请求。首先，在“开始”菜单中，单击“运行”并键入“http://<管理点名称>/sms_mp/.sms_aut?mplist”。如果看到一个空白屏幕而不是错误消息，表明这个请求是成功的。下一步，在“开始”菜单中，单击“运行”并键入 “http://<管理点名称>/sms_mp/.sms_aut?mpcer”。如果请求成功，您就会看到一个长长的由数字和字母组成的列表。最后，运行可从 Microsoft 下载站点下载的 SMS Toolkit1 中的 MPGetPolicy 工具。如果这些测试均失败，请验证是否正确地安装了管理点。有关验证管理点安装是否成功方面的更多信息，请参见 Microsoft TechNet 上的“Site Systems Frequently Asked Questions”（站点系统常见问题解答）。
问：	为什么 Client Push Installation 向导不能安装某个客户端？（更新日期：2004 年 3 月 31 日）
答：	验证此客户端是否分配到该站点。默认情况下，向导只向分配到该站点的客户端进行推送安装。 　　验证您是否已创建合适的帐户，以及这些帐户是否能够访问所有选定的客户端计算机。客户端推送安装要求您将管理员权限授予在 SMS 管理员控制台中的“Client Push Installation Properties”（客户端推送安装属性）对话框中创建的 SMS 服务帐户（如果站点以标准安全模式运行）或客户端推送安装帐户。 　　要排查“高级客户端”安装期间的客户端推送安装问题，请检查 SMS 站点服务器上的 Ccm.log 文件，该文件位于 SMS\Logs 文件夹中。在客户端，检查 Ccmsetup.log 和 Client.msi.log 文件，它们位于 %Windir%\System32\Ccmsetup 中。 　　另外，要在运行 Windows XP SP2 的客户端计算机上启用“客户端推送安装”，请在 Windows XP 客户机上的“Windows 防火墙”（以前叫 Internet 连接防火墙或 ICF）配置中启用“文件和打印共享”。 　　站点范围的客户端推送安装不能在运行 Windows NT 4.0 而且只能由 Active Directory 发现方法找到的计算机上安装 SMS 客户端。您可以创建一个集合，并将客户端部署到该集合而不是整个站点。 　　有关在运行 Windows NT 4.0 的计算机上使用站点范围的客户端推送安装的更多信息，请参见 SMS 2003 安装发行说明。有关如何在 Windows XP SP2 上配置“Windows 防火墙”的信息，请在“帮助和支持中心”中搜索“Windows 防火墙”。
问：	我运行了 Capinst，但是看不到任何 SMS 客户端文件。是否有一个日志能告诉我发生了什么事？
答：	有。此日志叫做 capinst.log，位于登录用户的临时目录中 (I.e. D:\documents and settings\User1\Local Settings\temp)。 　　注意： 　　默认情况下，“Local Settings”文件夹标记为隐藏。
问：	为什么我的“高级客户端”实际已安装了但不在“所有系统”集合中显示为已安装？
答：	首先，验证 SMS 代理主机服务是否已安装并在运行。如果是，则“高级客户端”确实已安装。如果它未在“所有系统”集合中显示出来，可能是因为该客户端未分配到站点，也有可能是该客户端无法在其分配到的站点找到默认管理点。您可以使用控制面板中的“系统管理”程序的“高级”选项卡来验证该客户端是否已分配到某一站点。如果未分配到站点，您可以配置该客户端应分配到的站点的站点代码。如果它分配到了某个站点，则请查看该客户端上的 LocationServices.log (Windows\System32\CCM\Logs)，看该客户端是否能够检索其分配到的站点的默认管理点。有可能是管理点安装因为缺少在管理点角色分配到该计算机之前安装的 IIS 或 BITS 服务而失败。
问：	是否有一种方法强迫“高级客户端”看到管理点？（新增日期：2003 年 12 月 12 日）
答：	没有。管理点没有存储在客户端上的注册表设置中，所以不能通过修改注册表设置让客户端分配到一个管理点。客户端使用一种动态过程查找其管理点。这是“高级客户端”的一项重要功能，它允许计算机漫游到其他站点。 　　管理点查找会周期性地发生，例如在 SMS 代理主机服务启动时。如果需要强迫客户端重新查找管理点，您可以： · 　　停止并重新启动客户端上的 SMS 代理主机服务。重新启动计算机也会导致该服务停止并重新启动。 · 　　将计算机从网络上断开并重新连接。您可以物理断开然后重新连接电缆、禁用然后重新启用网络适配器，或者释放然后重新续订一个由 DHCP 分配的 IP 地址。 · 　　使用控制面板强制执行本地 SMS 站点发现。双击控制面板中的“系统管理”图标。在“属性”对话框中的“高级”选项卡中，单击“发现”以自动查找本地 SMS 站点和管理点。 　　如果已扩展 Active Directory 架构，客户端就会使用 LDAP 查询来确定管理点。如果还没有扩展架构，客户端就会执行 WINS 记录查找。
问： 答：

Windows XP SP2

问：

我希望安装 Windows XP SP2，它与 SMS 2003 是否存在应用程序兼容性问题？（更新日期：2004 年 3 月 31 日）

答：

是的。目前有两个已知的要求修复程序的兼容性问题，和五个由 Windows 防火墙（也叫 Internet 连接防火墙或 ICF）的安全配置导致的应用程序兼容性问题。 　　修复程序 　　访问控制面板中的 SMS 内容项由于 Windows XP SP2 中对 DCOM 施加的限制，用户将无法访问控制面板中的“Run Advertised Programs”（运行广告的程序）或“Program Download Monitor”（程序下载监视器）。而且无法访问控制面板中“系统管理”上的“操作”选项卡。我们已提供一个纠正该问题的修复程序。有关该修复程序的更多信息，请参见 Microsoft 知识库文章 832862。要使用 SMS 软件分发功能成功地将该修复程序部署到客户端，您必须确认 Advertised Programs Client（广告的程序客户端）代理是否禁用了倒计时功能。 　　使用 BITS 下载软件包Windows XP SP2 与“高级客户端”使用 BITS 下载软件包的这一能力有冲突。使用 BITS 下载策略不受影响。向启用 BITS 的分发点应用一个修复程序即可修复此问题。有关该修复程序的更多信息，请参见 Microsoft 知识库文章 832860。 　　应用程序兼容性问题和变通办法 　　安装 Windows XP SP2 时，默认情况下“Windows 防火墙”为启用状态。默认“Windows 防火墙”设置与几项 SMS 功能的运行有冲突。要修改 Windows 防火墙允许运行的程序和服务的种类，请： 　　1. 　　在运行 Windows XP 的计算机上，在控制面板中打开“Windows 防火墙”。 　　2. 　　在“例外”选项卡中，您可以选择本部分稍后指定的默认服务，也可以单击“添加程序”或“添加端口”创建自定义的程序或端口。 　　注意：Windows XP SP2 测试版的控制面板中有“Internet 连接防火墙”，而不是“Windows 防火墙”。 　　远程控制 无法使用 SMS 远程工具对运行 Windows XP SP2 的 SMS 客户端进行远程管理。建议的最佳做法是在支持“远程协助”的客户端计算机（如 Windows XP）上使用“远程协助”功能。要启用 SMS 远程工具，请为每一个必要的远程工具添加以下端口： 端口 功能 TCP 端口 2701 允许常规联系、重启和 ping TCP 端口 2702 远程控制 TCP 端口 2703 聊天 TCP 端口 2704 文件传输 　　有关 SMS 远程控制使用的端口的更多信息，请参见 Microsoft 知识库文章 256884。 　　“远程协助”在从 SMS 管理员控制台启动时不可用从 SMS 管理员控制台启动的到运行 Windows XP SP2 的计算机的远程协助会话将失败，不过 Windows XP 客户端请求的远程协助会话将成功。要使“远程协助”能够从 SMS 管理员控制台中启动，请在 Windows XP 客户端上的“Windows 防火墙”中将自定义程序 helpsvc.exe 和自定义端口 TCP 135 添加到允许的程序和服务列表中。另外，Windows 防火墙必须配置为允许“远程协助”和“远程桌面”。如果用户从这个计算机发出一个“远程协助”请求，Windows 防火墙将自动配置为允许“远程协助”和“远程桌面”。 　　SMS 管理员控制台中的 Windows 事件查看器、系统监视器和“Windows 诊断”SMS 管理员控制台无法访问运行 Windows XP SP2 的计算机上的 Windows 事件查看器或系统监视器。要启用对这些功能的远程访问，请在 Windows XP 客户端上的“Windows 防火墙”配置中启用“文件和打印共享”。现在对于从 SMS 管理员控制台访问“Windows 诊断”尚没有变通解决办法。 　　客户端推送安装Client Push Installation（客户端推送安装）在运行 Windows XP SP2 的客户端计算机上失败。要启用客户端推送安装，请在 Windows XP 上的“Windows 防火墙”配置中启用“文件和打印共享”。 　　SMS 管理员控制台 Windows 防火墙有三种设置：On（打开）、On with no exceptions（无例外打开）和 Off（关闭）。当您选中 Don’t allow exceptions（不允许例外）复选框时，SMS 管理员控制台不能从 Windows XP 客户端连接到任何 SMS 站点数据库。这一点是特意设计的。如果 Windows 防火墙设置为“On (recommended)”，则在您将程序 unsecapp.exe 和端口 TCP 135 添加到 Windows 防火墙的“例外”选项卡上的程序和服务列表中之前，SMS 管理员控制台不能在控制台树中显示所有项。 　　在某些情形中，只添加这两个例外还不够。您还可能需要在 DCOM 中的匿名远程访问权限，并且您可能需要更改客户端计算机的安全策略以将“本地策略\安全选项\网络访问：让“每个人”权限应用于匿名用户”设置为“启用”状态。该安全策略可通过“Active Directory 组策略”或本地安全策略进行设置。只有当向例外列表中添加程序 unsecapp.exe 和端口 TCP 135 未能解决问题是，才进行这些更改。 　　要在 DCOM 中允许匿名远程访问，请： 　　1. 　　从“开始”菜单上，单击“运行”并键入 Dcomcnfg.exe。 　　2. 　　在“组件服务”中，导航到“控制台根节点”，依次单击“组件服务”、“计算机”和“我的电脑”。在“操作”菜单中，单击“属性”。 　　3. 　　在 My Computer Properties（我的电脑属性）对话框中的“COM 安全”选项卡上的“访问权限”部分，单击 Edit Limits（编辑限制）。 　　4. 　　在“访问权限”对话框中，向“匿名登录”授予“允许远程访问”权限。 　　高级用户可以使用 netsh.exe 命令行工具配置“Windows 防火墙”。有关此工具的更多信息，请在“帮助和支持中心”中搜索“从命令行配置 Windows 防火墙”。网络管理员还可以使用“组策略”配置“Windows 防火墙”设置。如想查看组策略选项的完整列表，请参见 Microsoft 下载中心的“Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2”（部署 Microsoft Windows XP SP2 的 Internet 连接防火墙设置）。 　　本文中的信息对您是否有帮助？请将您关于本 FAQ 的建议和评论发送至 smsdocs@microsoft.com。