警告 イベント ID 5605 は、WMI を介して MSCluster 名前空間を照会するときにアプリケーション ログに記録されます。

この記事では、WMI を介して MSCluster 名前空間を照会するときに、警告イベント ID 5605 がアプリケーション ログに記録される問題について説明します。

適用対象:  WindowsServer 2008 R2 Service Pack 1
元の KB 番号:   2590230

現象

MSCluster 名前空間を照会するか、この名前空間のプロパティを照会するアプリケーションを実行すると、認証が PacketPrivacy に設定されているにもかかわらず、次の警告イベントが発生する可能性があります。

ログ名: アプリケーション
ソース: Microsoft-Windows-WMI
イベント ID: 5605
レベル: 警告
説明:
Root\MSCluster 名前空間は RequiresEncryption フラグでマークされます。 スクリプトまたはアプリケーションに適切な認証レベルが設定されていない場合、この名前空間へのアクセスが拒否される場合があります。 認証レベルを [アプリケーション] にPkt_Privacyし、スクリプトまたはアプリケーションを再度実行します。

注意

これは Root\MSCluster 名前空間にのみ固有の値でなく、イベントは RequiresEncryption フラグ (root\cimv2\TerminalServices など) でマークされた名前空間でログに記録される場合があります。

この警告は、認証が PacketPrivacy に設定されている場合でもログに記録され、クエリが期待通り動作する限り無視しても問題ありません。

回避策

この問題を回避し、警告がログに記録されるのを防ぐには、2 つの解決策があります。 セキュリティの観点から、回避策 b を使用することが望ましいです。

a. ClusWMI.mof を変更する

このために、次の手順に従います。

  1. C:\Windows\system32\wbem\ClusWMI.mof を開いて編集し、[RequiresEncryption(FALSE)]を設定します。
  2. "mofcomp C:\Windows\system32\wbem\ClusWMI.mof" を実行して ClusWMI.mof ファイルを再コンパイルします。
  3. winmgmt サービスを再起動します。

注意

ClusWMI.mof ファイルが修正プログラムまたはサービス パックを使用して更新される場合、この回避策を再適用する必要があります。

この回避策は、セキュリティやサポート可能性に関する影響について Microsoft によってテストおよび確認されていません。

b. クエリを実行しているアプリケーションの authenticationLevel を変更する

このために、System の次のスクリプトを使用してレジストリを変更し、クエリの実行および開始を行います。

Windows レジストリ エディター バージョン 5.00

[HKEY_CLASSES_ROOT\AppID{ <Guid> }]
@="Applicationname.exe"
"AuthenticationLevel"=dword:00000006

[HKEY_CLASSES_ROOT\AppID\Applicationname.exe]
"AppID"="{ <Guid> }"

AppID Guid はここで、Applicationname.exeは WMI クエリを実行している <Guid> アプリケーションの名前です。

たとえば、ビルドwbemtest.exeの WMI テスト ユーティリティとの接続を行う場合に使用します。

詳細

a に記載されている回避策を適用することで、ClusWMI 名前空間からの情報のクエリをパケット プライバシーなしで行い、この名前空間に暗号化された接続を必要とせず、接続の安全性を低くすることができます。

b に記載されている回避策を適用すると、名前空間への接続呼び出しはパケット プライバシーで既に行われ、その結果、イベント 5605 はログに記録されません。

VBScript を使用した既定のプロセス セキュリティ レベルの設定

リモート WMI 接続のセキュリティ保護

名前空間への暗号化接続の要求