Beschreibung der Änderungen an DCOM-Sicherheitseinstellungen, nachdem Sie Windows Server 2003 Service Pack 1 installiert haben

Microsoft Windows Server 2003 Service Pack 1 ( 1) führt einige erweiterte Standardsicherheitseinstellungen des DCOM-Protokolls ein. Insbesondere führt Windows Server 2003 SP1 Rechte ein, die einem Administrator unabhängige Kontrolle über lokale und Remote-Berechtigungen zum Starten und Aktivieren von COM-Servern sowie zum Zugreifen auf COM-Server gewähren. Dieser Artikel beschreibt die Änderungen an den DCOM-Sicherheitseinstellungen.

Windows Server 2003-Zertifikatsdienste verwenden das DCOM-Protokoll, um Registrierungs- und Verwaltungsdienste bereitzustellen. Die Zertifikatsdienste stellen mehrere DCOM-Schnittstellen zur Verfügung, um die Registrierung und die Verwaltung der Dienste verfügbar zu machen. Für den korrekten Zugang und die korrekte Nutzung dieser Dienste setzen die Zertifikatsdienste voraus, dass die DCOM-Schnittstellen so konfiguriert sind, dass sie Remoteaktivierungs- und -zugriffsberechtigungen zulassen. Da jedoch die Standardsicherheitseinstellungen für DCOM angewendet werden, wenn Sie eine Aktualisierung auf Windows Server 2003 SP1 durchführen, müssen Sie diese Sicherheitseinstellungen möglicherweise aktualisieren, um die Verfügbarkeit der Registrierungs- und der Verwaltungsdienste sicherzustellen.

Standardmäßig sind alle DCOM-Schnittstellen in Windows Server 2003 SP1 so konfiguriert, dass sie nur Administratoren Remote-Zugriffsberechtigungen, Remote-Startberechtigungen und Remote-Aktivierungsberechtigungen gewähren. Bei einer Aktualisierung auf Windows Server 2003 SP1 werden jedoch Änderungen an der Sicherheitskonfiguration an der globalen DCOM-Schnittstelle und an der DCOM-Schnittstelle "CertSrv Request" vorgenommen. Diese Änderungen werden vorgenommen, damit die Zertifikatsdienste ordnungsgemäß funktionieren.

Hinweis: Alle Änderungen, die vor der Installation von Windows Server 2003 SP1 an der DCOM-Schnittstelle "CertSrv Request" vorgenommen wurden, gehen verloren. Durch Setup von Windows Server 2003 SP1 werden alle früheren Sicherheitseinstellungen in der DCOM-Schnittstelle "CertSrv Request" auf die Standardeinstellungen zurückgesetzt.

Während des Setups von Windows Server 2003 SP1 aktualisieren die Zertifikatsdienste die DCOM-Sicherheitseinstellungen automatisch wie folgt:

DCOM-Schnittstelle "CertSrv Request"
• Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Zugriffsberechtigungen.
• Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Aktivierungsberechtigungen.
• Die Sicherheitsgruppe "Jeder" erhält keine lokalen oder Remote-Startberechtigungen.


• Einschränkungseinstellungen für DCOM-Computer
  • Eine neue Sicherheitsgruppe, "CERTSVC_DCOM_ACCESS", wird automatisch erstellt.
    
    Wenn die Zertifizierungsstelle auf einem Mitgliedsserver installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Computergruppe erstellt. Die Sicherheitsgruppe "Jeder" wird "CERTSVC_DCOM_ACCESS" hinzugefügt.
    
    Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Domänengruppe erstellt. Die Sicherheitsgruppen "Domänenbenutzer" und "Domänencomputer" von der Domäne der Zertifizierungsstelle werden "CERTSVC_DCOM_ACCESS" hinzugefügt. Wenn Domänencontroller Zugriff auf diese Schnittstelle benötigen, um Zertifikate von der Zertifizierungsstelle anzufordern, müssen Sie die Sicherheitsgruppe "Domänencontroller" hinzufügen. Dies ist erforderlich, da Domänencontroller nicht Teil der Sicherheitsgruppe "Domänencomputer" sind.
  • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Zugriffsberechtigungen.
  • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Aktivierungsberechtigungen.
  • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält keine lokalen oder Remote-Startberechtigungen.
  Hinweis: Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird und das Unternehmen aus mehr als einer Domäne besteht, können die Zertifizierungsdienste die DCOM-Sicherheitseinstellungen für Registrierungsbewerber außerhalb der Domäne der Zertifizierungsstelle nicht automatisch aktualisieren. Daher wird diesen Registrierungsbewerbern der Registrierungszugang zu der Zertifizierungsstelle verweigert.
  
  Um dieses Problem zu umgehen, müssen Sie die Benutzer manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Da die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" eine lokale Domänengruppe ist, können Sie ihr nur Domänengruppen hinzufügen. Wenn sich Benutzer und Computer von einer anderen Domäne namens "Contoso" beispielsweise bei der Zertifizierungsstelle registrieren müssen, müssen Sie die Domänenbenutzergruppe "Contoso" und die Domänencomputergruppe "Contoso" manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen.
  
  Wenn Registrierungsbewerbern, die durch die Zertifizierungsstelle autorisiert werden sollten, nach der Installation von Windows Server 2003 SP1 die Autorisierung verweigert wird, können Sie die DCOM-Sicherheitseinstellungen erneut durch die Zertifikatsdienste aktualisieren lassen. Geben Sie hierzu folgende Befehle an der Eingabeaufforderung ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
  certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
  net stop certsvc
  net start certsvc
  "DCOM_SECURITY_UPDATED_FLAG" ist ein internes Registrierungs-Flag der Zertifikatsdienste, das angibt, dass die DCOM-Sicherheitseinstellungen erfolgreich aktualisiert wurden. Die Zertifikatsdienste überprüfen dieses Flag bei jedem Start. Durch die Befehle in der Liste oben wird dieses Flag zurückgesetzt, und die Zertifikatsdienste werden beendet und neu gestartet. Aufgrund dieses Verhaltens werden die DCOM-Sicherheitseinstellungen durch die Zertifikatsdienste erneut aktualisiert.

Nach der Installation von Windows Server 2003 SP1 werden möglicherweise die folgenden Ereignisse protokolliert.

Ereignismeldung 1Ereignismeldung 2Wenn Sie manuell ein Zertifikat mithilfe des Zertifikat-Snap-Ins anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt: Hinweis: Wenn diese Fehler bei einem Domänencontroller auftreten, fügen Sie die Gruppe "Domänencontroller" der Gruppe "CERTSVC_DCOM_ACCESS" hinzu. Domänencontroller sind keine Mitglieder der globalen Gruppe "Domänencomputer" und verfügen standardmäßig nicht über ausreichend DCOM-Berechtigungen.

Wenn Sie die Gruppenmitgliedschaft so ändern, dass die Gruppe "Domänencontroller" enthalten ist, müssen Sie den Domänencontroller neu starten, damit die Änderung wirksam wird.

Technische Unterstützung für x64-Versionen von Microsoft Windows

Falls eine Microsoft Windows x64 Edition zum Lieferumfang Ihrer Hardware gehörte und bereits auf Ihrem System installiert war, erhalten Sie technische Unterstützung und Hilfestellung zu dieser Windows x64 Edition vom Hersteller Ihrer Hardware. Da eine Windows x64 Edition zusammen mit Ihrer Hardware geliefert wurde, ist der Hersteller der Hardware für den technischen Support zuständig. Möglicherweise hat der Hersteller der Hardware die Windows x64 Edition durch einzelne Komponenten verändert. Dazu gehören beispielsweise bestimmte Gerätetreiber oder optionale Einstellungen zur Leistungsoptimierung der Hardware. Wenn Sie technische Hilfe zu einer Windows x64 Edition benötigen, bietet Microsoft in diesem Fall Unterstützung in angemessenem Rahmen. Sie müssen sich jedoch möglicherweise direkt an den Hersteller wenden. Der Hersteller kann Ihnen den besten Support für die von ihm auf der Hardware installierte Software bieten. Wenn Sie eine Windows x64 Edition (zum Beispiel eine Microsoft Windows Server 2003 x64 Edition) separat erworben haben, wenden Sie sich an Microsoft, um technischen Support zu erhalten.

Produktinformationen zu Microsoft Windows XP Professional x64 Edition finden Sie auf der folgenden Website von Microsoft: Weitere Produktinformationen zu den x64-Versionen von Windows Server 2003 finden Sie auf folgender Microsoft-Website: Weitere Informationen zu den in Windows Server 2003 SP1 eingeführten DCOM-Sicherheitserweiterungen finden Sie auf der folgenden Microsoft-Website :