Beschreibung der Änderungen an DCOM-Sicherheitseinstellungen, nachdem Sie Windows Server 2003 Service Pack 1 installiert haben

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 903220 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
903220 Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Microsoft Windows Server 2003 Service Pack 1 ( 1) führt einige erweiterte Standardsicherheitseinstellungen des DCOM-Protokolls ein. Insbesondere führt Windows Server 2003 SP1 Rechte ein, die einem Administrator unabhängige Kontrolle über lokale und Remote-Berechtigungen zum Starten und Aktivieren von COM-Servern sowie zum Zugreifen auf COM-Server gewähren. Dieser Artikel beschreibt die Änderungen an den DCOM-Sicherheitseinstellungen.

Weitere Informationen

Windows Server 2003-Zertifikatsdienste verwenden das DCOM-Protokoll, um Registrierungs- und Verwaltungsdienste bereitzustellen. Die Zertifikatsdienste stellen mehrere DCOM-Schnittstellen zur Verfügung, um die Registrierung und die Verwaltung der Dienste verfügbar zu machen. Für den korrekten Zugang und die korrekte Nutzung dieser Dienste setzen die Zertifikatsdienste voraus, dass die DCOM-Schnittstellen so konfiguriert sind, dass sie Remoteaktivierungs- und -zugriffsberechtigungen zulassen. Da jedoch die Standardsicherheitseinstellungen für DCOM angewendet werden, wenn Sie eine Aktualisierung auf Windows Server 2003 SP1 durchführen, müssen Sie diese Sicherheitseinstellungen möglicherweise aktualisieren, um die Verfügbarkeit der Registrierungs- und der Verwaltungsdienste sicherzustellen.

Standardmäßig sind alle DCOM-Schnittstellen in Windows Server 2003 SP1 so konfiguriert, dass sie nur Administratoren Remote-Zugriffsberechtigungen, Remote-Startberechtigungen und Remote-Aktivierungsberechtigungen gewähren. Bei einer Aktualisierung auf Windows Server 2003 SP1 werden jedoch Änderungen an der Sicherheitskonfiguration an der globalen DCOM-Schnittstelle und an der DCOM-Schnittstelle "CertSrv Request" vorgenommen. Diese Änderungen werden vorgenommen, damit die Zertifikatsdienste ordnungsgemäß funktionieren.

Hinweis: Alle Änderungen, die vor der Installation von Windows Server 2003 SP1 an der DCOM-Schnittstelle "CertSrv Request" vorgenommen wurden, gehen verloren. Durch Setup von Windows Server 2003 SP1 werden alle früheren Sicherheitseinstellungen in der DCOM-Schnittstelle "CertSrv Request" auf die Standardeinstellungen zurückgesetzt.

Während des Setups von Windows Server 2003 SP1 aktualisieren die Zertifikatsdienste die DCOM-Sicherheitseinstellungen automatisch wie folgt:
    DCOM-Schnittstelle "CertSrv Request"
    • Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Zugriffsberechtigungen.
    • Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Aktivierungsberechtigungen.
    • Die Sicherheitsgruppe "Jeder" erhält keine lokalen oder Remote-Startberechtigungen.

  • Einschränkungseinstellungen für DCOM-Computer
    • Eine neue Sicherheitsgruppe, "CERTSVC_DCOM_ACCESS", wird automatisch erstellt.

      Wenn die Zertifizierungsstelle auf einem Mitgliedsserver installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Computergruppe erstellt. Die Sicherheitsgruppe "Jeder" wird "CERTSVC_DCOM_ACCESS" hinzugefügt.

      Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Domänengruppe erstellt. Die Sicherheitsgruppen "Domänenbenutzer" und "Domänencomputer" von der Domäne der Zertifizierungsstelle werden "CERTSVC_DCOM_ACCESS" hinzugefügt. Wenn Domänencontroller Zugriff auf diese Schnittstelle benötigen, um Zertifikate von der Zertifizierungsstelle anzufordern, müssen Sie die Sicherheitsgruppe "Domänencontroller" hinzufügen. Dies ist erforderlich, da Domänencontroller nicht Teil der Sicherheitsgruppe "Domänencomputer" sind.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Zugriffsberechtigungen.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Aktivierungsberechtigungen.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält keine lokalen oder Remote-Startberechtigungen.
    Hinweis: Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird und das Unternehmen aus mehr als einer Domäne besteht, können die Zertifizierungsdienste die DCOM-Sicherheitseinstellungen für Registrierungsbewerber außerhalb der Domäne der Zertifizierungsstelle nicht automatisch aktualisieren. Daher wird diesen Registrierungsbewerbern der Registrierungszugang zu der Zertifizierungsstelle verweigert.

    Um dieses Problem zu umgehen, müssen Sie die Benutzer manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Da die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" eine lokale Domänengruppe ist, können Sie ihr nur Domänengruppen hinzufügen. Wenn sich Benutzer und Computer von einer anderen Domäne namens "Contoso" beispielsweise bei der Zertifizierungsstelle registrieren müssen, müssen Sie die Domänenbenutzergruppe "Contoso" und die Domänencomputergruppe "Contoso" manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen.

    Wenn Registrierungsbewerbern, die durch die Zertifizierungsstelle autorisiert werden sollten, nach der Installation von Windows Server 2003 SP1 die Autorisierung verweigert wird, können Sie die DCOM-Sicherheitseinstellungen erneut durch die Zertifikatsdienste aktualisieren lassen. Geben Sie hierzu folgende Befehle an der Eingabeaufforderung ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    "DCOM_SECURITY_UPDATED_FLAG" ist ein internes Registrierungs-Flag der Zertifikatsdienste, das angibt, dass die DCOM-Sicherheitseinstellungen erfolgreich aktualisiert wurden. Die Zertifikatsdienste überprüfen dieses Flag bei jedem Start. Durch die Befehle in der Liste oben wird dieses Flag zurückgesetzt, und die Zertifikatsdienste werden beendet und neu gestartet. Aufgrund dieses Verhaltens werden die DCOM-Sicherheitseinstellungen durch die Zertifikatsdienste erneut aktualisiert.
Nach der Installation von Windows Server 2003 SP1 werden möglicherweise die folgenden Ereignisse protokolliert.

Ereignismeldung 1
Typ: Fehler
Quelle: Automatische Registrierung
Kategorie: Keine
Ereigniskennung: 13
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte ein Verzeichnis-E-Mail-Replikationszertifikat nicht registrieren (0x80070005). Der Zugriff wurde verweigert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter "http://support.microsoft.com".
Ereignismeldung 2
Typ: Fehler
Quelle: Automatische Registrierung
Kategorie: Keine
Ereigniskennung: 13
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte ein Arbeitsstationsauthentifizierungszertifikat nicht registrieren (0x80070005). Der Zugriff wurde verweigert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter "http://support.microsoft.com".
Wenn Sie manuell ein Zertifikat mithilfe des Zertifikat-Snap-Ins anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt:
Die Zertifikatanforderung ist aus einem der folgenden Gründe fehlgeschlagen: - Die Zertifikatanforderung wurde an eine nicht gestartete Zertifizierungsstelle gesendet. - Sie verfügen über keine Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen
Hinweis: Wenn diese Fehler bei einem Domänencontroller auftreten, fügen Sie die Gruppe "Domänencontroller" der Gruppe "CERTSVC_DCOM_ACCESS" hinzu. Domänencontroller sind keine Mitglieder der globalen Gruppe "Domänencomputer" und verfügen standardmäßig nicht über ausreichend DCOM-Berechtigungen.

Wenn Sie die Gruppenmitgliedschaft so ändern, dass die Gruppe "Domänencontroller" enthalten ist, müssen Sie den Domänencontroller neu starten, damit die Änderung wirksam wird.

Technische Unterstützung für x64-Versionen von Microsoft Windows

Falls eine Microsoft Windows x64 Edition zum Lieferumfang Ihrer Hardware gehörte und bereits auf Ihrem System installiert war, erhalten Sie technische Unterstützung und Hilfestellung zu dieser Windows x64 Edition vom Hersteller Ihrer Hardware. Da eine Windows x64 Edition zusammen mit Ihrer Hardware geliefert wurde, ist der Hersteller der Hardware für den technischen Support zuständig. Möglicherweise hat der Hersteller der Hardware die Windows x64 Edition durch einzelne Komponenten verändert. Dazu gehören beispielsweise bestimmte Gerätetreiber oder optionale Einstellungen zur Leistungsoptimierung der Hardware. Wenn Sie technische Hilfe zu einer Windows x64 Edition benötigen, bietet Microsoft in diesem Fall Unterstützung in angemessenem Rahmen. Sie müssen sich jedoch möglicherweise direkt an den Hersteller wenden. Der Hersteller kann Ihnen den besten Support für die von ihm auf der Hardware installierte Software bieten. Wenn Sie eine Windows x64 Edition (zum Beispiel eine Microsoft Windows Server 2003 x64 Edition) separat erworben haben, wenden Sie sich an Microsoft, um technischen Support zu erhalten.

Produktinformationen zu Microsoft Windows XP Professional x64 Edition finden Sie auf der folgenden Website von Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Weitere Produktinformationen zu den x64-Versionen von Windows Server 2003 finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/windowsserver2003/editionen/64bit/default.mspx
Weitere Informationen zu den in Windows Server 2003 SP1 eingeführten DCOM-Sicherheitserweiterungen finden Sie auf der folgenden Microsoft-Website :
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=de

Eigenschaften

Artikel-ID: 903220 - Geändert am: Dienstag, 6. Februar 2007 - Version: 8.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbhowto kbinfo KB903220
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com