Windows Server 2003 Service Pack 1 のインストール後の DCOM セキュリティ設定の変更について

文書翻訳 文書翻訳
文書番号: 903220 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

Microsoft Windows Server 2003 Service Pack 1 (SP1) では、DCOM プロトコルに関するデフォルトのセキュリティ設定が強化されています。具体的には、COM サーバーの起動、COM サーバー設定の有効化、および COM サーバーのアクセスに関するローカルおよびリモートのアクセス許可を管理者に依存せずに制御できる権限が Windows Server 2003 SP1 で導入されました。この資料では、DCOM セキュリティ設定の変更について説明します。

詳細

Windows Server 2003 証明書サービスでは、登録サービスおよび管理サービスの提供に DCOM プロトコルが使用されます。証明書サービスには、この登録サービスと管理サービスを利用できるようにするための DCOM インターフェイスがいくつか用意されています。これらのサービスに正しくアクセスして使用するには、リモートからのアクティブ化とアクセスを許可するように DCOM インターフェイスが設定されていることが前提になります。ただし、Windows Server 2003 SP1 へのアップグレード時には DCOM のデフォルトのセキュリティ設定が適用されるため、登録サービスと管理サービスを利用できるようにするには、これらのセキュリティ設定の更新が必要になる場合があります。

Windows Server 2003 SP1 のデフォルトの構成では、すべての DCOM インターフェイスで、リモート アクセス、リモートからの起動、およびリモートからのアクティブ化のアクセス許可が管理者に付与されます。ただし、Windows Server 2003 SP1 にアップグレードすると、グローバル DCOM インターフェイスおよび CertSrv Request DCOM インターフェイスのセキュリティ構成が変更されます。証明書サービスが正常に機能するように、これらの変更が加えられます。

: Windows Server 2003 SP1 のインストール前に CertSrv Request DCOM インターフェイスのセキュリティ設定に対して行われた変更は、すべて失われます。Windows Server 2003 SP1 のセットアップにより、CertSrv Request DCOM インターフェイスにそれまで設定されていたセキュリティ設定はすべてデフォルトの設定にリセットされます。

Windows Server 2003 SP1 のセットアップ中に、証明書サービスにより自動的に DCOM セキュリティ設定が以下のように更新されます。
    CertSrv Request DCOM インターフェイス
    • Everyone セキュリティ グループに、ローカル アクセスおよびリモート アクセスの許可が付与されます。
    • Everyone セキュリティ グループに、ローカルおよびリモートからのアクティブ化が許可されます。
    • Everyone セキュリティ グループには、ローカルおよびリモートからの起動は許可されません。

  • DCOM コンピュータの制限設定
    • 新しいセキュリティ グループ CERTSVC_DCOM_ACCESS が自動的に作成されます。

      証明機関がメンバ サーバーにインストールされている場合、CERTSVC_DCOM_ACCESS はコンピュータ ローカル グループとして作成され、Everyone セキュリティ グループがこのグループに追加されます。

      証明機関がドメイン コントローラにインストールされている場合、CERTSVC_DCOM_ACCESS はドメイン ローカル グループとして作成されます。証明機関のドメインから Domain Users セキュリティ グループと Domain Computers セキュリティ グループがこのグループに追加されます。ドメイン コントローラでこのインターフェイスにアクセスして認証機関から証明書を要求する必要がある場合は、Domain Controllers セキュリティ グループを追加する必要があります。この操作が必要になる理由は、Domain Computers セキュリティ グループにはドメイン コントローラが含まれていないためです。
    • CERTSVC_DCOM_ACCESS セキュリティ グループに、ローカル アクセスおよびリモート アクセスの許可が付与されます。
    • CERTSVC_DCOM_ACCESS セキュリティ グループに、ローカルおよびリモートからのアクティブ化が許可されます。
    • CERTSVC_DCOM_ACCESS セキュリティ グループには、ローカルおよびリモートからの起動は許可されません。
    : 証明機関がドメイン コントローラにインストールされていて、エンタープライズが 2 つ以上のドメインで構成されている場合、証明書サービスでは証明機関のドメインの外部から入会者の DCOM セキュリティ設定を自動的に更新することはできません。そのため、これらの入会者は証明機関への登録アクセスが拒否されます。

    この問題を解決するには、CERTSVC_DCOM_ACCESS セキュリティ グループにユーザーを手動で追加する必要があります。CERTSVC_DCOM_ACCESS セキュリティ グループはドメイン ローカル グループであるため、このグループに追加できるのはドメイン グループのみです。たとえば、別のドメイン Contoso からのユーザーとコンピュータを証明機関に登録する必要がある場合は、Contoso\Domain Users グループと Contoso\Domain Computers グループを手動で CERTSVC_DCOM_ACCESS セキュリティ グループに追加します。

    証明機関による承認が必要な入会者の承認が Windows Server 2003 SP1 のインストール後に拒否される場合は、証明書サービスを使用して DCOM セキュリティ設定を再度更新できます。これを行うには、コマンド プロンプトで次のコマンドを入力し、各コマンドの最後に Enter キーを押します。
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG は、DCOM セキュリティ設定が正常に更新されたことを示す、証明書サービスの内部的なレジストリ フラグです。証明書サービスでは起動時に毎回このフラグがチェックされます。上記のコマンドを実行すると、フラグをリセットした後に証明書サービスの停止と開始が行われます。この動作により、証明書サービスで DCOM セキュリティ設定が再度更新されます。
Windows Server 2003 SP1 のインストール後に、次のイベントが記録されることがあります。

イベント メッセージ 1
種類 : エラー
ソース : AutoEnrollment
分類 : なし
イベント ID : 13
日付 : date
時刻 : time
ユーザー : N/A
コンピュータ : computer_name
説明 : ローカルシステムの証明書の自動登録で、ディレクトリ サービス電子メール レプリケーション 証明書 (0x80070005) を登録できませんでした。アクセスが拒否されました。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。
イベント メッセージ 2
種類 : エラー
ソース : AutoEnrollment
分類 : なし
イベント ID : 13
日付 : date
時刻 : time
ユーザー : N/A
コンピュータ : computer_name
説明 : ローカルシステムの証明書の自動登録で、ワークステーション認証証明書 (0x80070005) を登録できませんでした。アクセスが拒否されました。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。
証明書スナップインを使用して証明書を手動で要求すると、次のエラー メッセージが表示されることがあります。
以下のうちどれかの理由が原因で、証明書要求に失敗しました:
- 証明書要求が開始されていない証明機関 (CA) に提出された。
- 利用可能な CA から証明書を要求するためのアクセス許可がない。
: ドメイン コントローラ上でこれらのエラーが発生した場合は、Domain Controllers グループを CERTSVC_DCOM_ACCESS グループに追加してください。ドメイン コントローラは Domain Computers グローバル グループのメンバではないため、デフォルトでは必要な DCOM のアクセス許可が不足しています。

Domain Controllers グループが含まれるようにグループのメンバシップを変更した場合は、その変更を反映するためにドメイン コントローラの再起動が必要です。

x64 ベースの Microsoft Windows のテクニカル サポート

ハードウェアに Microsoft Windows x64 エディションが既にインストールされている場合、Windows x64 エディションに対する技術サポートと支援はハードウェアの製造元から提供されます。これは、Windows x64 エディションがハードウェアにインストールされて提供されているためです。ハードウェアの製造元は、ハードウェアの性能を最大限に活用するために、固有のデバイス ドライバやオプション設定など、独自のコンポーネントを使用してインストール環境をカスタマイズしている場合があります。Windows x64 エディションに関する技術サポートが必要な場合、マイクロソフトではできる限りの支援を行います。しかし、製造元がハードウェアにインストールして提供するソフトウェアについては製造元によるサポートが最適であるため、ハードウェアの製造元に直接お問い合わせいただくことが必要な場合があります。Microsoft Windows Server 2003 x64 Edition などの Windows x64 エディションを個別に購入した場合は、技術サポートについてマイクロソフトにお問い合わせください。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsxp/64bit/default.mspx
x64 ベースの Microsoft Windows Server 2003 の製品情報については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserver2003/64bit/x64/default.mspx
Windows Server 2003 SP1 で導入された DCOM のセキュリティ強化の詳細については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyId=B883B02C-D485-479C-8AA6-EDB20CD4C66E&displaylang=ja

プロパティ

文書番号: 903220 - 最終更新日: 2006年11月30日 - リビジョン: 8.5
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
キーワード:?
kbhowto kbinfo KB903220
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com