Описание изменений в параметры безопасности DCOM, после установки Windows Server 2003 Пакет обновления 1

Переводы статьи Переводы статьи
Код статьи: 903220 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Пакет обновления 1 (SP1) для Windows Server 2003 представлены Улучшенные стандартные параметры безопасности для протокола DCOM. В частности Windows Server 2003 с пакетом обновления 1 Знакомство с правами, которые предоставляют администратору контроль над разрешениями локальный и удаленный запуск COM-серверов, активация параметры сервера COM и доступ к COM серверы. В данной статье описаны изменения, произошедшие в настройках безопасности DCOM.

Дополнительная информация

Службы сертификации Windows Server 2003 использует протокол DCOM для обеспечения службы регистрации и администрирования. Certificate службы предоставляют несколько интерфейсов DCOM доступность службы регистрации и администрирования. Для надлежащий доступ и использование этих служб, службы сертификации предполагает, что DCOM интерфейсы настроены разрешения удаленной активации и доступа. Тем не менее так как параметры безопасности по умолчанию для DCOM применяются при обновлении до Windows Server 2003 SP1, может потребоваться обновить эти безопасности параметры, чтобы обеспечить доступность службы регистрации и администрирования.

По умолчанию все интерфейсы DCOM Windows Server 2003 SP1 настроены на разрешение удаленного доступа удаленный запуск и удаленную активацию разрешения «Администраторы». Однако при обновлении до Windows Server 2003 SP1, безопасность Внесение изменений для интерфейса DCOM и CertSrv Запросите интерфейс DCOM. Эти изменения вносятся для включения служб сертификатов для правильной работы.

Примечание Любые изменения, вносимые CertSrv запроса DCOM параметры безопасности интерфейса перед установкой Windows Server 2003 SP1, теряются. Сбрасывает все параметры безопасности в CertSrv установки Windows Server 2003 с пакетом обновления 1 Интерфейс DCOM запрос к значениям по умолчанию.

Во время установки Windows Server 2003 с пакетом обновления 1 службы сертификации автоматически обновляет DCOM параметры безопасности следующим образом:
    Интерфейс CertSrv запроса DCOM
    • «Все» предоставлено группе безопасности локальных и удаленных разрешения на доступ.
    • «Все» предоставлено группе безопасности локальных и удаленных разрешения на активацию.
    • Все группы безопасности не предоставлены локальной или разрешения на удаленный запуск.

  • Параметры ограничения компьютера DCOM
    • Новая группа безопасности, CERTSVC_DCOM_ACCESS, автоматически создается.

      Если центр сертификации установлен на рядовой сервер, CERTSVC_DCOM_ACCESS создается как локальную группу компьютера. В Все группы безопасности добавляется CERTSVC_DCOM_ACCESS.

      Если центр сертификации устанавливается на контроллере домена CERTSVC_DCOM_ACCESS создается как домен локальной Группа. Группы безопасности пользователей домена и группы безопасности компьютеров домена из центра сертификации домена добавляются к CERTSVC_DCOM_ACCESS. Если контроллеры домена требуется доступ к этому интерфейсу для запроса сертификатов из центра сертификации, необходимо добавить в группу безопасности контроллеров домена. Это необходимо сделать, поскольку контроллеры домена не являются частью группы безопасности компьютеров домена.
    • Предоставлено локальной группе безопасности CERTSVC_DCOM_ACCESS и удаленный доступ.
    • Предоставлено локальной группе безопасности CERTSVC_DCOM_ACCESS и разрешения удаленной активации.
    • Не предоставлено группе безопасности CERTSVC_DCOM_ACCESS разрешения на запуск на локальном или удаленном.
    Примечание Если в домене установлен центр сертификации сертификат контроллера и если предприятия состоит из более чем одного домена службы не может автоматически обновлять параметры безопасности DCOM для заказчики из вне центра сертификации домена. Таким образом эти заказчики будет отказано подачи заявок в центр сертификации.

    Для устранить эту проблему, необходимо вручную добавить пользователей CERTSVC_DCOM_ACCESS группы безопасности. Поскольку в группу CERTSVC_DCOM_ACCESS безопасности домена локальную группу можно добавить только группы домена к нему. Например если пользователи и компьютеры из другого домена, домен Contoso должны зарегистрироваться Центр сертификации, необходимо вручную добавить в группу пользователей Contoso\Domain и в группу компьютеров Contoso\Domain безопасности CERTSVC_DCOM_ACCESS Группа.

    Если все заказчики, которые должны пройти проверку сертификатов Центр запрещен авторизации, после установки Windows Server 2003 SP1, может иметь службы сертификации попытку обновить параметры безопасности DCOM. Для этого введите следующие команды в командной строке и нажмите клавишу ВВОД после каждой из них.
    команда certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    certsvc net stop
    NET start certsvc
    DCOM_SECURITY_UPDATED_FLAG является внутренним сертификат службы реестра флаг, который указывает, что безопасности DCOM параметры успешно обновлены. Сертификат службы проверки Этот флаг каждый раз, службам сертификации запущен. Предыдущих команд сбросить флаг и затем остановите и запустите службы сертификации. В результате службы сертификатов еще раз обновите параметры безопасности DCOM.
После установки Windows Server 2003 SP1 могут регистрироваться следующие события.

Сообщение о событии 1
Тип события: ошибка
Источник события: автоматическая подача заявок
Категория события: нет
КОД события: 13
Дата: Дата
Время: время
Пользователь: н/д
Компьютер: имя_компьютера
Описание: Автоматическая подача заявки локальной системы не удалось подать заявку один сертификат по электронной почте репликации (0x80070005). Отказано в доступе. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Сообщение об ошибке 2
Тип события: ошибка
Источник события: автоматическая подача заявок
Категория события: нет
КОД события: 13
Дата: Дата
Время: время
Пользователь: н/д
Компьютер: имя_компьютера
Описание: Автоматическая подача заявки локальной системы не удалось подать заявку одного сертификата проверки подлинности рабочей станции (0x80070005). Отказано в доступе. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
С помощью оснастки сертификатов вручную запроса сертификата, появляется следующее сообщение об ошибке:
Не удалось запросить сертификат одной из следующих причин:-запрос сертификата был выдан для центра сертификации (ЦС), который не запущен. -У вас нет разрешения на запрос сертификатов с доступных ЦС.
Примечание Если эти ошибки возникают на контроллере домена, добавьте группу контроллеры домена в группу CERTSVC_DCOM_ACCESS. Контроллеры домена не являются членами глобальной группы домена и не будут иметь достаточных разрешений DCOM по умолчанию.

При изменении членства в группах для включения группы контроллеров домена необходимо перезапустить контроллер домена в соответствии с изменениями.

Техническая поддержка 64-разрядных версий Microsoft Windows

Если оборудование поставлялось с уже установлена Microsoft Windows x 64 edition, изготовитель оборудования предоставляет техническую поддержку и помощь для Windows x 64 edition. В этом случае оборудования обеспечивает поддержку, так как Windows x 64 edition поставляется вместе с оборудованием. Поставщик оборудования может настроить установку Windows x 64-разрядной версии, используя уникальные компоненты. Уникальные компоненты могут включать специальные драйверы устройств или может включать дополнительные настройки для повышения производительности оборудования. Корпорация Майкрософт предоставляет ограниченную техническую поддержку с Windows x 64 edition. Тем не менее может потребоваться обратитесь к изготовителю непосредственно. Изготовитель обладает наилучшими возможностями по поддержке программного обеспечения, установленного производителем оборудования. Если вы приобрели Windows x 64 edition, такие как Microsoft Windows Server 2003 x 64 edition отдельно, обратитесь в корпорацию Майкрософт для получения технической поддержки.

Продукта сведения о Microsoft Windows XP Professional x 64 Edition посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/WindowsXP/64bit/Default.mspx
Продукта сведения о 64-разрядных версий Microsoft Windows Server 2003 посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/windowsserver2003/64bit/x64/Editions.mspx
Дополнительные сведения об усовершенствованиях безопасности DCOM представленные Windows Server 2003 SP1, посетите следующий Веб-узел:
http://www.Microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Свойства

Код статьи: 903220 - Последний отзыв: 31 декабря 2012 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Ключевые слова: 
kbhowto kbinfo kbmt KB903220 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 903220

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com