คำอธิบายของการเปลี่ยนแปลงการตั้ง DCOM ค่าความปลอดภัยหลังจากที่คุณติดตั้ง Windows Server 2003 Service Pack 1

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 903220 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

Microsoft Windows Server 2003 Service Pack 1 (SP1) แนะนำการตั้งค่าความปลอดภัยบางค่าเริ่มต้นขั้นสูงสำหรับโพรโทคอล DCOM โดยเฉพาะอย่างยิ่ง ที่ Windows Server 2003 SP1 แนะนำสิทธิ์ที่กำหนดให้กับผู้ดูแลท้องถิ่นควบคุมอิสระและรีโมท สิทธิ์สำหรับการเริ่มต้นเซิร์ฟเวอร์ COM การเรียกใช้การตั้งค่าของเซิร์ฟเวอร์ COM และ COM การเข้าถึงเซิร์ฟเวอร์ บทความนี้อธิบายการเปลี่ยนแปลงการตั้งค่าการรักษาความปลอดภัย DCOM

ข้อมูลเพิ่มเติม

ใบรับรองของ windows Server 2003 บริการใช้โพรโทคอล DCOM ให้บริการที่ลงทะเบียนและการจัดการ ใบรับรองที่ให้บริการอินเทอร์เฟซ DCOM ต่าง ๆ เพื่อทำการลงทะเบียนและการจัดการการบริการที่พร้อมใช้งาน สำหรับการเข้าถึงที่ถูกต้องและการใช้งานของบริการเหล่านี้ บริการใบรับรองสันนิษฐานว่า มีการตั้งค่าอินเทอร์เฟซ DCOM เพื่อเปิดใช้งานสิทธิ์เปิดใช้งานและการเข้าถึงระยะไกล อย่างไรก็ตาม เนื่องจากการตั้งค่าการรักษาความปลอดภัยเริ่มต้นสำหรับ DCOM จะใช้เมื่อคุณปรับรุ่นเป็น Windows Server 2003 SP1 คุณอาจต้องปรับปรุงการตั้งค่าการรักษาความปลอดภัยเหล่านี้เพื่อให้แน่ใจว่าการลงทะเบียน และการจัดการบริการจะพร้อมใช้งาน

โดยค่าเริ่มต้น DCOM อินเทอร์เฟซทั้งหมดใน Windows Server 2003 SP1 จะกำหนดค่าการให้สิทธิการเข้าถึงระยะไกล สิทธิ์ในการเปิดใช้ระยะไกล และสิทธิ์ในการเปิดใช้งานระยะไกลไปยังผู้ดูแล อย่างไรก็ตาม เมื่อคุณปรับรุ่นเป็น Windows Server 2003 SP1 การเปลี่ยนแปลงการตั้งค่าคอนฟิกความปลอดภัยที่ทำ กับอินเทอร์เฟซ DCOM สากล และอินเทอร์เฟซ CertSrv DCOM ที่ร้องขอ การเปลี่ยนแปลงเหล่านี้จะทำการเปิดใช้งานบริการใบรับรองการทำงานอย่างถูกต้อง

หมายเหตุ:การเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับ DCOM ขอ CertSrv อินเทอร์เฟซการรักษาความปลอดภัยการตั้งค่าก่อนที่คุณติดตั้ง Windows Server 2003 SP1 จะสูญหาย windows Server 2003 SP1 โปรแกรมติดตั้งก่อนหน้าความปลอดภัยค่าทั้งหมดในอินเทอร์เฟซร้องขอ CertSrv DCOM รีเซ็ตการตั้งค่าเริ่มต้น

อัพในระหว่างการติดตั้ง Windows Server 2003 SP1 Setup บริการใบรับรองอัตโนมัติเด DCOM การตั้งค่าความปลอดภัยดัง:
    อินเทอร์เฟซ CertSrv DCOM ที่ร้องขอ
    • ทุกคนกลุ่มรักษาความปลอดภัยได้รับสิทธิ์การเข้าถึงภายใน และระยะไกล
    • ทุกคนกลุ่มรักษาความปลอดภัยได้รับสิทธิ์ในการเปิดใช้งานภายใน และระยะไกล
    • Everyone กลุ่มรักษาความปลอดภัยไม่ได้รับสิทธิ์ในการเปิดใช้ภายใน หรือระยะไกล

  • การตั้งค่าข้อจำกัดของคอมพิวเตอร์ dcom
    • ความปลอดภัยกลุ่มใหม่ CERTSVC_DCOM_ACCESS ถูกสร้างขึ้นโดยอัตโนมัติ

      ถ้าผู้มีสิทธิ์ออกใบรับรองมีการติดตั้งบนเซิร์ฟเวอร์ของสมาชิก CERTSVC_DCOM_ACCESS ถูกสร้างเป็นกลุ่มในเครื่องคอมพิวเตอร์ Everyone กลุ่มรักษาความปลอดภัยถูกเพิ่มเข้า CERTSVC_DCOM_ACCESS

      ถ้าผู้มีสิทธิ์ออกใบรับรองติดตั้งตัวควบคุมโดเมน CERTSVC_DCOM_ACCESS ถูกสร้างเป็นกลุ่มภายในโดเมน กลุ่มการรักษาความปลอดภัยของผู้ใช้โดเมนและกลุ่มรักษาความปลอดภัยของโดเมนคอมพิวเตอร์จากโดเมนของรับรองถูกเพิ่มเข้าไป CERTSVC_DCOM_ACCESS ถ้าตัวควบคุมโดเมนต้องเข้าถึงอินเทอร์เฟซนี้ไปยังใบรับรองที่ร้องขอจากผู้มีสิทธิ์ออกใบรับรอง คุณต้องเพิ่มกลุ่มการรักษาความปลอดภัยของตัวควบคุมโดเมน You must do this because domain controllers are not part of the Domain Computers security group.
    • The CERTSVC_DCOM_ACCESS security group is granted local and remote access permissions.
    • The CERTSVC_DCOM_ACCESS security group is granted local and remote activation permissions.
    • The CERTSVC_DCOM_ACCESS security group is not granted local or remote launch permissions.
    หมายเหตุ:If the certification authority is installed on a domain controller and if the enterprise consists of more than one domain, certificate services cannot automatically update the DCOM security settings for enrollees from outside the certification authority's domain. Therefore, these enrollees will be denied enrollment access to the certification authority.

    To resolve this issue, you must manually add the users to the CERTSVC_DCOM_ACCESS security group. Because the CERTSVC_DCOM_ACCESS security group is a domain local group, you can add only domain groups to it. For example, if users and computers from another domain, the Contoso domain, have to enroll with the certification authority, you must manually add the Contoso\Domain Users group and the Contoso\Domain Computers group to the CERTSVC_DCOM_ACCESS security group.

    If any enrollees that should be authorized by the certification authority are denied authorization after Windows Server 2003 SP1 is installed, you can have certificate services update the DCOM security settings again. To do this, type the following commands at the command prompt, and then press ENTER after each command.
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG is an internal certificate services registry flag that indicates that the DCOM security settings were successfully updated. Certificate services checks this flag every time that certificate services is started. The previous commands reset the flag and then stop and start certificate services. This behavior causes certificate services to update the DCOM security settings again.
The following events may be logged after you install Windows Server 2003 SP1.

ข้อความแสดงเหตุการณ์ 1
ชนิดเหตุการณ์: ข้อผิดพลาด
Event Source: AutoEnrollment
ประเภทเหตุการณ์: ไม่มี
Event ID: 13
วันที่:วันที่
เวลา:เวลา
ผู้ใช้: n/a
คอมพิวเตอร์:computer_name
Description: Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). ปฏิเสธการเข้าใช้งาน สำหรับข้อมูลเพิ่มเติม โปรดดูที่ 'ศูนย์บริการช่วยเหลือและวิธีใช้' ที่ http://support.microsoft.com
ข้อความแสดงเหตุการณ์ 2
ชนิดเหตุการณ์: ข้อผิดพลาด
Event Source: AutoEnrollment
ประเภทเหตุการณ์: ไม่มี
Event ID: 13
วันที่:วันที่
เวลา:เวลา
ผู้ใช้: n/a
คอมพิวเตอร์:computer_name
Description: Automatic certificate enrollment for local system failed to enroll for one Workstation Authentication certificate (0x80070005). ปฏิเสธการเข้าใช้งาน สำหรับข้อมูลเพิ่มเติม โปรดดูที่ 'ศูนย์บริการช่วยเหลือและวิธีใช้' ที่ http://support.microsoft.com
When you manually request a certificate by using the Certificate snap-in, you may receive the following error message:
The certificate request failed because of one of the following conditions: -The certificate request was submitted to a Certification Authority (CA) that is not started. -คุณไม่ต้องการอนุญาตใบรับรองที่ร้องขอจาก CAs ที่พร้อมใช้งาน
หมายเหตุ:If these errors occur on a domain controller, then add the Domain Controllers group to the CERTSVC_DCOM_ACCESS group. Domain controllers are not members of the Domain Computers global group and will not have sufficient DCOM permissions by default.

If you change the group membership to include the Domain Controllers group, you must restart the domain controller to reflect the change.

ฝ่ายสนับสนุนด้านเทคนิคสำหรับ x 64-รุ่นที่ใช้ Microsoft Windows

หากฮาร์ดแวร์ของคุณมาพร้อมกับ Microsoft Windows รุ่น x64 ติดตั้งไว้แล้ว ผู้ผลิตฮาร์ดแวร์ของคุณให้การสนับสนุนทางเทคนิคและการขอความช่วยเหลือสำหรับการ Windows รุ่น x64 ในกรณีนี้ ผู้ผลิตฮาร์ดแวร์ของคุณให้บริการสนับสนุนเนื่องจาก Windows x64 edition รวมอยู่ในฮาร์ดแวร์ของคุณ ผู้ผลิตฮาร์ดแวร์อาจกำหนดการติดตั้ง Windows x64 edition เองโดยใช้คอมโพเนนต์เฉพาะ คอมโพเนนต์เฉพาะอาจรวมถึงโปรแกรมควบคุมอุปกรณ์เฉพาะหรืออาจรวมถึงการตั้งค่าเพิ่มเติมเพื่อเพิ่มประสิทธิภาพของฮาร์ดแวร์ Microsoft จะให้ความช่วยเหลือตามความเหมาะสม หากคุณต้องการความช่วยเหลือด้านเทคนิคกับ Windows x64 edition อย่างไรก็ตาม คุณอาจต้องติดต่อผู้ผลิตฮาร์ดแวร์โดยตรง บริษัทผู้ผลิตของคุณคือผู้ที่มีความสามารถในการให้การสนับสนุนซอฟต์แวร์ที่ติดตั้งไว้บนฮาร์ดแวร์ ถ้าคุณซื้อ Windows x64 edition เช่น Microsoft Windows Server 2003 x64 edition แยกต่างหาก โปรดติดต่อ Microsoft สำหรับการสนับสนุนทางเทคนิค

สำหรับข้อมูลผลิตภัณฑ์เกี่ยวกับ Microsoft Windows XP Professional x64 Edition โปรดไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://www.microsoft.com/windowsxp/64bit/default.mspx
สำหรับข้อมูลผลิตภัณฑ์เกี่ยวกับ Microsoft Windows Server 2003 รุ่นที่ใช้ x64 โปรดไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
For more information about the DCOM security enhancements that are introduced by Windows Server 2003 SP1, visit the following Microsoft Web site:
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

คุณสมบัติ

หมายเลขบทความ (Article ID): 903220 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbhowto kbinfo kbmt KB903220 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:903220

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com