說明安裝 Windows Server 2003 Service Pack 1 之後 DCOM 安全性設定的變更

文章翻譯 文章翻譯
文章編號: 903220 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

Microsoft Windows Server 2003 Service Pack 1 (SP1) 為 DCOM 通訊協定帶來一些增強的預設安全性設定。特別是,Windows Server 2003 SP1 加入可讓系統管理員獨立控制是否啟動 COM 伺服器、啟用 COM 伺服器設定以及存取 COM 伺服器的本機和遠端權限。本文將告訴您 DCOM 安全性設定的變更。

其他相關資訊

Windows Server 2003 憑證服務透過 DCOM 通訊協定來提供註冊和系統管理服務。憑證服務提供了數種 DCOM 介面,可提供註冊和系統管理服務。對於這些服務的正確存取和使用方式,憑證服務假設 DCOM 介面已設定為啟用遠端啟動和存取權限。然而,由於 DCOM 的預設安全性設定是在您升級為 Windows Server 2003 SP1 時套用的,因此,您可能必須更新這些安全性設定,才能確定註冊和系統管理服務是否可供使用。

根據預設,Windows Server 2003 SP1 中的所有 DCOM 介面,都會設定為授與系統管理員遠端存取權限、遠端啟動權限和遠端啟用權限。然而,當您升級為 Windows Server 2003 SP1 時,全域 DCOM 介面和 CertSrv Request DCOM 介面的安全性設定會有所變更。這些變更會使憑證服務得以正常運作。

注意 安裝 Windows Server 2003 SP1 之前對 CertSrv Request DCOM 介面安全性設定所做的任何變更,都會遺失。Windows Server 2003 SP1 安裝程式會將 CertSrv Request DCOM 介面中的所有先前安全性設定,重新設定為預設設定。

在執行 Windows Server 2003 SP1 安裝程式期間,憑證服務會自動更新 DCOM 安全性設定,如下所示:
    CertSrv Request DCOM 介面
    • 授與 Everyone 安全性群組本機和遠端存取權限。
    • 授與 Everyone 安全性群組本機和遠端啟用權限。
    • 不授與 Everyone 安全性群組本機或遠端啟動權限。

  • DCOM 電腦限制設定
    • 自動建立新的安全性群組,即 CERTSVC_DCOM_ACCESS。

      如果憑證授權單位是安裝在成員伺服器上,就會建立 CERTSVC_DCOM_ACCESS 做為電腦本機群組。Everyone 安全性群組會加入 CERTSVC_DCOM_ACCESS 中。

      如果憑證授權單位是安裝在網域控制站上,則會建立 CERTSVC_DCOM_ACCESS 做為網域本機群組。來自憑證授權單位網域的 Domain Users 安全性群組和 Domain Computers 安全性群組會加入 CERTSVC_DCOM_ACCESS 中。如果網域控制站需要存取這個介面,以要求來自憑證授權單位的憑證,則您必須加入 Domain Controllers 安全性群組。由於網域控制站不屬於 Domain Computers 安全性群組,因此您必須執行這項操作。
    • 授與 CERTSVC_DCOM_ACCESS 安全性群組本機和遠端存取權限。
    • 授與 CERTSVC_DCOM_ACCESS 安全性群組本機和遠端啟用權限。
    • 不授與 CERTSVC_DCOM_ACCESS 安全性群組本機或遠端啟動權限。
    注意 如果憑證授權單位是安裝在網域控制站上,而且企業包含一個以上的網域,憑證服務就無法為憑證授權單位網域以外的註冊者自動更新 DCOM 安全性設定。因此,這些註冊者註冊存取此憑證授權單位的要求將會遭到拒絕。

    如果要解決這個問題,您必須手動將這些使用者加入 CERTSVC_DCOM_ACCESS 安全性群組。由於 CERTSVC_DCOM_ACCESS 安全性群組屬於網域本機群組,因此您只能在其中加入網域群組。例如,如果來自名為 Contoso 網域的使用者和電腦必須向此憑證授權單位註冊,則您必須手動將 Contoso\Domain Users 群組和 Contoso\Domain Computers 群組加入 CERTSVC_DCOM_ACCESS 安全性群組中。

    安裝 Windows Server 2003 SP1 之後,如果發生應由憑證授權單位進行授權的註冊者遭到拒絕的情況,您可以設定憑證服務再次更新 DCOM 安全性設定。如果要執行這項操作,請在命令提示字元中輸入下列命令,並在每一行命令後面按下 ENTER。
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG 是內部憑證服務的登錄旗標,用來指示 DCOM 安全性設定已成功更新。憑證服務會在每次啟動時檢查這個旗標。先前的命令會重設這個旗標,然後停止再啟動憑證服務。這個行為會使得憑證服務再次更新 DCOM 安全性設定。
在安裝 Windows Server 2003 SP1 之後,可能會記錄下列事件。

事件訊息 1
事件類型: 錯誤
事件來源:AutoEnrollment
事件類別目錄: 無
事件識別碼: 13
日期: date
時間: time
使用者: N/A
電腦:computer_name
描述:本機系統的自動憑證註冊無法註冊「目錄電子郵件複寫」憑證 (0x80070005)。拒絕存取。請在 http://support.microsoft.com 查看說明及支援中心,以取得其他資訊。
事件訊息 2
事件類型: 錯誤
事件來源:AutoEnrollment
事件類別目錄: 無
事件識別碼: 13
日期: date
時間: time
使用者: N/A
電腦:computer_name
描述:本機系統的自動憑證註冊無法註冊「工作站驗證」憑證 (0x80070005)。拒絕存取。請在 http://support.microsoft.com 查看說明及支援中心,以取得其他資訊。
當您使用「憑證」嵌入式管理單元以手動方式要求憑證時,可能會收到下列錯誤訊息:
憑證要求失敗,因為發生下列狀況:- 憑證要求已提交給憑證授權單位 (CA),但憑證授權單位並未啟動。- 您沒有權限向憑證授權單位要求憑證。
注意 如果網域控制站上發生這些錯誤,請將 Domain Controllers 群組加入 CERTSVC_DCOM_ACCESS 群組中。網域控制站不是 Domain Computers 通用群組的成員,預設沒有足夠的 DCOM 權限。

如果您變更群組成員資格以納入 Domain Controllers 群組,則必須重新啟動網域控制站以反映變更。

為 Microsoft Windows x64 版提供的技術支援

如果您的硬體隨附於 Microsoft Windows x64 版,則硬體製造商會提供這個軟體的技術支援與協助。由於 Windows x64 版是隨附在您的硬體中,因此,硬體製造商會提供相關支援。硬體製造商可能已經利用特殊的元件自訂 Windows x64 版的安裝。特殊的元件可能包括特定裝置驅動程式,或者包含可以使硬體發揮最大效能的選用設定。如果您需要有關 Windows x64 版的技術協助,Microsoft 將會在合理的情況下提供協助。不過,您可以直接與製造商連絡。因為在硬體上預先安裝軟體的人是硬體製造商,所以他們會是提供軟體技術支援服務的最佳人選。如果您是個別購買 Windows x64 版 (如 Microsoft Windows Server 2003 x64 版),請連絡 Microsoft 以取得技術支援。

如需有關 Microsoft Windows XP Professional x64 Edition 的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windowsxp/64bit/default.mspx
如需有關 Microsoft Windows Server 2003 x64 版的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windowsserver2003/64bit/x64/default.mspx
如需有關 Windows Server 2003 SP1 所引進 DCOM 安全性增強功能的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE

屬性

文章編號: 903220 - 上次校閱: 2006年12月18日 - 版次: 8.3
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
關鍵字:?
kbhowto kbinfo KB903220
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com