Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Beschreibung der Änderungen an DCOM-Sicherheitseinstellungen, nachdem Sie Windows Server 2003 Service Pack 1 installiert haben

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
903220 Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1
Einführung
Microsoft Windows Server 2003 Service Pack 1 ( 1) führt einige erweiterte Standardsicherheitseinstellungen des DCOM-Protokolls ein. Insbesondere führt Windows Server 2003 SP1 Rechte ein, die einem Administrator unabhängige Kontrolle über lokale und Remote-Berechtigungen zum Starten und Aktivieren von COM-Servern sowie zum Zugreifen auf COM-Server gewähren. Dieser Artikel beschreibt die Änderungen an den DCOM-Sicherheitseinstellungen.
Weitere Informationen
Windows Server 2003-Zertifikatsdienste verwenden das DCOM-Protokoll, um Registrierungs- und Verwaltungsdienste bereitzustellen. Die Zertifikatsdienste stellen mehrere DCOM-Schnittstellen zur Verfügung, um die Registrierung und die Verwaltung der Dienste verfügbar zu machen. Für den korrekten Zugang und die korrekte Nutzung dieser Dienste setzen die Zertifikatsdienste voraus, dass die DCOM-Schnittstellen so konfiguriert sind, dass sie Remoteaktivierungs- und -zugriffsberechtigungen zulassen. Da jedoch die Standardsicherheitseinstellungen für DCOM angewendet werden, wenn Sie eine Aktualisierung auf Windows Server 2003 SP1 durchführen, müssen Sie diese Sicherheitseinstellungen möglicherweise aktualisieren, um die Verfügbarkeit der Registrierungs- und der Verwaltungsdienste sicherzustellen.

Standardmäßig sind alle DCOM-Schnittstellen in Windows Server 2003 SP1 so konfiguriert, dass sie nur Administratoren Remote-Zugriffsberechtigungen, Remote-Startberechtigungen und Remote-Aktivierungsberechtigungen gewähren. Bei einer Aktualisierung auf Windows Server 2003 SP1 werden jedoch Änderungen an der Sicherheitskonfiguration an der globalen DCOM-Schnittstelle und an der DCOM-Schnittstelle "CertSrv Request" vorgenommen. Diese Änderungen werden vorgenommen, damit die Zertifikatsdienste ordnungsgemäß funktionieren.

Hinweis: Alle Änderungen, die vor der Installation von Windows Server 2003 SP1 an der DCOM-Schnittstelle "CertSrv Request" vorgenommen wurden, gehen verloren. Durch Setup von Windows Server 2003 SP1 werden alle früheren Sicherheitseinstellungen in der DCOM-Schnittstelle "CertSrv Request" auf die Standardeinstellungen zurückgesetzt.

Während des Setups von Windows Server 2003 SP1 aktualisieren die Zertifikatsdienste die DCOM-Sicherheitseinstellungen automatisch wie folgt:
  • DCOM-Schnittstelle "CertSrv Request"
    • Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Zugriffsberechtigungen.
    • Die Sicherheitsgruppe "Jeder" erhält lokale und Remote-Aktivierungsberechtigungen.
    • Die Sicherheitsgruppe "Jeder" erhält keine lokalen oder Remote-Startberechtigungen.
  • Einschränkungseinstellungen für DCOM-Computer
    • Eine neue Sicherheitsgruppe, "CERTSVC_DCOM_ACCESS", wird automatisch erstellt.

      Wenn die Zertifizierungsstelle auf einem Mitgliedsserver installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Computergruppe erstellt. Die Sicherheitsgruppe "Jeder" wird "CERTSVC_DCOM_ACCESS" hinzugefügt.

      Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird, wird "CERTSVC_DCOM_ACCESS" als lokale Domänengruppe erstellt. Die Sicherheitsgruppen "Domänenbenutzer" und "Domänencomputer" von der Domäne der Zertifizierungsstelle werden "CERTSVC_DCOM_ACCESS" hinzugefügt. Wenn Domänencontroller Zugriff auf diese Schnittstelle benötigen, um Zertifikate von der Zertifizierungsstelle anzufordern, müssen Sie die Sicherheitsgruppe "Domänencontroller" hinzufügen. Dies ist erforderlich, da Domänencontroller nicht Teil der Sicherheitsgruppe "Domänencomputer" sind.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Zugriffsberechtigungen.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält lokale und Remote-Aktivierungsberechtigungen.
    • Die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" erhält keine lokalen oder Remote-Startberechtigungen.
    Hinweis: Wenn die Zertifizierungsstelle auf einem Domänencontroller installiert wird und das Unternehmen aus mehr als einer Domäne besteht, können die Zertifizierungsdienste die DCOM-Sicherheitseinstellungen für Registrierungsbewerber außerhalb der Domäne der Zertifizierungsstelle nicht automatisch aktualisieren. Daher wird diesen Registrierungsbewerbern der Registrierungszugang zu der Zertifizierungsstelle verweigert.

    Um dieses Problem zu umgehen, müssen Sie die Benutzer manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Da die Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" eine lokale Domänengruppe ist, können Sie ihr nur Domänengruppen hinzufügen. Wenn sich Benutzer und Computer von einer anderen Domäne namens "Contoso" beispielsweise bei der Zertifizierungsstelle registrieren müssen, müssen Sie die Domänenbenutzergruppe "Contoso" und die Domänencomputergruppe "Contoso" manuell der Sicherheitsgruppe "CERTSVC_DCOM_ACCESS" hinzufügen.

    Wenn Registrierungsbewerbern, die durch die Zertifizierungsstelle autorisiert werden sollten, nach der Installation von Windows Server 2003 SP1 die Autorisierung verweigert wird, können Sie die DCOM-Sicherheitseinstellungen erneut durch die Zertifikatsdienste aktualisieren lassen. Geben Sie hierzu folgende Befehle an der Eingabeaufforderung ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    "DCOM_SECURITY_UPDATED_FLAG" ist ein internes Registrierungs-Flag der Zertifikatsdienste, das angibt, dass die DCOM-Sicherheitseinstellungen erfolgreich aktualisiert wurden. Die Zertifikatsdienste überprüfen dieses Flag bei jedem Start. Durch die Befehle in der Liste oben wird dieses Flag zurückgesetzt, und die Zertifikatsdienste werden beendet und neu gestartet. Aufgrund dieses Verhaltens werden die DCOM-Sicherheitseinstellungen durch die Zertifikatsdienste erneut aktualisiert.
Nach der Installation von Windows Server 2003 SP1 werden möglicherweise die folgenden Ereignisse protokolliert.

Ereignismeldung 1
Typ: Fehler
Quelle: Automatische Registrierung
Kategorie: Keine
Ereigniskennung: 13
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte ein Verzeichnis-E-Mail-Replikationszertifikat nicht registrieren (0x80070005). Der Zugriff wurde verweigert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter "http://support.microsoft.com".
Ereignismeldung 2
Typ: Fehler
Quelle: Automatische Registrierung
Kategorie: Keine
Ereigniskennung: 13
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte ein Arbeitsstationsauthentifizierungszertifikat nicht registrieren (0x80070005). Der Zugriff wurde verweigert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter "http://support.microsoft.com".
Wenn Sie manuell ein Zertifikat mithilfe des Zertifikat-Snap-Ins anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt:
Die Zertifikatanforderung ist aus einem der folgenden Gründe fehlgeschlagen: - Die Zertifikatanforderung wurde an eine nicht gestartete Zertifizierungsstelle gesendet. - Sie verfügen über keine Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen
Hinweis: Wenn diese Fehler bei einem Domänencontroller auftreten, fügen Sie die Gruppe "Domänencontroller" der Gruppe "CERTSVC_DCOM_ACCESS" hinzu. Domänencontroller sind keine Mitglieder der globalen Gruppe "Domänencomputer" und verfügen standardmäßig nicht über ausreichend DCOM-Berechtigungen.

Wenn Sie die Gruppenmitgliedschaft so ändern, dass die Gruppe "Domänencontroller" enthalten ist, müssen Sie den Domänencontroller neu starten, damit die Änderung wirksam wird.

Technische Unterstützung für x64-Versionen von Microsoft Windows

Falls eine Microsoft Windows x64 Edition zum Lieferumfang Ihrer Hardware gehörte und bereits auf Ihrem System installiert war, erhalten Sie technische Unterstützung und Hilfestellung zu dieser Windows x64 Edition vom Hersteller Ihrer Hardware. Da eine Windows x64 Edition zusammen mit Ihrer Hardware geliefert wurde, ist der Hersteller der Hardware für den technischen Support zuständig. Möglicherweise hat der Hersteller der Hardware die Windows x64 Edition durch einzelne Komponenten verändert. Dazu gehören beispielsweise bestimmte Gerätetreiber oder optionale Einstellungen zur Leistungsoptimierung der Hardware. Wenn Sie technische Hilfe zu einer Windows x64 Edition benötigen, bietet Microsoft in diesem Fall Unterstützung in angemessenem Rahmen. Sie müssen sich jedoch möglicherweise direkt an den Hersteller wenden. Der Hersteller kann Ihnen den besten Support für die von ihm auf der Hardware installierte Software bieten. Wenn Sie eine Windows x64 Edition (zum Beispiel eine Microsoft Windows Server 2003 x64 Edition) separat erworben haben, wenden Sie sich an Microsoft, um technischen Support zu erhalten.

Produktinformationen zu Microsoft Windows XP Professional x64 Edition finden Sie auf der folgenden Website von Microsoft: Weitere Produktinformationen zu den x64-Versionen von Windows Server 2003 finden Sie auf folgender Microsoft-Website: Weitere Informationen zu den in Windows Server 2003 SP1 eingeführten DCOM-Sicherheitserweiterungen finden Sie auf der folgenden Microsoft-Website :
Winx64 Windowsx64 64bit 64-bit
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 903220 – Letzte Überarbeitung: 02/06/2007 13:49:00 – Revision: 8.3

  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • kbhowto kbinfo KB903220
Feedback