現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2003 Service Pack 1 のインストール後の DCOM セキュリティ設定の変更について

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
Microsoft Windows Server 2003 Service Pack 1 (SP1) では、DCOM プロトコルに関するデフォルトのセキュリティ設定が強化されています。具体的には、COM サーバーの起動、COM サーバー設定の有効化、および COM サーバーのアクセスに関するローカルおよびリモートのアクセス許可を管理者に依存せずに制御できる権限が Windows Server 2003 SP1 で導入されました。この資料では、DCOM セキュリティ設定の変更について説明します。
詳細
Windows Server 2003 証明書サービスでは、登録サービスおよび管理サービスの提供に DCOM プロトコルが使用されます。証明書サービスには、この登録サービスと管理サービスを利用できるようにするための DCOM インターフェイスがいくつか用意されています。これらのサービスに正しくアクセスして使用するには、リモートからのアクティブ化とアクセスを許可するように DCOM インターフェイスが設定されていることが前提になります。ただし、Windows Server 2003 SP1 へのアップグレード時には DCOM のデフォルトのセキュリティ設定が適用されるため、登録サービスと管理サービスを利用できるようにするには、これらのセキュリティ設定の更新が必要になる場合があります。

Windows Server 2003 SP1 のデフォルトの構成では、すべての DCOM インターフェイスで、リモート アクセス、リモートからの起動、およびリモートからのアクティブ化のアクセス許可が管理者に付与されます。ただし、Windows Server 2003 SP1 にアップグレードすると、グローバル DCOM インターフェイスおよび CertSrv Request DCOM インターフェイスのセキュリティ構成が変更されます。証明書サービスが正常に機能するように、これらの変更が加えられます。

: Windows Server 2003 SP1 のインストール前に CertSrv Request DCOM インターフェイスのセキュリティ設定に対して行われた変更は、すべて失われます。Windows Server 2003 SP1 のセットアップにより、CertSrv Request DCOM インターフェイスにそれまで設定されていたセキュリティ設定はすべてデフォルトの設定にリセットされます。

Windows Server 2003 SP1 のセットアップ中に、証明書サービスにより自動的に DCOM セキュリティ設定が以下のように更新されます。
  • CertSrv Request DCOM インターフェイス
    • Everyone セキュリティ グループに、ローカル アクセスおよびリモート アクセスの許可が付与されます。
    • Everyone セキュリティ グループに、ローカルおよびリモートからのアクティブ化が許可されます。
    • Everyone セキュリティ グループには、ローカルおよびリモートからの起動は許可されません。
  • DCOM コンピュータの制限設定
    • 新しいセキュリティ グループ CERTSVC_DCOM_ACCESS が自動的に作成されます。

      証明機関がメンバ サーバーにインストールされている場合、CERTSVC_DCOM_ACCESS はコンピュータ ローカル グループとして作成され、Everyone セキュリティ グループがこのグループに追加されます。

      証明機関がドメイン コントローラにインストールされている場合、CERTSVC_DCOM_ACCESS はドメイン ローカル グループとして作成されます。証明機関のドメインから Domain Users セキュリティ グループと Domain Computers セキュリティ グループがこのグループに追加されます。ドメイン コントローラでこのインターフェイスにアクセスして認証機関から証明書を要求する必要がある場合は、Domain Controllers セキュリティ グループを追加する必要があります。この操作が必要になる理由は、Domain Computers セキュリティ グループにはドメイン コントローラが含まれていないためです。
    • CERTSVC_DCOM_ACCESS セキュリティ グループに、ローカル アクセスおよびリモート アクセスの許可が付与されます。
    • CERTSVC_DCOM_ACCESS セキュリティ グループに、ローカルおよびリモートからのアクティブ化が許可されます。
    • CERTSVC_DCOM_ACCESS セキュリティ グループには、ローカルおよびリモートからの起動は許可されません。
    : 証明機関がドメイン コントローラにインストールされていて、エンタープライズが 2 つ以上のドメインで構成されている場合、証明書サービスでは証明機関のドメインの外部から入会者の DCOM セキュリティ設定を自動的に更新することはできません。そのため、これらの入会者は証明機関への登録アクセスが拒否されます。

    この問題を解決するには、CERTSVC_DCOM_ACCESS セキュリティ グループにユーザーを手動で追加する必要があります。CERTSVC_DCOM_ACCESS セキュリティ グループはドメイン ローカル グループであるため、このグループに追加できるのはドメイン グループのみです。たとえば、別のドメイン Contoso からのユーザーとコンピュータを証明機関に登録する必要がある場合は、Contoso\Domain Users グループと Contoso\Domain Computers グループを手動で CERTSVC_DCOM_ACCESS セキュリティ グループに追加します。

    証明機関による承認が必要な入会者の承認が Windows Server 2003 SP1 のインストール後に拒否される場合は、証明書サービスを使用して DCOM セキュリティ設定を再度更新できます。これを行うには、コマンド プロンプトで次のコマンドを入力し、各コマンドの最後に Enter キーを押します。
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG は、DCOM セキュリティ設定が正常に更新されたことを示す、証明書サービスの内部的なレジストリ フラグです。証明書サービスでは起動時に毎回このフラグがチェックされます。上記のコマンドを実行すると、フラグをリセットした後に証明書サービスの停止と開始が行われます。この動作により、証明書サービスで DCOM セキュリティ設定が再度更新されます。
Windows Server 2003 SP1 のインストール後に、次のイベントが記録されることがあります。

イベント メッセージ 1
種類 : エラー
ソース : AutoEnrollment
分類 : なし
イベント ID : 13
日付 : date
時刻 : time
ユーザー : N/A
コンピュータ : computer_name
説明 : ローカルシステムの証明書の自動登録で、ディレクトリ サービス電子メール レプリケーション 証明書 (0x80070005) を登録できませんでした。アクセスが拒否されました。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。
イベント メッセージ 2
種類 : エラー
ソース : AutoEnrollment
分類 : なし
イベント ID : 13
日付 : date
時刻 : time
ユーザー : N/A
コンピュータ : computer_name
説明 : ローカルシステムの証明書の自動登録で、ワークステーション認証証明書 (0x80070005) を登録できませんでした。アクセスが拒否されました。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。
証明書スナップインを使用して証明書を手動で要求すると、次のエラー メッセージが表示されることがあります。
以下のうちどれかの理由が原因で、証明書要求に失敗しました:
- 証明書要求が開始されていない証明機関 (CA) に提出された。
- 利用可能な CA から証明書を要求するためのアクセス許可がない。
: ドメイン コントローラ上でこれらのエラーが発生した場合は、Domain Controllers グループを CERTSVC_DCOM_ACCESS グループに追加してください。ドメイン コントローラは Domain Computers グローバル グループのメンバではないため、デフォルトでは必要な DCOM のアクセス許可が不足しています。

Domain Controllers グループが含まれるようにグループのメンバシップを変更した場合は、その変更を反映するためにドメイン コントローラの再起動が必要です。

x64 ベースの Microsoft Windows のテクニカル サポート

ハードウェアに Microsoft Windows x64 エディションが既にインストールされている場合、Windows x64 エディションに対する技術サポートと支援はハードウェアの製造元から提供されます。これは、Windows x64 エディションがハードウェアにインストールされて提供されているためです。ハードウェアの製造元は、ハードウェアの性能を最大限に活用するために、固有のデバイス ドライバやオプション設定など、独自のコンポーネントを使用してインストール環境をカスタマイズしている場合があります。Windows x64 エディションに関する技術サポートが必要な場合、マイクロソフトではできる限りの支援を行います。しかし、製造元がハードウェアにインストールして提供するソフトウェアについては製造元によるサポートが最適であるため、ハードウェアの製造元に直接お問い合わせいただくことが必要な場合があります。Microsoft Windows Server 2003 x64 Edition などの Windows x64 エディションを個別に購入した場合は、技術サポートについてマイクロソフトにお問い合わせください。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトを参照してください。x64 ベースの Microsoft Windows Server 2003 の製品情報については、以下のマイクロソフト Web サイトを参照してください。Windows Server 2003 SP1 で導入された DCOM のセキュリティ強化の詳細については、以下のマイクロソフト Web サイトを参照してください。
Winx64 Windowsx64 64bit 64-bit
プロパティ

文書番号:903220 - 最終更新日: 11/30/2006 03:06:20 - リビジョン: 8.5

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbhowto kbinfo KB903220
フィードバック