คำอธิบายของการเปลี่ยนแปลงการตั้งค่าความปลอดภัย DCOM หลังจากที่คุณติดตั้ง Windows Server 2003 Service Pack 1

บทนำ

Microsoft Windows Server 2003 Service Pack 1 (SP1) แนะนำบางการตั้งค่าความปลอดภัยขั้นสูงเริ่มต้นสำหรับโพรโทคอล DCOM โดยเฉพาะอย่างยิ่ง Windows Server 2003 SP1 แนะนำสิทธิ์ที่ช่วยให้ผู้ดูแลท้องถิ่นควบคุมอิสระและรีโมท สิทธิ์สำหรับการเริ่มต้นเซิร์ฟเวอร์ COM เปิดใช้งานการตั้งค่าของเซิร์ฟเวอร์ COM และการเข้าถึงเซิร์ฟเวอร์ COM บทความนี้อธิบายถึงการเปลี่ยนแปลงการตั้งค่าความปลอดภัยของ DCOM

ข้อมูลเพิ่มเติม

บริการใบรับรอง Windows Server 2003 ใช้โพรโทคอล DCOM ให้บริการลงทะเบียนและการจัดการ ใบรับรองบริการแสดงเฟสห DCOM เพื่อทำการลงทะเบียนและการจัดการการบริการที่พร้อมใช้งาน สำหรับการเข้าถึงที่ถูกต้องและการใช้งานของบริการเหล่านี้ บริการใบรับรองถือว่า มีตั้งการอินเทอร์เฟส DCOM เพื่อเปิดใช้งานสิทธิ์การเปิดใช้งานและการเข้าถึงระยะไกล อย่างไรก็ตาม เนื่องจากมีใช้การตั้งค่าความปลอดภัยเริ่มต้นสำหรับ DCOM เมื่อคุณปรับรุ่นเป็น Windows Server 2003 SP1 คุณอาจจะต้องปรับปรุงการตั้งค่าการรักษาความปลอดภัยเหล่านี้เพื่อให้แน่ใจว่าการลงทะเบียน และบริการการดูแลจะพร้อมใช้งาน

โดยค่าเริ่มต้น มีการกำหนดค่า DCOM อินเทอร์เฟซทั้งหมดใน Windows Server 2003 SP1 เพื่อให้สิทธิ์การเข้าถึงระยะไกล สิทธิ์การเปิดใช้งานระยะไกล และเปิดใช้งานระยะไกลสิทธิ์แก่ผู้ดูแล อย่างไรก็ตาม เมื่อคุณปรับรุ่นเป็น Windows Server 2003 SP1 การเปลี่ยนแปลงการตั้งค่าคอนฟิกความปลอดภัยมีอินเทอร์เฟซสำหรับ DCOM สากล และอินเทอร์เฟซสำหรับ DCOM ขอ CertSrv มีทำการเปลี่ยนแปลงเหล่านี้เพื่อเปิดใช้งานบริการการรับรองการทำงานได้อย่างถูกต้อง

หมายเหตุ การเปลี่ยนแปลงใด ๆ ที่ได้ทำการตั้งค่าความปลอดภัยของอินเทอร์เฟซ DCOM ขอ CertSrv ก่อนที่คุณติดตั้ง Windows Server 2003 SP1 จะสูญหายไป Windows Server 2003 SP1 โปรแกรมติดตั้งรีเซ็ตค่าความปลอดภัยก่อนหน้านี้ทั้งหมดในส่วนติดต่อ CertSrv DCOM การร้องขอการตั้งค่าเริ่มต้น

ในระหว่างการติดตั้ง Windows Server 2003 SP1 Setup ใบรับรอง services จะปรับปรุงค่าดังความปลอดภัย DCOM:
  • อินเทอร์เฟซ DCOM ขอ CertSrv
    • Everyone กลุ่มรักษาความปลอดภัยได้รับสิทธิ์การเข้าถึงระยะไกล และภายในเครื่อง
    • Everyone กลุ่มรักษาความปลอดภัยได้รับสิทธิ์ในการเปิดใช้งานท้องถิ่น และระยะไกล
    • Everyone กลุ่มรักษาความปลอดภัยไม่ได้รับสิทธิ์การเปิดใช้งานระยะไกล หรือภายในเครื่อง
  • การตั้งค่าข้อจำกัดคอมพิวเตอร์ DCOM
    • กลุ่มการรักษาความปลอดภัยที่ใหม่ CERTSVC_DCOM_ACCESS สร้างขึ้นโดยอัตโนมัติ

      ถ้าผู้ออกใบรับรองถูกติดตั้งบนเซิร์ฟเวอร์สมาชิก CERTSVC_DCOM_ACCESS ถูกสร้างเป็นกลุ่มภายในเครื่องคอมพิวเตอร์ ทุกคนที่มีเพิ่มกลุ่มรักษาความปลอดภัย CERTSVC_DCOM_ACCESS

      ถ้ามีการติดตั้งใบรับรองบนตัวควบคุมโดเมน CERTSVC_DCOM_ACCESS ถูกสร้างขึ้นเป็นกลุ่มโดเมนท้องถิ่น กลุ่มความปลอดภัยของผู้ใช้โดเมนและกลุ่มรักษาความปลอดภัยของโดเมนคอมพิวเตอร์จากโดเมนของผู้ออกใบรับรองจะถูกเพิ่มเข้าไป CERTSVC_DCOM_ACCESS ถ้าตัวควบคุมโดเมนจำเป็นต้องเข้าถึงอินเทอร์เฟซนี้เพื่อร้องขอใบรับรองจากผู้ออกใบรับรอง คุณต้องเพิ่มกลุ่มความปลอดภัยของตัวควบคุมโดเมน คุณต้องทำเช่นนี้ได้เนื่องจากตัวควบคุมโดเมนไม่ได้เป็นส่วนหนึ่งของกลุ่มความปลอดภัยของคอมพิวเตอร์ในโดเมน
    • กลุ่มความปลอดภัย CERTSVC_DCOM_ACCESS ได้รับสิทธิ์การเข้าถึงระยะไกล และภายในเครื่อง
    • กลุ่มความปลอดภัย CERTSVC_DCOM_ACCESS ได้รับสิทธิ์ในการเปิดใช้งานภายในเครื่อง และแบบระยะไกล
    • กลุ่มความปลอดภัย CERTSVC_DCOM_ACCESS ไม่ได้รับสิทธิ์ในการเปิดใช้งานระยะไกล หรือภายในเครื่อง
    หมายเหตุ ถ้ามีการติดตั้งใบรับรองบนตัวควบคุมโดเมน และถ้าองค์กรมีเครือข่ายย่อยมากกว่าหนึ่งโดเมน บริการใบรับรองไม่สามารถปรับปรุงการตั้งค่าการรักษาความปลอดภัย DCOM สำหรับสามัญจากภายนอกโดเมนของผู้ออกใบรับรอง ดังนั้น สามัญเหล่านี้จะถูกปฏิเสธการเข้าถึงการลงทะเบียนการออกใบรับรอง

    เมื่อต้องการแก้ไขปัญหานี้ คุณต้องเพิ่มผู้ใช้ไปยังกลุ่มรักษาความปลอดภัย CERTSVC_DCOM_ACCESS ด้วยตนเอง เนื่องจากกลุ่มความปลอดภัย CERTSVC_DCOM_ACCESS คือ กลุ่มโดเมนท้องถิ่น คุณสามารถเพิ่มกลุ่มโดเมนเท่านั้น ตัวอย่างเช่น ถ้าผู้ใช้และคอมพิวเตอร์จากโดเมนอื่น โดเมน Contoso จำเป็นต้อง มีใบรับรองการลงทะเบียน คุณต้องเพิ่มด้วยตนเองกับกลุ่มผู้ใช้ Contoso\Domain และกลุ่มคอมพิวเตอร์ Contoso\Domain ไปยังกลุ่มรักษาความปลอดภัย CERTSVC_DCOM_ACCESS

    ถ้าสามัญใด ๆ ที่ควรได้รับอนุญาต โดยผู้ออกใบรับรองจะถูกปฏิเสธการตรวจสอบหลังจากที่มีการติดตั้ง Windows Server 2003 SP1 คุณสามารถได้ใบรับรองบริการการปรับปรุงการตั้งค่าการรักษาความปลอดภัย DCOM อีกครั้ง เมื่อต้องการทำเช่นนี้ ให้พิมพ์คำสั่งต่อไปนี้ที่พรอมต์คำสั่ง และจากนั้น กด ENTER หลังจากแต่ละคำสั่ง
    certutil – setreg SetupStatus – SETUP_DCOM_SECURITY_UPDATED_FLAG
    certsvc หยุดสุทธิ
    เริ่มต้นสุทธิ certsvc
    DCOM_SECURITY_UPDATED_FLAG คือ แฟล็กรีจิสทรีบริการภายในใบรับรองที่บ่งชี้ว่า การตั้งค่าการรักษาความปลอดภัย DCOM ได้ถูกปรับปรุงเสร็จเรียบร้อยแล้ว บริการตรวจสอบแฟล็กนี้ทุกครั้งที่ใบรับรองบริการใบรับรองเริ่มต้น คำสั่งก่อนหน้านี้ และตั้งค่าสถานะแล้ว หยุด และเริ่มต้นบริการใบรับรอง ลักษณะการทำงานนี้ทำให้บริการใบรับรองเพื่อปรับปรุงการตั้งค่าการรักษาความปลอดภัย DCOM อีกครั้ง
เหตุการณ์ต่อไปนี้อาจถูกบันทึกหลังจากที่คุณติดตั้ง Windows Server 2003 SP1

ข้อความเหตุการณ์ 1
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งของเหตุการณ์: ลงทะเบียนโดยอัตโนมัติ
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 13
วัน:วัน
เวลา:เวลา
ผู้ใช้: N/A
คอมพิวเตอร์: computer_name
คำอธิบาย: การลงทะเบียนใบรับรองอัตโนมัติสำหรับระบบภายในเครื่องล้มเหลวในการลงทะเบียนขอใบรับรองการจำลองแบบอีเมไดเรกทอรีหนึ่ง (0x80070005) การเข้าถึงถูกปฏิเสธ สำหรับข้อมูลเพิ่มเติม ดูที่ Help and Support Center ที่ http://support.microsoft.com
ข้อความเหตุการณ์ 2
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งของเหตุการณ์: ลงทะเบียนโดยอัตโนมัติ
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 13
วัน:วัน
เวลา:เวลา
ผู้ใช้: N/A
คอมพิวเตอร์: computer_name
คำอธิบาย: การลงทะเบียนใบรับรองอัตโนมัติสำหรับระบบภายในเครื่องล้มเหลวในการลงทะเบียนขอใบรับรองการรับรองความถูกต้องของเวิร์กสเตชันหนึ่ง (0x80070005) การเข้าถึงถูกปฏิเสธ สำหรับข้อมูลเพิ่มเติม ดูที่ Help and Support Center ที่ http://support.microsoft.com
เมื่อคุณด้วยตนเองร้องขอใบรับรอง โดยใช้สแน็ปอินใบรับรอง คุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
การร้องขอใบรับรองล้มเหลวเนื่องจากมีเงื่อนไขใด ๆ ต่อไปนี้: -การร้องขอใบรับรองถูกส่งเพื่อออกใบรับรองหน่วยงาน (CA) ที่ยังไม่เริ่มต้นขึ้น -คุณไม่มีสิทธิ์ที่จะร้องขอใบรับรองจาก CAs พร้อมใช้งาน
หมายเหตุ ถ้าเกิดข้อผิดพลาดเหล่านี้บนตัวควบคุมโดเมน เพิ่มกลุ่มตัวควบคุมโดเมนไปยังกลุ่ม CERTSVC_DCOM_ACCESS ตัวควบคุมโดเมนไม่ได้เป็นสมาชิกของกลุ่มส่วนกลางคอมพิวเตอร์โดเมน และจะไม่มีสิทธิ์เพียงพอ DCOM โดยค่าเริ่มต้น

ถ้าคุณเปลี่ยนการเป็นสมาชิกของกลุ่มที่จะรวมไว้ในกลุ่มของตัวควบคุมโดเมน คุณต้องรีสตาร์ตัวควบคุมโดเมนเพื่อสะท้อนการเปลี่ยนแปลง

การสนับสนุนด้านเทคนิคสำหรับ Microsoft Windows รุ่นที่ใช้ x64

ถ้าฮาร์ดแวร์ของคุณมาพร้อมกับ Microsoft Windows x64 รุ่นติดตั้งแล้ว ผู้ผลิตฮาร์ดแวร์ของคุณให้สนับสนุนทางเทคนิคและความช่วยเหลือสำหรับ Windows x64 edition ที่ ในกรณีนี้ ผู้ผลิตฮาร์ดแวร์ให้การสนับสนุนเนื่องจาก Windows x64 edition รวมอยู่กับฮาร์ดแวร์ของคุณ ผู้ผลิตฮาร์ดแวร์ของคุณอาจปรับแต่งติดตั้ง Windows x64 edition โดยใช้คอมโพเนนต์ที่ไม่ซ้ำกัน คอมโพเนนต์เฉพาะอาจรวมถึงโปรแกรมควบคุมอุปกรณ์เฉพาะ หรืออาจรวมถึงการตั้งค่าเพิ่มเติมเพื่อประสิทธิภาพการทำงานของฮาร์ดแวร์ให้มากที่สุด Microsoft จะให้ความช่วยเหลือของความพยายามที่เหมาะสมถ้าคุณต้องการความช่วยเหลือทางเทคนิคกับ Windows x64 รุ่น อย่างไรก็ตาม คุณอาจต้องติดต่อผู้ผลิตของคุณโดยตรง ผู้ผลิตของคุณมีคุณสมบัติเข้าเกณฑ์การสนับสนุนซอฟต์แวร์ที่ติดตั้งไว้บนฮาร์ดแวร์ดีที่สุด ถ้าคุณซื้อ Windows x64 รุ่นเช่น Microsoft Windows Server 2003 x64 edition ที่แยกจากกัน ติดต่อ Microsoft สำหรับการสนับสนุนทางเทคนิค

ข้อมูลผลิตภัณฑ์ที่เกี่ยวกับ Microsoft Windows XP Professional x64 Edition แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:ข้อมูลผลิตภัณฑ์ที่เกี่ยวกับ Microsoft Windows Server 2003 รุ่นที่ใช้ x64 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงการรักษาความปลอดภัยของ DCOM ที่จะนำมาใช้ ด้วย Windows Server 2003 SP1 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
คุณสมบัติ

รหัสบทความ: 903220 - การตรวจสอบครั้งสุดท้าย: 24 ก.พ. 2017 - ฉบับแก้ไข: 1

คำติชม