2008年(4)
分类: 系统运维
2008-04-03 09:34:30
机线资源DCOM配置相关问题处理
1. 防火墙问题
如果启用了防火墙,则客户端直接报无法连接服务器。如果确实不能关闭防火墙,可参考后文(未验证)
2. 无法连接服务器问题
客户端等待一分钟左右,报无法连接服务器,客户端系统日志中三次报“找不到与xx通信的任何协议”。
存在以下解决途径:
According to , this problem has been identified as an issue that affects Visual Basic 6.0 n-Tier applications that are using COM+ packages that have been exported as an "Application Proxy" and installed on a client "Citrix" server. The "Authenticated Users" group must be given the "Impersonate a client after authentication" user right. This can be achieved in Administrative Tools -> Local Security Policy -> Local Policies -> User Rights Assignment.
Without the right the "Services.exe" process (which runs the COM+/DCOM sub system) will start to eat up Non-Paged Pool memory until it is gone, causing the Server to quit responding. This error is logged to the system event log.
To resolve this issue, identify the user account that is used to run the AFS Packages, and then assign the "Impersonate a client after authentication" user right to that user account. To do this, follow these steps:
1. Click Start, point to Programs, point to Administrative Tools, and then click Local Security Policy.
2. Expand Local Policies, and then click User Rights Assignment.(本地用户权限)
3. In the right pane, double-click Impersonate a client after authentication.(认证后模拟客户端)
4. In the Local Security Policy Setting dialog box, click Add.
5. In the Select Users or Group dialog box, click the user account that you want to add, click Add, and then click OK. (Adding the user group "Authenticated Users" fixed our issue.
6. Click OK.
来源:
正常安装SP1后,一般不需要进行任何配置,但如果有问题,可以做如下操作(转自微软网站)
症状
安装 Microsoft Windows Server 2003 Service Pack 1 (SP1) 后,使用 DCOM 的程序不能正确运行。例如,如果安装 Windows Server 2003 SP1 的服务器也是备份服务器,则 Veritas Backup Exec 8.6 将停止运行且无法运行备份任务。
原因
由于更改了 Windows Server 2003 SP1 中的默认组件对象模型 (COM) 权限而出现此问题。新 COM 权限限制未验证的远程调用。COM 程序可以在本地运行,但是未验证的远程调用会失败。默认情况下,只有管理员组的成员拥有远程激活权限和启动权限。该更改防止不属于管理员组的用户帐户启动 COM 组件。
解决方案
首先必须确认遇到了此权限问题,然后才能按照本节中所描述的解决此问题的步骤操作。
确认遇到了此权限问题
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
通过启用 DCOM 错误日志记录,可以确认是否遇到了此权限问题。通过更改注册表,然后重新启动想要检查的 DCOM 进程,可以启用错误日志记录。要检查的 DCOM 进程决定是否需要重新启动计算机。若要启用 DCOM 错误日志记录功能,请按照下列步骤操作:
|
1. |
单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”。 |
|
2. |
找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole 注册表项。 |
|
3. |
右键单击“Ole”值,指向“新建”,然后单击“DWORD 值”。 |
|
4. |
键入 ActivationFailureLoggingLevel,然后按 Enter 键。双击“ActivationFailureLoggingLevel”,在“数值数据”框中键入 1,然后单击“确定”。 |
|
5. |
右键单击“Ole”值,指向“新建”,然后单击“DWORD 值”。 |
|
6. |
键入 CallFailureLoggingLevel,然后按 Enter 键。双击“CallFailureLoggingLevel”,在“数值数据”框中键入 1,然后单击“确定”。 |
|
7. |
重新启动 DCOM 程序,然后检查系统日志和应用程序日志是否有 DCOM 错误。 |
事件日志中的错误信息包含可用来帮助解决权限问题的信息。
通过将“ActivationFailureLoggingLevel”值和“CallFailureLoggingLevel”值更改为零可以禁用 DCOM 错误日志记录。
解决权限问题
如果确认遇到了权限问题,请通过以下步骤解决此权限问题:
|
1. |
单击“开始”,指向“管理工具”,然后单击“组件服务”。 |
|
2. |
展开“组件服务”\“计算机”容器。 |
|
3. |
右键单击“我的电脑”,然后单击“属性”。 |
|
4. |
在“COM 安全”选项卡上,单击“访问权限”区域或 “启动和激活权限”区域中的“编辑限制”。此区域取决于出现问题的位置。 |
|
5. |
单击事件日志错误中指定的帐户,然后对“远程访问”权限单击“允许”。 |
|
6. |
单击“确定”两次以接受更改。然后,尝试运行使用 DCOM 的程序。 |
安装 Windows XP SP2 后,客户端无法连接主机情形
安装 Microsoft Windows XP Service Pack 2 (SP2) 后,dcom不再起作用。 启动 WinFax Message Manager 后,出现指明 客户端无法连接主机的错误消息。
解释
该问题是由 SP2 新增的安全功能引起。 要防止出现错误消息并启用,请重新配置 Windows XP 安全设置以允许运行 Fax Sharing。
--------------------------------------------------------------------------------
注意:Service Pack 2 通过添加新的安全功能和禁止特定功能,增强了计算机的安全性。 以下过程通过解除某些功能的锁定来撤消某些 SP2 更改。 对于某些类型的计算机攻击,该过程将计算机的防漏洞性提高到 SP2 前的级别。 有关详细信息,请参阅本文档中的“技术信息”部分。
--------------------------------------------------------------------------------
重新配置 Windows XP 安全设置
要启用 Fax Sharing,请在主机上执行以下步骤,然后在客户机上重复 1-5 部分。请按给定顺序执行各部分。
第一部分:确保启用了 Windows 防火墙
在主机上,以具有管理员权限的用户身份登录。 如果已在主机上执行了 1-8 部分,则在客户机上登录。
从“开始”菜单,单击“设置”>“控制面板”。
如果使用经典视图,请双击 Windows 防火墙。 否则,单击“安全中心”,然后双击 Windows 防火墙。
选择“启用(推荐)”。
第二部分:将 WinFax Controller 程序添加到 Windows 防火墙特例列表中。
在“例外”选项卡上,单击“添加程序”。
选择 Controller。 “路径:”框显示以 Wfxctl32.exe 结尾的路径。
如果主机和客户端在同一网络(子网)上,则单击“更改范围”并选择“仅我的网络(子网)”。
单击“确定”,然后再次单击“确定”。
在“程序和服务”列表中,确保选择了 Controller 旁边的框。
单击“确定”,然后关闭 Windows“控制面板”。
第三部分:启用 RPC 和 DCOM 来通过防火墙启用远程管理通信
从“开始”菜单,选择“所有程序”>“附件”>“命令提示符”。
键入 netsh
键入 firewall
如果主机和客户端位于同一个子网,则键入:
set service REMOTEADMIN ENABLE SUBNET
否则,键入:
set service REMOTEADMIN ENABLE ALL
键入 show service 验证是否启用了“远程管理”。
键入 exit,然后再次键入 exit。
第四部分:使匿名登录用户具有对 COM 的计算机范围的远程访问权限
从“开始”菜单,单击“设置”>“控制面板”。
如果使用经典视图,请双击“管理工具”。 否则单击“性能和维护”,然后双击“管理工具”。
双击“组件服务”。
从“控制台根”,依次打开“组件服务”>“计算机”>“我的电脑”。
用鼠标右键单击“我的电脑”,然后单击“属性”。
在“我的电脑属性“对话框中的“COM 安全”选项卡上,单击“访问权限”组中的“编辑限制”。
在“访问权限”对话框中,选择“匿名登录”,并在“远程访问”项上选择“允许”。
单击“确定”,然后再次单击“确定”。
关闭“组件服务”窗口和“管理工具”窗口。
如果正在主机上执行这些步骤,请继续执行第五部分。否则,执行第七部分。
第六部分:使匿名登录用户具有对 COM 的计算机范围的远程激活访问权限
从“开始”菜单,单击“设置”>“控制面板”。
如果使用经典视图,请双击“管理工具”。 否则单击“性能和维护”,然后双击“管理工具”。
双击“组件服务”。
从“控制台根”,依次打开“组件服务”>“计算机”>“我的电脑”。
用鼠标右键单击“我的电脑”,然后单击“属性”。 该步骤会打开“我的电脑属性”对话框。
单击“COM 安全”选项卡。
在“启动和激活权限”组中,选择“编辑限制”。 .
在“启动权限”对话框中,单击“添加”,键入 ANONYMOUS LOGON 并单击“确定”。
选择“匿名登录”,并选择“远程激活”项上的“允许”。 应不选择其他所有框。
单击“确定”,然后再次单击“确定”。
关闭“组件服务”窗口和“管理工具”窗口。
第七部分:使匿名登录用户具有对 WinFax.Attachment DCOM 组件的远程激活访问权限
从“开始”菜单,单击“设置”>“控制面板”。
如果使用经典视图,请双击“管理工具”。 否则单击“性能和维护”,然后双击“管理工具”。
双击“组件服务”。
从“控制台根”,依次打开“组件服务”>“计算机”>“我的电脑”>“DCOM 配置”。
从该菜单,单击“查看”>“详细信息”。
从“DCOM 配置”列表,用鼠标右键单击 WinFax.Attachment,然后单击“属性”。
在“安全”选项卡上的“启动和激活权限”组中,选择“自定义”,然后单击“编辑”。
单击“添加”,键入 ANONYMOUS LOGON,然后单击“确定”。
选择“匿名登录”,并选择“远程激活”项上的“允许”。 应不选择其他所有框。
单击“确定”,然后再次单击“确定”。
关闭“组件服务”窗口和“管理工具”窗口。
第八部分:应用更改
重新启动计算机。
如果正在主机上执行这些步骤,请在客户机上重复 1-5 部分。 否则到此为止。 现已完成了所有步骤。 现在,Fax Sharing 应当能在客户端和主机间使用。
技术信息
有关特定的 SP2 更改及其对 WinFax Fax Sharing 的影响的说明
Fax Sharing 客户端因 SP2 安装打开了 Windows 防火墙(阻止客户端和主机之间的通信)而无法连接主机。 为解决该问题,本文档中介绍的过程将 Windows 防火墙配置为允许 WinFax 通信。 该过程将 WinFax 添加到 Windows 防火墙“程序和服务”特例列表中,将防火墙配置为允许 ICMP echo 请求和远程管理。
SP2 还更改了 Windows DCOM 文件。 这些更改使远程计算机上的程序无法与本地计算机上的同一程序通信,除非该通信使用了验证协议。 WinFax 不使用验证协议。 为解决该问题,本文档中介绍的过程禁用了引起该问题的 DCOM 更改。
有关 SP2 更改如何影响计算机安全的详细说明,请转至网页:Security Enhancements in Microsoft Windows XP Service Pack 2, article number 832490, 文章编号 832490
