匿名远程访问COM+应用时被拒绝访问的问题

  有个客户在一个Win2k3的域下建立了一个COM+应用服务器,而客户端是一个工作组机器。 为了重现这个场景,我们按照以下的方式,允许以匿名的方式访问调用COM+应用:如何以匿名方式远程调用COM+,但还是在客户端出现了拒绝访问的错误。 在网络监视器中显示了拒绝访问错误(status=0x5)被返回到服务端。 客户用很多客户端在远程调用这个COM+应用,不能把它们全添加到这个域里。 我们通过以下方式进行一个快速的测试: 1.在两台机器上创建相同的用户名和密码。将COM+认证从“交互用户(Interactive User)”改变为这个测试账号。 2.在COM+应用服务器端,启用机器上的安全日志。在本地安全策略->本地策略->审计策略下,启用账号登录事件和登录事件的错误审计 在一个域控制器替代本地安全策略的情况下,我们需要检查域控制器安全策略。之后做一个”gpupdate /force”。做这个就是为了确保在安全日志里生成合适的事件日志项。 3.重演一遍这个问题,发现安全日志里有这个类型的错误: Event Type: Failure AuditEvent Source: SecurityEvent Category: Logon/Logoff Event ID: 534Description:Logon Failure:Reason: The user has not been granted the requestedlogon type at this machineUser Name: Domain Test User accountLogon Type: 8Logon Process: Advapi             这里的登陆类型(Logon Type)8表示“通过网络访问此电脑”的用户权限被禁止。 4.检查Win2K3域,发现客户未被赋予普通域用户“通过网络访问此电脑”的权限。 为了修正这个错误,我们在域控制器(DC)上创建了一个测试组织单位(OU),并将这个COM+应用服务器移到测试组织单位(OU)中,确保应用于此的域组策略没有定义“通过网络访问此电脑”的用户权限。然后在这个COM+应用服务器中,打开GPEDIT.MSC,进入本地安全策略->本地策略->用户权限,给所有人(everyone)“通过网络访问此电脑”的权限。…


如何解决组件服务中的“红色箭头”问题

  在分布式环境中,当调用DCOM组件或者COM+应用程序出现问题时,我们第一件需要做的事是打开Components Manager来检查或者重新设置COM+/DCOM参数。然而,当打开Component Services的时候,可能会有一个”红色箭头”出现在”My Computer”节点上:     如果我们试图展开”My Computer”节点,可能会显示多个错误信息。为了解决这种问题,我们可以参照以下Check list,这样大多数常见的问题都可以得到解决:  1. 确保MSDTC服务处于Started状态;   2. 确保Users 用户组拥有注册表HKEY_CLASSES_ROOT\CLSID子键的Read权限。如果 Users group没有这样的权限,COM+系统应用程序服务可能无法正常启动,并导致”红色箭头”问题。可以参阅以下步骤来赋予Users 用户组相应权限(请在操作前备份HKEY_CLASSES_ROOT\CLSID): a. 打开 Regedt32,找到HKEY_CLASSES_ROOT\CLSID; b. 选择CLSID,点击菜单栏中的Security -> Permission; c. 在Security选项卡中,添加Users到允许列表中,并赋予Read权限。 d. 单击Advanced按钮,选中”Replace permissions entries on all child objects with entries shown here that apply to child objects”,之后单击”Apply”。 3. 确保用户Everyone对C:\Windows\Registration及其子对象拥有阅读权限,可以使用命令”cacls”来配置,具体请参阅: 909444  You may experience various problems after you install…