Partager via


匿名远程访问COM+应用时被拒绝访问的问题

 

有个客户在一个Win2k3的域下建立了一个COM+应用服务器,而客户端是一个工作组机器。

为了重现这个场景,我们按照以下的方式,允许以匿名的方式访问调用COM+应用:如何以匿名方式远程调用COM+,但还是在客户端出现了拒绝访问的错误。

在网络监视器中显示了拒绝访问错误(status=0x5)被返回到服务端。

客户用很多客户端在远程调用这个COM+应用,不能把它们全添加到这个域里。

我们通过以下方式进行一个快速的测试:

1.在两台机器上创建相同的用户名和密码。将COM+认证从“交互用户(Interactive User)”改变为这个测试账号。

2.在COM+应用服务器端,启用机器上的安全日志。在本地安全策略->本地策略->审计策略下,启用账号登录事件和登录事件的错误审计

在一个域控制器替代本地安全策略的情况下,我们需要检查域控制器安全策略。之后做一个”gpupdate /force”。做这个就是为了确保在安全日志里生成合适的事件日志项。

3.重演一遍这个问题,发现安全日志里有这个类型的错误:

Event Type: Failure AuditEvent Source: SecurityEvent Category: Logon/Logoff Event ID: 534Description:Logon Failure:Reason: The user has not been granted the requestedlogon type at this machineUser Name: Domain Test User accountLogon Type: 8Logon Process: Advapi

 

 

 

 

 

 

这里的登陆类型(Logon Type)8表示“通过网络访问此电脑”的用户权限被禁止。

4.检查Win2K3域,发现客户未被赋予普通域用户“通过网络访问此电脑”的权限。

为了修正这个错误,我们在域控制器(DC)上创建了一个测试组织单位(OU),并将这个COM+应用服务器移到测试组织单位(OU)中,确保应用于此的域组策略没有定义“通过网络访问此电脑”的用户权限。然后在这个COM+应用服务器中,打开GPEDIT.MSC,进入本地安全策略->本地策略->用户权限,给所有人(everyone)“通过网络访问此电脑”的权限。

这个方案最终可以运行正常的。

Freist from APGC DSI Team