46194
02.04.2007, aktualisiert am 12.04.2007
18961
2
0
DCOM und Domainsicherheit
Kein Zurgiff aus DCOM dienst von außerhalb der Domain
Hallo zusammen.
Ich versuche auf einen bestimmten Dienst zuzugreifen (OPC). Dieser Dienst läuft auf einem Windows Server 2003 (ohne Service Pack) in einer Windowsdomäne. Der Zugriff läuft über DCOM.
Solange über einen Domainbenutzer versucht wird auf diesen Dienst zuzugreifen funktioniert alles ohne Probleme (lokal, über Netzwerk, verschiedene Benutzer - alles kein Problem). Nun muss aber von einem nicht Domänenmitglied (genauer gesagt, der Computer befindet sich ein einer anderen Domäne) auf diesen besagen Dienst zugegriffen werden.
Bei dem Versuch zu verbinden, wird die Anmeldung aber immer mit folgender Meldung abgewiesen:
Nun habe ich zu den DCOM Berechtigungen für die entsprechende Anwendung auch schon ANONYMOUS-LOGON hinzugefügt (Start und Zugriffs Berechtigungen) - damit sollte meiner Meinung nach auch der Zugriff für nicht Domänenmitglieder gestattet werden. Leider funktioniertes trotzdem nicht.
Wenn ich die andere Domäne als "Trusted Domain" einrichte klappt es wieder (hab das auf einem Testsystem ausprobiert - ich echt ist dieses Vorgehen aber aus verschiedensten Gründen nicht möglich).
Alles in allem scheint mit das ganze ein Problem mit der Benutzeranmeldung und -authentifizierung zu sein (mal ganz scharf aus dem "Zugriff verweigert" kombiniert).
Meine Frage ist jetzt:
Gibt es gib es noch andere Möglichkeiten den DCOM Zugriff in einer Domäne einzustellen (Gruppenrichtlinie oder so) außer lokal über die Komponentenverwaltung?
Ich hoffe da hat einer Erfahrung mit.
Viele Grüße
Armin
Hallo zusammen.
Ich versuche auf einen bestimmten Dienst zuzugreifen (OPC). Dieser Dienst läuft auf einem Windows Server 2003 (ohne Service Pack) in einer Windowsdomäne. Der Zugriff läuft über DCOM.
Solange über einen Domainbenutzer versucht wird auf diesen Dienst zuzugreifen funktioniert alles ohne Probleme (lokal, über Netzwerk, verschiedene Benutzer - alles kein Problem). Nun muss aber von einem nicht Domänenmitglied (genauer gesagt, der Computer befindet sich ein einer anderen Domäne) auf diesen besagen Dienst zugegriffen werden.
Bei dem Versuch zu verbinden, wird die Anmeldung aber immer mit folgender Meldung abgewiesen:
Das COM-Objekt des Typs "System.__ComObject" kann nichtin den Schnittstellentyp "OpcRcw.Comn.IOPCServerList2"umgewandelt werden. Dieser Vorgang konnte nicht durchgeführtwerden, da der QueryInterface-Aufruf an die COM-Komponente fürdie Schnittstelle mit der IID "{9DD0B56C-AD9E-43EE-8305-487F3188BF7A}"aufgrund des folgenden Fehlers nicht durchgeführt werden konnte: Zugriff verweigert (Ausnahme von HRESULT: 0x80070005 (E_ACCESSDENIED))Nun habe ich zu den DCOM Berechtigungen für die entsprechende Anwendung auch schon ANONYMOUS-LOGON hinzugefügt (Start und Zugriffs Berechtigungen) - damit sollte meiner Meinung nach auch der Zugriff für nicht Domänenmitglieder gestattet werden. Leider funktioniertes trotzdem nicht.
Wenn ich die andere Domäne als "Trusted Domain" einrichte klappt es wieder (hab das auf einem Testsystem ausprobiert - ich echt ist dieses Vorgehen aber aus verschiedensten Gründen nicht möglich).
Alles in allem scheint mit das ganze ein Problem mit der Benutzeranmeldung und -authentifizierung zu sein (mal ganz scharf aus dem "Zugriff verweigert" kombiniert).
Meine Frage ist jetzt:
Gibt es gib es noch andere Möglichkeiten den DCOM Zugriff in einer Domäne einzustellen (Gruppenrichtlinie oder so) außer lokal über die Komponentenverwaltung?
Ich hoffe da hat einer Erfahrung mit.
Viele Grüße
Armin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55619
Url: https://administrator.de/contentid/55619
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
ANONYMOUS ist nicht gleich Benutzer aus anderer Domäne.
Funktionieren sollte der Eintrag von EVERYONE (oder JEDER) in den Zugriffsberechtigungen des OPC-Servers.
Ich hatte das selbe Problem, da sollte ein Workgroup-User auf einen Domänen-OPC zugreifen. Ich hab das dann gelöst, indem ich den Workgroup-User nochmal lokal auf dem Server angelegt habe (mit dem selben Passwort).
mfG
Stefan
EDIT: Probier auch mal aus, auf dem Client-Rechner in der DCOM-Einstellung vom OPC-Server
unter IDENTITÄT den Domänen-User vom Server einzutragen.
ANONYMOUS ist nicht gleich Benutzer aus anderer Domäne.
Funktionieren sollte der Eintrag von EVERYONE (oder JEDER) in den Zugriffsberechtigungen des OPC-Servers.
Ich hatte das selbe Problem, da sollte ein Workgroup-User auf einen Domänen-OPC zugreifen. Ich hab das dann gelöst, indem ich den Workgroup-User nochmal lokal auf dem Server angelegt habe (mit dem selben Passwort).
mfG
Stefan
EDIT: Probier auch mal aus, auf dem Client-Rechner in der DCOM-Einstellung vom OPC-Server
unter IDENTITÄT den Domänen-User vom Server einzutragen.
Also um das Problem zu lösen, habe ich das lokal Gastkonto aktiviert. Damit gehts.
Da das aber quasi Anmeldungen von jedem ermöglicht, habe ich mal den Vorschlag mit dem lokalem Benutzer, der die gleichen Daten benutzt wie der fremde Computer genutzt.
Hab auch ausprobiert einfach auf beidem Computern ein lokales Konto anzulegen und der OPC Client wird dann mit "Run As.. " gestartet. Geht auch super, allerdings kann der Benutzer (bzw. das Programm was ja nun unter einem anderen Benutzer läft) dann nicht mehr im Netzwerk speichern (hat natürluch keine Zugriffrechte - und würde auch keine bekommen wenn man nachfragt ob welche eingerichtet werden könnten ...).
Da das aber quasi Anmeldungen von jedem ermöglicht, habe ich mal den Vorschlag mit dem lokalem Benutzer, der die gleichen Daten benutzt wie der fremde Computer genutzt.
Hab auch ausprobiert einfach auf beidem Computern ein lokales Konto anzulegen und der OPC Client wird dann mit "Run As.. " gestartet. Geht auch super, allerdings kann der Benutzer (bzw. das Programm was ja nun unter einem anderen Benutzer läft) dann nicht mehr im Netzwerk speichern (hat natürluch keine Zugriffrechte - und würde auch keine bekommen wenn man nachfragt ob welche eingerichtet werden könnten ...).
