DCOM跨IP網(wǎng)段,跨域,工作組與域混合訪問,匿名登錄與命名登錄驗證解決方案
本主題涉及到WINDOW NT的域安全管理機(jī)制,WINDOWS 9X的安全管理機(jī)制,IP防火墻與路由尋徑。
跨IP網(wǎng)段
DCOM在底層技術(shù)上使用的是RPC/WINSOCK,WINSOCK的與通訊協(xié)議的無關(guān)性,造就了DCOM的網(wǎng)絡(luò)協(xié)議無關(guān)性。如果配置了多個協(xié)議,DCOM 將按照它們在 DCOM 協(xié)議列表中出現(xiàn)的順序嘗試使用這些協(xié)議。兩個跨IP網(wǎng)段的DCOM之間通訊,必須手工設(shè)置網(wǎng)關(guān)路由路徑。有關(guān)詳細(xì)設(shè)置,請查看附錄兩篇技術(shù)資料:NT Server 4.0 做靜態(tài)路由器和Win 2000路由的安裝與設(shè)置
如何通過防火墻驗證
如果你是采用Internet做兩個Lan的互連,并且需要通過防火墻,就需閱讀以下資料:
COM Internet 服務(wù) (CIS) 最初是在 Windows NT 4.0 Service Pack 4 中發(fā)布的,它提供的附加支持,使得由于服務(wù)器端或客戶網(wǎng)絡(luò)上的代理服務(wù)器設(shè)置了防火墻而令其他協(xié)議無法使用時,DCOM 仍然能夠通過 Internet(使用 HTTP)使用。
因為DCOM在1024-65535這樣一個范圍內(nèi)動態(tài)地選擇網(wǎng)絡(luò)端口,而在這個范圍內(nèi),Internet-to-intranet網(wǎng)絡(luò)通信實際上是不被允許的,此外,防火墻經(jīng)常被設(shè)置成限制接入135口,DCOM要依靠這個端口來提供多種服務(wù)
通道型TCP協(xié)議在每一次DCOM連接的開始時引入了一次專門的握手,這使得其可以通過大多數(shù)的防火墻和代理。握手之后,電信協(xié)議就是簡單的TCP上的DCOM。
在DCOMCNFG中為服務(wù)器和應(yīng)用程序設(shè)置NONE的驗證級別為默認(rèn)值。
在注冊表中作以下改變:
HKLM/Software/Microsoft/Rpc/Internet
PortsInternetAvailable="Y"
UseInternetPorts="Y"
Ports="3000-4000"
在防火墻中開放135以上端口。
禁止IP地址翻譯。
Windows NT 4.0 CIS 設(shè)置
對于 Windows NT 4.0,CIS 需要在 Windows NT Workstation 4.0 或 Windows NT Server 4.0 的計算機(jī)中安裝 SP5。要啟用 CIS,您需要將 “通道 TCP”協(xié)議添加到 DCOM 協(xié)議列表中。 您可以通過 運行 DCOMCNFG 來修改協(xié)議列表:
1. 選擇“默認(rèn)協(xié)議”選項卡。
2. 使用“添加”按鈕添加“Tunneling TCP/IP”。
3. 重啟動系統(tǒng),使更改生效。 如果配置了多種協(xié)議,DCOM 將按照協(xié)議在 DCOM 協(xié)議列表中出現(xiàn)的 順序使用。 CIS 也要求運行 Internet Information Server 4.0 (包括 Internet Service Manager)。IIS 4.0 是 Windows NT 4.0 Option Pack 的部件。
代理服務(wù)器注意事項
如果您的客戶通過代理服務(wù)器訪問,則需要確保:
將代理服務(wù)器配置為啟用 HTTP CONNECT,端口 為 80。
正確配置客戶計算機(jī),讓其使用代理服務(wù)器訪問 World Wide Web。
跨域模式
如果采用NETBEUI通訊協(xié)議,必須兩個域之間是互相信任關(guān)系。客戶端的DCOM使用的網(wǎng)絡(luò)協(xié)議的選擇最好與中間層DCOM的使用的網(wǎng)絡(luò)協(xié)議一致,否則有不可通訊或調(diào)用速度慢的現(xiàn)象。
如果在同一個網(wǎng)段或域[工作組]互相信任還不能DCOM調(diào)用,請檢查中間層服務(wù)器的DCOM連接設(shè)置[默認(rèn)屬性],嘗試默認(rèn)身份驗證級為:[無],默認(rèn)模擬級為:[匿名]
運行DCOMCNFG,選擇"默認(rèn)安全屬性"頁,點擊"編輯默認(rèn)配置"按鈕。在"允許存取"對話框中,將存取權(quán)限指配給任何有可能連接服務(wù)器應(yīng)用程序的用戶。通常而言,存取權(quán)限被指配給"全局"。
在NT系統(tǒng)中,需要指配給"Everyone(所有人)"。
選擇應(yīng)用程序,點擊"屬性"按鈕。在Indentity頁,選擇"交互的用戶"。也可以指定一個將被允許連接NT系統(tǒng)的用戶。
設(shè)置NT機(jī)器的Guest賬戶為有效(在用戶管理中)。高亮顯示Guest賬戶,選擇菜單項"User|Properties"。清除題為"Account Disabled"的選擇框。
其他知識
‘默認(rèn)的身份驗證級別’中‘連接’的意思代表‘只在客戶端第一次連結(jié)應(yīng)用程序服務(wù)器時檢查客戶端的權(quán)限’。
‘默認(rèn)的模擬級別’中‘識別’的意義為‘在這種模式下,服務(wù)端可以取得連結(jié)的客
戶端的權(quán)限信息,但是服務(wù)端無法以連結(jié)的客戶端的權(quán)限存取系統(tǒng)對象’。當(dāng)其設(shè)為‘模
擬’時,表明‘服務(wù)端可以取得連結(jié)的客戶端的權(quán)限信息,并且能夠以連結(jié)的客戶端的權(quán)
限存取系統(tǒng)對象’。
在默認(rèn)屬性頁中,還有一個‘為跟蹤引用提供附加的安全性’的選項。這個設(shè)置可以
讓應(yīng)用程序服務(wù)器使用COM/DCOM的回叫機(jī)制以保持COM/DCOM中遠(yuǎn)程調(diào)用參考計數(shù)值
(reference count)的正確性,以避免客戶端應(yīng)用程序惡意的調(diào)用應(yīng)用服務(wù)器并且斷線。
選中這個選項可以讓應(yīng)用程序服務(wù)器有效的管理其生命周期,但是也會減緩應(yīng)用程序服務(wù)
執(zhí)行的速度。
在NT中的一些配置也極其相似。但要理解以下的概念
激活控制:就是指哪些用戶可以激活應(yīng)用程序服務(wù)器。當(dāng)客戶端應(yīng)用程序執(zhí)行并且試
著在遠(yuǎn)程機(jī)器之中激活應(yīng)用程序服務(wù)器時,COM/DCOM的安全機(jī)制會檢查這個客戶端應(yīng)用程
序登錄的用戶是否有權(quán)限中以激活應(yīng)用程序。
存取控制:指當(dāng)應(yīng)用程序服務(wù)器由適當(dāng)?shù)挠脩艏せ詈螅男┯脩艨梢源嫒?yīng)用程序服務(wù)
器所提供的服務(wù)。此外,一個應(yīng)用程序服務(wù)器可以提供數(shù)種不同的服務(wù),取存控制能夠限
定特定的用戶進(jìn)行特定的操作
認(rèn)證控制:是指在數(shù)據(jù)進(jìn)行傳遞時,數(shù)據(jù)是否加密
鑒定控制:是指應(yīng)用程序服務(wù)器的權(quán)限。即指在服務(wù)器上登陸的用戶,他所執(zhí)行的應(yīng)用
程序服務(wù)器所存取的資源是否在他的權(quán)限范圍之內(nèi)。
|
|
資源大小:86.01 KB 
