DCOM跨IP網段,跨域,工作組與域混合訪問,匿名登錄與命名登錄驗證解決方案
本主題涉及到WINDOW NT的域安全管理機制,WINDOWS 9X的安全管理機制,IP防火墻與路由尋徑。
跨IP網段
DCOM在底層技術上使用的是RPC/WINSOCK,WINSOCK的與通訊協議的無關性,造就了DCOM的網絡協議無關性。如果配置了多個協議,DCOM 將按照它們在 DCOM 協議列表中出現的順序嘗試使用這些協議。兩個跨IP網段的DCOM之間通訊,必須手工設置網關路由路徑。有關詳細設置,請查看附錄兩篇技術資料:NT Server 4.0 做靜態路由器和Win 2000路由的安裝與設置
如何通過防火墻驗證
如果你是采用Internet做兩個Lan的互連,并且需要通過防火墻,就需閱讀以下資料:
COM Internet 服務 (CIS) 最初是在 Windows NT 4.0 Service Pack 4 中發布的,它提供的附加支持,使得由于服務器端或客戶網絡上的代理服務器設置了防火墻而令其他協議無法使用時,DCOM 仍然能夠通過 Internet(使用 HTTP)使用。
因為DCOM在1024-65535這樣一個范圍內動態地選擇網絡端口,而在這個范圍內,Internet-to-intranet網絡通信實際上是不被允許的,此外,防火墻經常被設置成限制接入135口,DCOM要依靠這個端口來提供多種服務
通道型TCP協議在每一次DCOM連接的開始時引入了一次專門的握手,這使得其可以通過大多數的防火墻和代理。握手之后,電信協議就是簡單的TCP上的DCOM。
在DCOMCNFG中為服務器和應用程序設置NONE的驗證級別為默認值。
在注冊表中作以下改變:
HKLM/Software/Microsoft/Rpc/Internet
PortsInternetAvailable="Y"
UseInternetPorts="Y"
Ports="3000-4000"
在防火墻中開放135以上端口。
禁止IP地址翻譯。
Windows NT 4.0 CIS 設置
對于 Windows NT 4.0,CIS 需要在 Windows NT Workstation 4.0 或 Windows NT Server 4.0 的計算機中安裝 SP5。要啟用 CIS,您需要將 “通道 TCP”協議添加到 DCOM 協議列表中。 您可以通過 運行 DCOMCNFG 來修改協議列表:
1. 選擇“默認協議”選項卡。
2. 使用“添加”按鈕添加“Tunneling TCP/IP”。
3. 重啟動系統,使更改生效。 如果配置了多種協議,DCOM 將按照協議在 DCOM 協議列表中出現的 順序使用。 CIS 也要求運行 Internet Information Server 4.0 (包括 Internet Service Manager)。IIS 4.0 是 Windows NT 4.0 Option Pack 的部件。
代理服務器注意事項
如果您的客戶通過代理服務器訪問,則需要確保:
將代理服務器配置為啟用 HTTP CONNECT,端口 為 80。
正確配置客戶計算機,讓其使用代理服務器訪問 World Wide Web。
跨域模式
如果采用NETBEUI通訊協議,必須兩個域之間是互相信任關系。客戶端的DCOM使用的網絡協議的選擇最好與中間層DCOM的使用的網絡協議一致,否則有不可通訊或調用速度慢的現象。
如果在同一個網段或域[工作組]互相信任還不能DCOM調用,請檢查中間層服務器的DCOM連接設置[默認屬性],嘗試默認身份驗證級為:[無],默認模擬級為:[匿名]
運行DCOMCNFG,選擇"默認安全屬性"頁,點擊"編輯默認配置"按鈕。在"允許存取"對話框中,將存取權限指配給任何有可能連接服務器應用程序的用戶。通常而言,存取權限被指配給"全局"。
在NT系統中,需要指配給"Everyone(所有人)"。
選擇應用程序,點擊"屬性"按鈕。在Indentity頁,選擇"交互的用戶"。也可以指定一個將被允許連接NT系統的用戶。
設置NT機器的Guest賬戶為有效(在用戶管理中)。高亮顯示Guest賬戶,選擇菜單項"User|Properties"。清除題為"Account Disabled"的選擇框。
其他知識
‘默認的身份驗證級別’中‘連接’的意思代表‘只在客戶端第一次連結應用程序服務器時檢查客戶端的權限’。
‘默認的模擬級別’中‘識別’的意義為‘在這種模式下,服務端可以取得連結的客
戶端的權限信息,但是服務端無法以連結的客戶端的權限存取系統對象’。當其設為‘模
擬’時,表明‘服務端可以取得連結的客戶端的權限信息,并且能夠以連結的客戶端的權
限存取系統對象’。
在默認屬性頁中,還有一個‘為跟蹤引用提供附加的安全性’的選項。這個設置可以
讓應用程序服務器使用COM/DCOM的回叫機制以保持COM/DCOM中遠程調用參考計數值
(reference count)的正確性,以避免客戶端應用程序惡意的調用應用服務器并且斷線。
選中這個選項可以讓應用程序服務器有效的管理其生命周期,但是也會減緩應用程序服務
執行的速度。
在NT中的一些配置也極其相似。但要理解以下的概念
激活控制:就是指哪些用戶可以激活應用程序服務器。當客戶端應用程序執行并且試
著在遠程機器之中激活應用程序服務器時,COM/DCOM的安全機制會檢查這個客戶端應用程
序登錄的用戶是否有權限中以激活應用程序。
存取控制:指當應用程序服務器由適當的用戶激活后,哪些用戶可以存取應用程序服務
器所提供的服務。此外,一個應用程序服務器可以提供數種不同的服務,取存控制能夠限
定特定的用戶進行特定的操作
認證控制:是指在數據進行傳遞時,數據是否加密
鑒定控制:是指應用程序服務器的權限。即指在服務器上登陸的用戶,他所執行的應用
程序服務器所存取的資源是否在他的權限范圍之內。
|
|
資源大小:86.01 KB 
