Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Hinweis für Zugriffsprobleme nach der Installation von SP1 für Windows Server 2003

Mitglied: fritzo

fritzo (Level 2) - Jetzt verbinden

11.04.2005, aktualisiert 14.04.2005, 12065 Aufrufe, 3 Kommentare

Microsoft listet in den Release Notes zum SP1 für Windows Server 2003 wichtige Hinweise bezüglich Änderungen in DCOM auf. Falls nach der Installation von SP1 für Windows Server 2003 Probleme beim Remotezugriff auftreten sollten (Dienste nicht erreichbar, Benutzer haben keinen Zugriff auf Anwendungen etc.), so sollte man bei der Fehleranalyse DCOM berücksichtigen:

Die Release Notes sind <a href="http://support.microsoft.com/?scid=kb%3Ben-us%3B889101&x=12&y=1 ..." verfügbar</a>. In den Notes wird darauf hingewiesen, daß die DCOM-Konfiguration bei der Installation von SP1 abgeändert wird, um sie entsprechend härten zu können. Die Änderungen sind hier auch im Detail beschrieben. Wenn also nach der Installation massive Probleme im Hinblick auf den Remote-Zugriff auftreten, so sollte man die <a href="http://support.microsoft.com/?scid=kb%3Ben-us%3B889101&x=12&y=1 ..." Notes</a> noch einmal genau lesen und ggfs. die für DCOM eingestellten Rechte mit der MMC-Konsole dcomcnfg.msc überprüfen.

Hier ein die DCOM-Komponenten betreffender Auszug aus den Release Notes (Quelle: <a href="http://support.microsoft.com/?scid=kb%3Ben-us%3B889101&x=12&y=1 ..."):

Security Certificate Services: Effects of security enhancements to the DCOM protocol
Windows Server 2003 SP1 introduces enhanced default security settings for the DCOM protocol. Specifically, SP1 introduces more precise rights that give an administrator independent control over local and remote permissions for launching, activating, and accessing COM servers.

Windows Server 2003 Certificate Services provides enrollment and administration services by using the DCOM protocol. Certificate Services provides several DCOM interfaces to make these services available. For correct access and usage of these services, Certificate Services assumes that its DCOM interfaces are set to permit remote activation and access permissions. However, because of the enhanced default security settings for DCOM that are introduced by SP1, you may have to update these security settings to make sure of the continued availability of these services after you install SP1. The following information explains how to do this.

By default, all DCOM interfaces in Windows Server 2003 SP1 are configured to grant remote access permissions, remote launch permissions, and remote activation permissions only to administrators. However, when you upgrade to Windows Server 2003 SP1, security configuration changes are made to the global DCOM interface and to the CertSrv Request DCOM interface. These changes are made to enable Certificate Services to work correctly.

Note that any changes that have been made to the CertSrv Request DCOM interface security settings before the installation of SP1 will be lost. The SP1 installation procedure resets all previous security settings in the CertSrv Request DCOM interface to their default settings.

During the SP1 installation process, Certificate Services automatically updates the DCOM security settings as follows:
? CertSrv Request DCOM interface:
? The Everyone security group is granted local and remote access permissions.
? The Everyone security group is granted local and remote activation permissions.
? The Everyone security group is not granted local or remote launch permissions.
? DCOM Computer Restriction Settings:
? A new security group, CERTSVC_DCOM_ACCESS, is automatically created.

If the certification authority is installed on a member server, CERTSVC_DCOM_ACCESS is a computer local group, and the Everyone security group is added to it.

If the certification authority is installed on a domain controller, CERTSVC_DCOM_ACCESS is a domain local group. The Domain Users security group and the Domain Computers security group from the certification authority's domain are added to it.
? The CERTSVC_DCOM_ACCESS security group is granted local and remote access permissions.
? The CERTSVC_DCOM_ACCESS security group is granted local and remote activation permissions.
? The CERTSVC_DCOM_ACCESS security group is not granted local or remote launch permissions.
Note that if the certification authority is installed on a domain controller, and the enterprise is made up of more than one domain, Certificate Services cannot automatically update the DCOM security settings for enrollees from outside the certification authority's domain. Therefore, these enrollees will be denied enroll access to the certification authority.

To resolve this issue, you must manually add the users to the CERTSVC_DCOM_ACCESS security group. Because the CERTSVC_DCOM_ACCESS security group is a domain local group, you can add only domain groups to it. For example, if users and computers from another domain, a domain named Contoso, have to enroll with the certification authority, you must manually add the Contoso\Domain Users group and the Contoso\Domain Computers group to the CERTSVC_DCOM_ACCESS security group.

If any enrollees that should be authorized by the certification authority are denied authorization after the installation of SP1, you can have Certificate Services update the DCOM security settings again. To do this, run the following commands at the command prompt in the following order. Press ENTER after each command.
1. certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
2. net stop certsvc
3. net start certsvc
The DCOM_SECURITY_UPDATED_FLAG is an internal Certificate Services registry flag that indicates that the DCOM security settings were updated completely and successfully. Certificate Services checks this flag every time that it is started. The commands in the previous list reset the flag and then stop and start Certificate Services, causing it to update the DCOM security settings again.
Quelle: <a href="http://support.microsoft.com/?scid=kb%3Ben-us%3B889101&x=12&y=1 ..."

Grüße,
fritzo
Mitglied: Atti58
11.04.2005 um 22:22 Uhr
@fritzo

Bisher (2 "unwichtige" Server gepatched) habe ich noch keine Probs erkennen können, habe mir Deinen Post aber mal prophylaktisch zu den Favoriten genommen - was nicht ist, kann ja noch werden ...

Gruß

Atti
Bitte warten ..
Mitglied: fritzo
11.04.2005 um 22:37 Uhr
@Atti

Ich habe auch schon ein paar Testserver gepatched, von sechs Servern hatte einer Probleme betreffend DCOM - dieser war allerdings gehärtet (Testserver auf VMBox mit ISA 2004) und dementsprechend verbogen. Ich habe auch etliche Postings zu Problemen in Foren gelesen - die meisten Probleme traten allerdings beim SBS auf, was ja jetzt auch dazu geführt hat, daß MS das SP1-Update für den SBS wieder rausgenommen hat.

Grüße,
Arne (fritzo)
Bitte warten ..
Mitglied: fritzo
14.04.2005 um 15:35 Uhr
Weitere Hinweise zum Nachschlagen:

Der sehr nützliche <a href="http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicep ..." Product Overview</a>, der alle Änderungen beinhaltet.

Grüße,
fritzo
Bitte warten ..
Ähnliche Inhalte
Windows Server
SMB Zugriffsprobleme Server 2016 von Macs aus
gelöst Frage von d3x1984Windows Server2 Kommentare

Hi zusammen, habe ein ziemlich "beliebtes" Thema. Ich habe 2 Macs die auf SMB Freigaben eines Server 2016 zugreifen ...

Exchange Server
Installation von MS Exchange 2013 SP1 auf einem Windows Server 2008 R2
Frage von oxyfempleExchange Server2 Kommentare

Hallo, ich bekomme bei der Installation des neuen Exchange Servers folgende Fehlermeldung: Fehler: Der folgende Fehler wurde generiert, als ...

Suse
SLES 11 SP1 Software Installation
Frage von BeamUpSuse10 Kommentare

Hallo ich bräuchte ein bisschen Hilfe hinsichtlich der Frage : wie installiert man software bei dem SLES 11ich bin ...

Windows Installation
Windows Server 2003 Installation schlägt fehl
gelöst Frage von CubeTeaWindows Installation21 Kommentare

Hallo, Ich habe eine Frage und zwar versuche ich Windows Server 2003 zu installieren, jedoch schlägt dies immer fehl ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...