DCOM跨IP网段,跨域,工作组与域混合访问,匿名登录与命名登录验证解决方案
本主题涉及到WINDOW NT的域安全管理机制,WINDOWS 9X的安全管理机制,IP防火墙与路由寻径。
跨IP网段
DCOM在底层技术上使用的是RPC/WINSOCK,WINSOCK的与通讯协议的无关性,造就了DCOM的网络协议无关性。如果配置了多个协议,DCOM 将按照它们在 DCOM 协议列表中出现的顺序尝试使用这些协议。两个跨IP网段的DCOM之间通讯,必须手工设置网关路由路径。有关详细设置,请查看附录两篇技术资料:NT Server 4.0 做静态路由器和Win 2000路由的安装与设置
如何通过防火墙验证
如果你是采用Internet做两个Lan的互连,并且需要通过防火墙,就需阅读以下资料:
COM Internet 服务 (CIS) 最初是在 Windows NT 4.0 Service Pack 4 中发布的,它提供的附加支持,使得由于服务器端或客户网络上的代理服务器设置了防火墙而令其他协议无法使用时,DCOM 仍然能够通过 Internet(使用 HTTP)使用。
因为DCOM在1024-65535这样一个范围内动态地选择网络端口,而在这个范围内,Internet-to-intranet网络通信实际上是不被允许的,此外,防火墙经常被设置成限制接入135口,DCOM要依靠这个端口来提供多种服务
通道型TCP协议在每一次DCOM连接的开始时引入了一次专门的握手,这使得其可以通过大多数的防火墙和代理。握手之后,电信协议就是简单的TCP上的DCOM。
在DCOMCNFG中为服务器和应用程序设置NONE的验证级别为默认值。
在注册表中作以下改变:
HKLM/Software/Microsoft/Rpc/Internet
PortsInternetAvailable="Y"
UseInternetPorts="Y"
Ports="3000-4000"
在防火墙中开放135以上端口。
禁止IP地址翻译。
Windows NT 4.0 CIS 设置
对于 Windows NT 4.0,CIS 需要在 Windows NT Workstation 4.0 或 Windows NT Server 4.0 的计算机中安装 SP5。要启用 CIS,您需要将 “通道 TCP”协议添加到 DCOM 协议列表中。 您可以通过 运行 DCOMCNFG 来修改协议列表:
1. 选择“默认协议”选项卡。
2. 使用“添加”按钮添加“Tunneling TCP/IP”。
3. 重启动系统,使更改生效。 如果配置了多种协议,DCOM 将按照协议在 DCOM 协议列表中出现的 顺序使用。 CIS 也要求运行 Internet Information Server 4.0 (包括 Internet Service Manager)。IIS 4.0 是 Windows NT 4.0 Option Pack 的部件。
代理服务器注意事项
如果您的客户通过代理服务器访问,则需要确保:
将代理服务器配置为启用 HTTP CONNECT,端口 为 80。
正确配置客户计算机,让其使用代理服务器访问 World Wide Web。
跨域模式
如果采用NETBEUI通讯协议,必须两个域之间是互相信任关系。客户端的DCOM使用的网络协议的选择最好与中间层DCOM的使用的网络协议一致,否则有不可通讯或调用速度慢的现象。
如果在同一个网段或域[工作组]互相信任还不能DCOM调用,请检查中间层服务器的DCOM连接设置[默认属性],尝试默认身份验证级为:[无],默认模拟级为:[匿名]
运行DCOMCNFG,选择"默认安全属性"页,点击"编辑默认配置"按钮。在"允许存取"对话框中,将存取权限指配给任何有可能连接服务器应用程序的用户。通常而言,存取权限被指配给"全局"。
在NT系统中,需要指配给"Everyone(所有人)"。
选择应用程序,点击"属性"按钮。在Indentity页,选择"交互的用户"。也可以指定一个将被允许连接NT系统的用户。
设置NT机器的Guest账户为有效(在用户管理中)。高亮显示Guest账户,选择菜单项"User|Properties"。清除题为"Account Disabled"的选择框。
其他知识
‘默认的身份验证级别’中‘连接’的意思代表‘只在客户端第一次连结应用程序服务器时检查客户端的权限’。
‘默认的模拟级别’中‘识别’的意义为‘在这种模式下,服务端可以取得连结的客
户端的权限信息,但是服务端无法以连结的客户端的权限存取系统对象’。当其设为‘模
拟’时,表明‘服务端可以取得连结的客户端的权限信息,并且能够以连结的客户端的权
限存取系统对象’。
在默认属性页中,还有一个‘为跟踪引用提供附加的安全性’的选项。这个设置可以
让应用程序服务器使用COM/DCOM的回叫机制以保持COM/DCOM中远程调用参考计数值
(reference count)的正确性,以避免客户端应用程序恶意的调用应用服务器并且断线。
选中这个选项可以让应用程序服务器有效的管理其生命周期,但是也会减缓应用程序服务
执行的速度。
在NT中的一些配置也极其相似。但要理解以下的概念
激活控制:就是指哪些用户可以激活应用程序服务器。当客户端应用程序执行并且试
着在远程机器之中激活应用程序服务器时,COM/DCOM的安全机制会检查这个客户端应用程
序登录的用户是否有权限中以激活应用程序。
存取控制:指当应用程序服务器由适当的用户激活后,哪些用户可以存取应用程序服务
器所提供的服务。此外,一个应用程序服务器可以提供数种不同的服务,取存控制能够限
定特定的用户进行特定的操作
认证控制:是指在数据进行传递时,数据是否加密
鉴定控制:是指应用程序服务器的权限。即指在服务器上登陆的用户,他所执行的应用
程序服务器所存取的资源是否在他的权限范围之内。
|
|
资源大小:86.01 KB 
