Jump to content
Sign in to follow this  
mika_do

DCOM RPC Zugriff wird verweigert

Recommended Posts

Hallo zusammen!

 

Folgende Situation:

 

Auf einem W2k3 Standard Server mit SP2 und allen Patches, innerhalb einer Domäne läuft die Videoüberwachungssoftware "Dibos" von Bosch (neueste Version). Auf diese Software soll nun von einem Client mit Win XP SP2 zugegriffen werden. Das ganze funktioniert über Dibos selber, in dem hier eine "Gegenstelle" konfiguriert wird. Der Verbindung wird dann laut Bosch via DCOM (Port 135 TCP) aufgebaut.

 

Das ganze funktioniert auch wunderbar mit Rechnern außerhalb der Domäne. Dazu wurden die Startberechtigungen von DCOM in den Komponentendiensten entsprechend angepasst (User "Jeder" hat die Berechtigung DCOM remote zu starten) Dabei spielt es logischerweise keine Rolle, welcher User angemeldet ist bzw. wie der Rechner heisst. Sogar die Firewall auf den Clients ließ sich entsprechend konfigurieren.

 

Soviel zur Situation, nun zu meinem Problem:

 

Die beiden Rechner stehen bei mir privat zu Hause und dienen nur der Remoteüberwachung. Es sollen jetzt noch weitere Rechner innerhalb der Domäne und innerhalb des physischen Netzwerkes auf Dibos zugreifen. Dies schlägt allerdings fehl, die Logs von Dibos zeigen immer "Zugriff verweigert". Eine Firewall ist nicht aktiv. Ich habe bereits User mit verschiedenen Berechtigungen probiert, von normalen Anwender bis zum Administrator, einmal mit XP einmal mit 2k3 Standard als OS, leider ohne Erfolg.

 

Selbst vom Server zu den Clients außerhalb der Domäne lässt sich die Verbindung aufbauen, aber nicht von den Clients innerhalb der Domäne zum Server oder zu den privaten Clients.

 

Was kann ich da vergessen haben? Gibt es irgendwo eine Richtline, mit der man ausgehende RPC Aufrufe verbieten kann oder eine Policy auf dem Server, welche nur Verbindungen von außerhalb der Domäne zulässt? (Auch wenn dies keinen Sinn machen würde, aber man weiss ja nie) Auf dem Server ist keine Firewall aktiv.

 

Ich hoffe ich konnte das einigermaßen Verständlich darstellen und freue mich auch eure Antworten.

 

Mika

Share this post


Link to post
Share on other sites

Servus mika_do,

 

das klingt etwas seltsam. Du sagst du hast in den DCOM-Startberechtigungen "Jeder" hinzugefügt. "Jeder" bedeutet ja nicht tatsächlich jeder sondern nur bekannte Benutzer, also normalerweise in einer Domäne die User dieser Domäne. Es gibt ja zusätzlich die Zugriffsberechtihgung, hast du da auch was eingestellt? Außerdem hast du beui den DCOM Berechtigungseinstellungen ja immer die Standard Einstellungen und die Limits, hast du beide bearbeitet?

Share this post


Link to post
Share on other sites

Hallo!

 

Ich habe den Fehler zwischenzeitig gefunden. Auf dem Client war gar kein DCOM aktiviert d.h. der Haken in den Komponentendiensten war nicht gesetzt. Nachdem er gesetzt wurde funktionierte die Verbindung.

 

Ich frage mich nun aber warum war DCOM deaktiviert. Mir ist aufgefallen, dass dies auch bei unseren Servern der Fall ist (alle W2k3). Soweit ich weiss ist DCOM jedoch Standardmäßig aktiviert, ich habe es nicht deaktiviert und niemand anders hat eine Berechtigung dies zu tun. Hat jemand eine Idee, warum DCOM "automatisch" deaktiviert wurde? Evtl. durch einen MS Patch o.ä?

 

Vielen Dank

Share this post


Link to post
Share on other sites

Hi,

 

das hab ich auch schon öfter gehabt das bei Kunden DCOM deaktiviert war. Da sich die Admins, genau wie du auch, immer recht sicher waren es nicht selber deaktiviert zu haben gehe ich ebenfalls davon aus, dass es durch ein Patch verursacht wurde

Share this post


Link to post
Share on other sites

Gut, dann bin ich froh, dass ich nicht der einzige bin. Habe schon angefangen an mir selbst zu zweiffeln ;-)

 

Noch eine generelle Frage habe ich:

 

Ist es eigentlich wirklich so "gefährlich" DCOM aktiviert zu lassen? Man liest ja in diversen Artikeln recht viel darüber. Ich denke, wenn man die Berechtigungen ordentlich setzt und der Rechner alle Patches hat kann doch da gar nicht soo viel passieren. Dann könnte DCOM doch auf allen Rechnern und Servern inkl. Domain Controller aktiviert werden (bleiben) oder sehe ich das völlig falsch?

Share this post


Link to post
Share on other sites

Aktiviert ist es ja - eigentlich zumindest. Unter W2K und auch noch unter W2K3 ohne SP war die DCOM nur grundsätzlich offen. Das SP1 für W2K3 Hat dann dicht gemacht (bzw. das SP2 für XP) also das grundsätzlich mal nur lokale Start-und Aktivierungs- und Zugriffsberechtigungen gegeben sind.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...