mika_do 10 Geschrieben 17. Februar 2008 Melden Teilen Geschrieben 17. Februar 2008 Hallo zusammen! Folgende Situation: Auf einem W2k3 Standard Server mit SP2 und allen Patches, innerhalb einer Domäne läuft die Videoüberwachungssoftware "Dibos" von Bosch (neueste Version). Auf diese Software soll nun von einem Client mit Win XP SP2 zugegriffen werden. Das ganze funktioniert über Dibos selber, in dem hier eine "Gegenstelle" konfiguriert wird. Der Verbindung wird dann laut Bosch via DCOM (Port 135 TCP) aufgebaut. Das ganze funktioniert auch wunderbar mit Rechnern außerhalb der Domäne. Dazu wurden die Startberechtigungen von DCOM in den Komponentendiensten entsprechend angepasst (User "Jeder" hat die Berechtigung DCOM remote zu starten) Dabei spielt es logischerweise keine Rolle, welcher User angemeldet ist bzw. wie der Rechner heisst. Sogar die Firewall auf den Clients ließ sich entsprechend konfigurieren. Soviel zur Situation, nun zu meinem Problem: Die beiden Rechner stehen bei mir privat zu Hause und dienen nur der Remoteüberwachung. Es sollen jetzt noch weitere Rechner innerhalb der Domäne und innerhalb des physischen Netzwerkes auf Dibos zugreifen. Dies schlägt allerdings fehl, die Logs von Dibos zeigen immer "Zugriff verweigert". Eine Firewall ist nicht aktiv. Ich habe bereits User mit verschiedenen Berechtigungen probiert, von normalen Anwender bis zum Administrator, einmal mit XP einmal mit 2k3 Standard als OS, leider ohne Erfolg. Selbst vom Server zu den Clients außerhalb der Domäne lässt sich die Verbindung aufbauen, aber nicht von den Clients innerhalb der Domäne zum Server oder zu den privaten Clients. Was kann ich da vergessen haben? Gibt es irgendwo eine Richtline, mit der man ausgehende RPC Aufrufe verbieten kann oder eine Policy auf dem Server, welche nur Verbindungen von außerhalb der Domäne zulässt? (Auch wenn dies keinen Sinn machen würde, aber man weiss ja nie) Auf dem Server ist keine Firewall aktiv. Ich hoffe ich konnte das einigermaßen Verständlich darstellen und freue mich auch eure Antworten. Mika Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Servus mika_do, das klingt etwas seltsam. Du sagst du hast in den DCOM-Startberechtigungen "Jeder" hinzugefügt. "Jeder" bedeutet ja nicht tatsächlich jeder sondern nur bekannte Benutzer, also normalerweise in einer Domäne die User dieser Domäne. Es gibt ja zusätzlich die Zugriffsberechtihgung, hast du da auch was eingestellt? Außerdem hast du beui den DCOM Berechtigungseinstellungen ja immer die Standard Einstellungen und die Limits, hast du beide bearbeitet? Zitieren Link zu diesem Kommentar
mika_do 10 Geschrieben 19. Februar 2008 Autor Melden Teilen Geschrieben 19. Februar 2008 Hallo! Ich habe den Fehler zwischenzeitig gefunden. Auf dem Client war gar kein DCOM aktiviert d.h. der Haken in den Komponentendiensten war nicht gesetzt. Nachdem er gesetzt wurde funktionierte die Verbindung. Ich frage mich nun aber warum war DCOM deaktiviert. Mir ist aufgefallen, dass dies auch bei unseren Servern der Fall ist (alle W2k3). Soweit ich weiss ist DCOM jedoch Standardmäßig aktiviert, ich habe es nicht deaktiviert und niemand anders hat eine Berechtigung dies zu tun. Hat jemand eine Idee, warum DCOM "automatisch" deaktiviert wurde? Evtl. durch einen MS Patch o.ä? Vielen Dank Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 20. Februar 2008 Melden Teilen Geschrieben 20. Februar 2008 Hi, das hab ich auch schon öfter gehabt das bei Kunden DCOM deaktiviert war. Da sich die Admins, genau wie du auch, immer recht sicher waren es nicht selber deaktiviert zu haben gehe ich ebenfalls davon aus, dass es durch ein Patch verursacht wurde Zitieren Link zu diesem Kommentar
mika_do 10 Geschrieben 20. Februar 2008 Autor Melden Teilen Geschrieben 20. Februar 2008 Gut, dann bin ich froh, dass ich nicht der einzige bin. Habe schon angefangen an mir selbst zu zweiffeln ;-) Noch eine generelle Frage habe ich: Ist es eigentlich wirklich so "gefährlich" DCOM aktiviert zu lassen? Man liest ja in diversen Artikeln recht viel darüber. Ich denke, wenn man die Berechtigungen ordentlich setzt und der Rechner alle Patches hat kann doch da gar nicht soo viel passieren. Dann könnte DCOM doch auf allen Rechnern und Servern inkl. Domain Controller aktiviert werden (bleiben) oder sehe ich das völlig falsch? Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 20. Februar 2008 Melden Teilen Geschrieben 20. Februar 2008 Aktiviert ist es ja - eigentlich zumindest. Unter W2K und auch noch unter W2K3 ohne SP war die DCOM nur grundsätzlich offen. Das SP1 für W2K3 Hat dann dicht gemacht (bzw. das SP2 für XP) also das grundsätzlich mal nur lokale Start-und Aktivierungs- und Zugriffsberechtigungen gegeben sind. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.