DCOM跨域计算解决方案.docVIP

DCOM跨IP网段，跨域，工作组与域混合访问，匿名登录与命名登录验证解决方案 本主题涉及到WINDOW NT的域安全管理机制，WINDOWS 9X的安全管理机制，IP防火墙与路由寻径。 跨IP网段 DCOM在底层技术上使用的是RPC/WINSOCK，WINSOCK的与通讯协议的无关性，造就了DCOM的网络协议无关性。如果配置了多个协议，DCOM 将按照它们在 DCOM 协议列表中出现的顺序尝试使用这些协议。两个跨IP网段的DCOM之间通讯，必须手工设置网关路由路径。有关详细设置，请查看附录两篇技术资料：NT Server 4.0 做静态路由器和Win 2000路由的安装与设置 如何通过防火墙验证 如果你是采用Internet做两个Lan的互连，并且需要通过防火墙，就需阅读以下资料： COM Internet 服务 (CIS) 最初是在 Windows NT 4.0 Service Pack 4 中发布的，它提供的附加支持，使得由于服务器端或客户网络上的代理服务器设置了防火墙而令其他协议无法使用时，DCOM 仍然能够通过 Internet（使用 HTTP）使用。 因为DCOM在1024-65535这样一个范围内动态地选择网络端口，而在这个范围内，Internet-to-intranet网络通信实际上是不被允许的，此外，防火墙经常被设置成限制接入135口，DCOM要依靠这个端口来提供多种服务 通道型TCP协议在每一次DCOM连接的开始时引入了一次专门的握手，这使得其可以通过大多数的防火墙和代理。握手之后，电信协议就是简单的TCP上的DCOM。 在DCOMCNFG中为服务器和应用程序设置NONE的验证级别为默认值。 在注册表中作以下改变： HKLM/Software/Microsoft/Rpc/Internet PortsInternetAvailable=Y UseInternetPorts=Y Ports=3000-4000 在防火墙中开放135以上端口。 禁止IP地址翻译。 Windows NT 4.0 CIS 设置 对于 Windows NT 4.0，CIS 需要在 Windows NT Workstation 4.0 或 Windows NT Server 4.0 的计算机中安装 SP5。要启用 CIS，您需要将 “通道 TCP”协议添加到 DCOM 协议列表中。 您可以通过 运行 DCOMCNFG 来修改协议列表： 1. 选择“默认协议”选项卡。 2. 使用“添加”按钮添加“Tunneling TCP/IP”。 3. 重启动系统，使更改生效。 如果配置了多种协议，DCOM 将按照协议在 DCOM 协议列表中出现的 顺序使用。 CIS 也要求运行 Internet Information Server 4.0 （包括 Internet Service Manager）。IIS 4.0 是 Windows NT 4.0 Option Pack 的部件。 代理服务器注意事项 如果您的客户通过代理服务器访问，则需要确保： 将代理服务器配置为启用 HTTP CONNECT，端口 为 80。 正确配置客户计算机，让其使用代理服务器访问 World Wide Web。 跨域模式 如果采用NETBEUI通讯协议，必须两个域之间是互相信任关系。客户端的DCOM使用的网络协议的选择最好与中间层DCOM的使用的网络协议一致，否则有不可通讯或调用速度慢的现象。 如果在同一个网段或域[工作组]互相信任还不能DCOM调用，请检查中间层服务器的DCOM连接设置[默认属性]，尝试默认身份验证级为：[无]，默认模拟级为：[匿名] 运行DCOMCNFG，选择默认安全属性页，点击编辑默认配置按钮。在允许存取对话框中，将存取权限指配给任何有可能连接服务器应用程序的用户。通常而言，存取权限被指配给全局。 在NT系统中，需要指配给Everyone（所有人）。 选择应用程序，点击属性按钮。在Indentity页，选择交互的用户。也可以指定一个将被允许连接NT系统的用户。 设置NT机器的Guest账户为有效（在用户管理中）。高亮显示Guest账户，选择菜单项User|Properties。清除题为Account Disabled的选择框。 其他知识 ‘默认的身份验证级别’中‘连接’的意思代表‘只在客户端第一次连结应用程序服务器时检查客户端的权限’。 ‘默认的模拟级别’中‘识别’的意义为‘在这种模式下，服务端可以取得连结的客 户端的权限信息，但是服务端无法以连结的客户端的权限存取系统对象’。当其设为‘模 拟’时，表明‘服务端可以取得连结的客户端的权限信息，并且能够以连结的客户端的权 限存取系统对象’。 在