Проблема с DCOM

← →
greengl (2003-01-23 10:15) [0]

У меня возникла проблема с DCOM.
Некоторое время назад возникла необходимость использования сервера и клиента приложений DCOM, находящихся на разных компьютерах, разных доменов. При этом должны были соблюдаться правила безопасности (не все должны иметь права обращаться к серверу).
Проблема была тогда решена следующем образом:
На сервере создан пользователь logS, с поролем passS.
Ему выделены права на вход в компьютер и запуск сервера (напрямую).
С помощью DCOMcnfg определены уровни
1) авторизации - connect
2)имперсонализации - impersonate
3)в списки запускающих и взаимодействующих пользователей добавлен пользователь logs.
На компьютере разрешен гость и ему позволено входить на комп через сеть.

На компьютере с клиентом DCOM пользователь logK запускает приложение DCOM-клиента. В клиенте в процедуре CoCreatInstanceEx() прописаны в
пользователь и его логин (logS и passS).
Раньше все работало.
Сейчас если пользователи находятся в одном домене, то все тоже работает.
Если в разных возникает ошибка interface not supported.
Причем сервер все же запускается.
Пароль и логин похоже тоже понимает.
Такое впечатление, что клиент отключается раньше чем ему ответят.
(Потому что по журналу безопасности видно что клиент лезет на сервер то отимени logK, то от logS).
Если дело в неуспевании срабатывания, может это что-то с RPC.
(Подскажите как изменить RPC time-out или выскажите другие дельные предложения).
Заранее благодарен.

← →
Набережных С. (2003-01-24 15:32) [1]

Если я ничего не путаю, в "клиентском" домене должна быть учетка, под которой производится подключение, и этот домен д.б. доверенным(trusted domain) для "серверного" домена. А при использовании обратных вызовов через защищенные интерфейсы требуется двустороннее доверие. Если же без доверия, то куча дополнительных условий. Но все это ИМХО. Это дела чисто админские, к ним и надо бы обратиться.

← →
stikriz (2003-01-26 08:04) [2]

Привет.
На разных доменах лучше использовать подключение через TSocketConnection и SocketService - будет меньше головной боли с администрированием.

Николай.

p.s.

Там, наверное, где-то на серверах, через которые идет запрос пользователь не прописан. И Админ не захочет прописать и будет прав.

← →
clickmaker © (2003-07-23 17:54) [3]

А в домене клиента есть юзер logS c пасвордом passS ?
Есть еще вариант с настройкой в dcomcnfg анонимного доступа, тогда в принципе любой гость будет допущен к DCOM-серверу

← →
Alespb (2004-01-05 10:22) [4]

Столкнулся с похожей проблемой. Нужен был доступ к серверу приложений с компа, не входящего в домен.
1. Добился доступа к файловой системе на сервере (чтобы убедиться, что нормально соединяюсь с сервером). Как это делать - обычный вопрос администрирования Windows.
2. В правах DCOM добавил группу "ВСЕ" (Everybody). Доступ появился.
САМОЕ ГЛАВНОЕ - после изменения настроек DCOM через dcomcnfg надо обязательно перезагружаться - очень долго с этим мучался, пока не понял.

Есть два решения:
1) Настроить между доменами доверительные отношения (trusts).
2) Использовать "неявную аутентификацию", присутствующую в Windows, т. е., если в домене 1 есть пользователь u1 с паролем p1 и такой же пользователь с таким же паролем есть в домене 2, то в вышеописанной ситуации пользователь u1 из домена 2 при получении доступа к ресурсу в домене 1 будет восприниматься как пользоватеь u1 из домена 1. Для DCOM серверов это работает.

Проблема с DCOM Найти похожие ветки