Настройка dcom windows server 2012 r2
Обновлено: 04.07.2024
Статья посвящена подробному рассмотрению установки и удалению компонентов операционной системы Windows Server 2012 R2. В качестве примера мы установим такие компоненты как: Windows Search и Desktop Experience (Возможности рабочего стола), а затем один из этих компонентов мы удалим.
В прошлых материалах на тему Windows Server 2012 R2, мы устанавливали такие роли как DHCP сервер и DNS сервер, поэтому с установкой ролей сервера Вы уже знакомы, теперь давайте разберем компоненты данной операционной системы, а именно, что это такое, для чего нужны компоненты Windows, как их установить и удалить.
Что такое компоненты Windows Server и для чего они нужны?
Компоненты Windows Server (Windows Server Features) – это возможности (службы, программы) операционной системы Windows Server которые не являются ролями сервера, но в тоже время широко используются для эффективного администрирования, настройки и управления серверов и сетевой инфраструктуры. По-русски компоненты Windows часто называют фичами, они расширяют функционал операционной системы. Компоненты Windows не входят в состав ролей сервера, так как компания Microsoft посчитала их менее значимыми и не достойными называться «Ролью сервера», так как роль сервера является основной функцией на том сервере, на котором она развернута.
Как было сказано, компоненты Windows нужны, для того чтобы расширять функциональные возможности сервера, настройки и управления серверами, так как для управления практически любой роли сервера требуется специальное средство управления, т.е. своего рода программа, в нашем случае под программой понимается компонент.
Компонентов в операционной системе Windows Server 2012 R2 очень много, для примера давайте, перечислим наиболее важные и часто используемые:
Установка компонентов Windows Server 2012 R2
Прежде чем переходить к процедуре установки компонентов Windows Server, давайте определимся, какие именно компоненты мы будем устанавливать. Предлагаю для примера установить два компонента, а именно:
Шаг 1
Открываем «Диспетчер серверов» и выбираем «Добавить роли и компоненты»
Шаг 2
Откроется окно «Перед началом работы», если Вы хотите, чтобы это окно в следующий раз не появлялось, то поставьте галочку «Пропускать эту страницу по умолчанию», жмем «Далее»
Шаг 3
Затем выбираем «Установка ролей и компонентов», жмем «Далее»
Шаг 4
Выбираем сервер, на который мы хотим установить компонент, у меня всего один сервер (т.е. непосредственно этот) соответственно я его, и выбираю, точнее все выбрано по умолчанию, жму «Далее»
Шаг 5
Далее в случае необходимости, можно выбрать роли сервера для установки, а так как мы хотим установить компоненты, поэтому на данном окне ничего не делаем, а просто жмем «Далее»
Шаг 6
Вот мы и дошли до момента, когда нам необходимо выбрать нужные компоненты для установки, мы соответственно ищем и ставим, галочки у соответствующих компонентов, кнопка «Далее» будет не активна, до того момента пока Вы не выберете хоть один компонент.
Когда Вы поставите галочку напротив «Возможности рабочего стола», то появится окно, в котором будет предложение установить еще дополнительные компоненты, которые необходимы для работы данного компонента, мы соответственно добавляем, жмем «Добавить компоненты»
После выбора компонентов жмем «Далее»
Шаг 7
Далее краткая сводка, а также на этом окне можно поставить галочку «Автоматический перезапуск сервера», это для того чтобы если вдруг для завершения установки компонента требуется перезагрузка сервера, он сам перезагрузится, я не буду ставить галочку (предпочту сам перезагрузить сервер), а жму сразу «Установить»
Начнется установка компонентов
Шаг 8
И если Вы галочку автоматический перезапуск не ставили, в завершении появится окно, в котором будет сказано, что для завершения (в данном случае) требуется перезагрузиться, мы соответственно жмем «Закрыть» и перезагружаемся
Во время перезагрузки Вы будете наблюдать вот такую картину
После перезагрузки, те компоненты, которые мы выбрали, будут установлены, например, у нас появится пункт «Персонализация» если мы щелкнем правой кнопкой мыши по рабочему столу, это говорит о том, что компонент «Возможности рабочего стола» установлен (ранее данного пункта не было).
Удаление компонентов Windows Server 2012 R2
Теперь давайте рассмотрим процесс удаления компонентов Windows Server, допустим, что мы подумали, что компонент Windows Search нам не нужен, и мы решили его удалить. Для этого открываем «Диспетчер серверов» и теперь уже выбираем «Удалить роли и компоненты»
Далее будут все те же окна «Перед началом работы», «Выбор сервера», затем выбор ролей для удаления, мы его пропускаем, никаких галочек не снимаем, а уже на окне «Удаление компонентов» снимаем, галочки с тех компонентов, которые мы хотим удалить. Как Вы поняли смысл такой же, да и окна такие же, как при установке, только галочки мы не ставим, а убираем с уже установленных компонентов. И жмем «Далее»
А дальше все по тому же принципу, как и с установкой, т.е. подтверждение, непосредственно само удаление и в случае необходимости перезагрузка.
Теперь Вы имеете представление, как можно установить и удалить компоненты Windows Server 2012 R2, я думаю как с установкой, так и с удаление проблем не возникнет, поэтому предлагаю заканчивать. Удачи!
Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке "OPC Core Components".
Пример настройки параметров приведен для тестового OPC сервера "Теst OPC Server" (является 32-х битным приложением). Настройка параметров DCOM выполняется с помощью панели управления "Службы компонентов" Windows. В зависимости от разрядности операционной системы и приложения OPC сервера необходимо запускать соответствующую версию панели управления:
- Версия Windows 32-х битная - команда "dcomcnfg" (рис. 19.1).
- Версия Windows 64-х битная, исполняемый файл OPC сервера 64-х битный - команда "dcomcnfg" (рис. 19).
- Версия Windows 64-х битная, исполняемый файл OPC сервера 32-х битный - команда "mmc comexp.msc /32" (рис. 20).
Для выполнения команды нажмите на клавиатуре Win + R, чтобы открыть окно запуска программ из командной строки.
Рис. 19.1 Запуск службы компонентов (вариант 1)
Рис. 20 Запуск службы компонентов (вариант 2)
4.1 Настройка параметров по умолчанию
Рис. 21 Свойства
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
- Кликните на кнопке "Добавить";
- Добавьте группу пользователей "Пользователи DCOM", выполнив действия, аналогичные показанным на рисунках 7 – 9;
- Установите для нее права доступа;
- Сохраните изменения, кликнув по кнопке "OK".
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне "Разрешение на запуск и активацию" (рис.24), которое появляется при клике на кнопке №2 "Изменить умолчания" (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке "Набор протоколов" (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите "OK" для того чтобы сохранить изменения в диалоговом окне "Свойства: Мой компьютер".
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке "Удостоверение" необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам "Для всех"
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
- Компьютер с сервером может быть не включен в домен;
- Не требуется создавать пользователей на компьютере с OPC сервером;
- Пользователи могут запускать OPC клиент от своего имени.
- Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления "Локальная политика безопасности". Консоль можно запустить, переместить курсор мыши в угол, выбрать "Параметры" - "Панель управления" - "Система и безопасность" -"Администрирование" - "Локальная политика безопасности". Необходимо перейти в раздел "Локальные политики - Параметры безопасности". И установить состояние правила "Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям" в состояние "Включено" (рис. 35).
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
в Windows Server можно использовать диспетчер сервера для выполнения задач управления на удаленных серверах. удаленное управление включено по умолчанию на серверах под управлением Windows Server 2016. Чтобы удаленно управлять сервером с помощью диспетчер сервера, необходимо добавить сервер в пул серверов диспетчер сервера.
диспетчер сервера можно использовать для управления удаленными серверами, на которых работают более старые версии Windows Server, но для полного управления этими старыми операционными системами необходимо выполнить следующие обновления.
для управления серверами, работающими под управлением Windows server, более ранних, чем Windows Server 2016, установите следующее программное обеспечение и обновления, чтобы обеспечить управляемость старых выпусков Windows сервера с помощью диспетчер сервера в Windows Server 2016.
| Операционная система | Необходимое программное обеспечение | Управляемость |
|---|---|---|
| Windows Server 2012 R2 или Windows Server 2012 | - - - Windows Management Framework 5,0. пакет Windows Management Framework 5,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 r2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие Windows Server 2012 r2, Windows Server 2012 или Windows Server 2008 r2, имеют состояние управляемости недоступно. — обновление производительности, связанное с статьей базы знаний 2682011 , больше не требуется на серверах под управлением Windows Server 2012 R2 или Windows Server 2012. | |
| Windows Server 2008 R2 | - - - Windows Management Framework 4,0. пакет Windows Management Framework 4,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2008 R2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008 R2, имеют состояние управляемости недоступно. — обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008 R2. | |
| Windows Server 2008 | - - - Windows Management Framework 3,0 Windows Management Framework 3,0 загрузка пакета обновления инструментарий управления Windows (WMI) (WMI) на сервере Windows Server 2008. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008, имеют состояние управляемости недоступно — проверьте предыдущие версии, выполнив Windows Management Framework 3,0. — обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008. |
подробные сведения о добавлении серверов в рабочих группах для управления и управления удаленными серверами с компьютера рабочей группы, на котором работает диспетчер сервера, см. в разделе Добавление серверов в Диспетчер сервера.
Включение и отключение удаленного управления
в Windows Server 2016 удаленное управление включено по умолчанию. прежде чем можно будет подключиться к компьютеру, на котором запущена Windows Server 2016 удаленно с помощью диспетчер сервера, диспетчер сервера удаленное управление должно быть включено на конечном компьютере, если он был отключен. В процедурах данного раздела описано, как отключить удаленное управление и как его вновь включить, если оно было отключено. В консоли диспетчер сервера состояние удаленного управления для локального сервера отображается в области Свойства на странице локальный сервер .
Локальные учетные записи с правами администратора, за исключением встроенной учетной записи администратора, могут не иметь права на удаленное управление сервером, даже если удаленное управление включено. Параметр реестра LocalAccountTokenFilterPolicy удаленного контроля учетных записей (UAC) должен быть настроен на разрешение локальных учетных записей группы администраторов, отличной от встроенной учетной записи администратора, для удаленного управления сервером.
в Windows Server 2016 диспетчер сервера полагается на Windows удаленное управление (WinRM) и распределенную модель объектов (DCOM) для удаленного взаимодействия. параметры, которые управляются диалоговым окном настройка удаленного управления , влияют только на части диспетчер сервера и Windows PowerShell, которые используют WinRM для удаленного взаимодействия. Они не влияют на части диспетчер сервера, использующие DCOM для удаленного взаимодействия. например, диспетчер сервера использует WinRM для взаимодействия с удаленными серверами, работающими Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, но использует DCOM для связи с серверами, на которых выполняется Windows server 2008 и Windows server 2008 R2 , но не имеют применимых обновлений Windows Management Framework 4,0 или Windows Management Framework 3,0 . Консоль управления Microsoft (MMC) и другие средства управления прежними версиями используют DCOM. Дополнительные сведения об изменении этих параметров см. в разделе Настройка MMC или другого средства удаленное управление по протоколу DCOM этой статьи.
Процедуры этого раздела можно выполнить только на компьютерах, работающих под управлением Windows Server. вы не можете включить или отключить удаленное управление на компьютере, на котором выполняется Windows 10, с помощью этих процедур, так как клиентскую операционную систему нельзя управлять с помощью диспетчер сервера.
Чтобы включить удаленное управление WinRM, выберите одну из следующих процедур.
Проблема проявляется следующим образом: в журнале событий системы при загрузке компьютера или попытке запуска/установки приложения появляется следующая ошибка:
Log Name: Система
Source: DistributedCOM
Event ID: 10016
Level: Ошибка
User: SYSTEM
Описание: Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-сервера с CLSID и APPID пользователю NT AUTHORITY\система с SID (S-1-5-18) и адресом LocalHost (с использованием LRPC). Это разрешение безопасности можно изменить с помощью служебной программы управления службами компонентов.
В англоязычных версиях Windows описание ошибки такое:
The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID
and APPID Unavailable to the user IIS APPPOOL\appIISPool SID (S-1-5-82-3351576649-1006875745-771203599-42452693-1279824824) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
Судя по описанию ошибки: некий пользователь (например, IIS Apppool) или система (NT AUTHORITY\система) пытается запустить некий компонент COM с помощью инфраструктуры DCOM и не может этого сделать из-за отсутствия права «Локальный Запуск» или «Локальная активация» (Local Activation Permission). В коде ошибки содержатся только коды классов COM компонента и приложения. Попробуем определить, какому именно приложению принадлежит идентификатор и предоставить права, необходимые для его запуска.
Из описания события необходимо скопировать идентификаторы CLSID и APPID. В моем случае это
В каждом конкретном случае идентификаторы класса, приложения, учетной записи и типа доступа может отличаться.- Запустите редактор реестра (regedit.exe);
- Перейдите в ветку реестра, соответствующую вашему CLSID. У меня это HKEY_CLASSES_ROOT\CLSID\;
Immersive Shell
CLSID:
APPID:
RuntimeBroker
CLSID:
APPID : Если вы не можете найти свой компонент в списке, вероятно у вас 64 битная версия Windows, а запускаемый компонент является 32 битным. В этом случае нужно запустить консоль DCOM командой: mmc comexp.msc /32
Читайте также: