Лоцман 7.1 и сервер Win2003

[loodsman]

Такая проблема:
на сервере 2003-ем стоит база SQL и сервер приложений(в дальнейшем СП). СП запущен, работает. На сервере все работает.. теперь.  Сначала к СП доступа не было, но.. прописав роли для него в службах компонентов... получил доступ к нему. Теперь с удаленной машины (клиента, Win XP) открываю лоцман-администратор и доступа к СП нет. Я на серваке в роли прописываю эту учетную запись клиента... по сути должен получить доступ тоже...... а нет!!! СП для удаленного клиента по прежнему не доступен.
Плиз фогив ми!!!!!

[AI]

1) доступа нет - это значит, что он вообще не может найти СП или все-таки находит, но выдает ошибку подключения типа "interface not supported"?
2) если на сервере запустить клиента, все работает?

[loodsman]

1) СП на удал. машине в администраторе слева в дереве отобразился, но справа где указана его версия пусто. и при попытке проверить соединение говорит "Отказано в доступе".  "interface not supported" - такого сообщения точно нет.
2) клиент на сервере работает нормально.

[AI]

Проверь, что юзер, от которого запускается клиент, добавлен в группу "Пользователи DCOM" и для него выставлено свойство "Учетная запись доверена для делегирования"

[WEREWOLF]

А у тебя случайно Server 2003 не c сервис паком первым?
А то у меня до SP1 все тоже нормально работало с такими же как у тебя настройками, а потом SP1 поставил - гачались такие же проблемы...

[Sugonyaev]

В Windows Server 2003 SP1
есть такая фича как DEP (Data Execution Prevebtion)
вот она-то и обламывает
смотрите тут: Свойства компа->Дополнительно-Быстродействие-DEP
поумолчанию она отрыблена, но если сервак в домене то врублена

[WEREWOLF]

Да, сервак в домене.
Однако при отключении DEP ситуация не меняется - У клиентов сообщения "Ошибка соединения с сервером приложений. Отказано в доступе".

[Гость]

Если нет, попробуйте на сервере установить роль Application Server, т.е поставить COM+. При отсутствии COM+ на сервере при обращении клиента в лог добавляются характерные записи с требованием его установить.

[WEREWOLF]

Проблема еще и в том, что какзалось бы, на худой конец можно и SOCKETOM коннектиться - в этом случае соединение с сервером приложений проходит успешно, но при попытке открыть базу - облом - "База недоступна".
Прям заколдованый круг какой-то.....

[Watcher]

Проблема еще и в том, что какзалось бы, на худой конец можно и SOCKETOM коннектиться - в этом случае соединение с сервером приложений проходит успешно, но при попытке открыть базу - облом - "База недоступна".
Прям заколдованый круг какой-то.....

В данном случае нужно еще и MSSQL Server 2000 обновить до SP4. Это связано с тем, что Win 2003 SP1 считает соединения с MSSQL 2000 младше SP4 небезопасными. Сам в свое время погеммороился с этой проблемой на одном заводе. С лоцманячьими пользователями нужно поступить просто. В SP1 под Win 2003 появились новые особенности в плане безопасности DCOM. Теперь по мимо ролей сервера приложений, пользователей надо добавить в локальную группу DCOM Users на сервере или такую же группу в домене. 

[WEREWOLF]

Огромное спасибо Watcherу за совет по группе "Пользователи DCOM" - добавил туда своих юзеров - все заработало!!!!

[Drey]

"Сначала к СП доступа не было, но.. прописав роли для него в службах компонентов... получил доступ к нему."

А можно про эти действия подробнее узнать? Что и где нужно прописать чтобы этого добиться?

[AI]

В остнастке Службы компонентов в приложениях СОМ+ для СП Лоцмана на вкладке Роли создай новую роль и добавь в ее пользователей собственно пользователей Лоцмана

[Drey]

т.е. просто выбираю New->Role, называю её как захочу и добавляю туда пользователей? И все. Там же потом эта роль появляется в свойствах компонент, где её можно отметить или не отметить. А какие настройки в других вкладках свойств Loodsman Server Applications нужны. Большинство из них я не знаю по какому принципу выбирать. Например Identity, где варианты: Local Service, Network Service, This User... Или Activation... Пытаюсь тупо подобрать, но не получается - Лоцман-Администратор не находит этот сервер приложений. Может это уже обсуждалось, или в документации это где-то прописано - укажите тогда путь!

[AI]

По порядку:
1) В identity выбираешь запуск от имени юзера, которого надо специально для этого создать в домене. Этому юзеру надо дать права администратора и включить для него trusted for delegation
2) В security выбери для authentification connect, а для impersonation delegate
3) Роль можно назвать как хочешь, главное добавить в нее нужных пользователей

[Drey]

Сделал, но без изменений. Я там еще в свойствах его компонент лазил, там тоже уже не настройки по умолчанию скорее всего...
Да, это все в COM+ Applications, а есть еще DCOM Config -> Loodsman Main Object... Даже не знаю, может принт скрины легче сделать на каждом меню чем все это объяснить по пунктам?.. Хотя как-то же у остальных это настраивается с не столь большим геморо..

[AI]

Пользователей в группу DCOM Users добавил?

[Drey]

Да, все в Distributed COM Users.
Все рекомендации что встречал на форуме я выполнял.
Все это делается на контроллере домена. Trust computer for delegation есть, для пользователя тоже.

[AI]

Drey, У тебя ошибка Access denied?
Попробуй еще зайти на какой-нибудь клиентский компьютер под именем ученой записи, от которой запускаешь СП. Не знаю точно почему, но это может помочь.

[Drey]

После установки у меня по-умолчанию в администрировании прописался СП на себе, но при попытке к нему как-то обратиться, запустить например, он выдавал Access Denied. Я его удалили и попытался подключить вновь (с сервером баз данных это помогло), но он теперь пишет, что не находит сервер на данном компе.

Как это "Попробуй еще зайти на какой-нибудь клиентский компьютер под именем ученой записи, от которой запускаешь СП"? В каком смысле зайти? На шары?