Windows10(11)系統(tǒng)更新微軟補(bǔ)丁后金蝶K/3 WISE客戶端無法使用處理方式方法(無法創(chuàng)建K3中間層組件,K3WISE因更新微軟補(bǔ)丁無法使用輔助配置工具。)
[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!
近期不少客戶說遇到Win 10和Win11電腦,突然無法打開K/3 WISE,打開之后登錄不了界面提示:“無法創(chuàng)建K3中間層組件,請(qǐng)確定中間層組件配置正確或當(dāng)前用戶擁有相關(guān)權(quán)限后重試。”或“無法創(chuàng)建中間層,遠(yuǎn)程組件配置不通過”出現(xiàn)提示如下圖所示;
經(jīng)分析發(fā)現(xiàn),是由于微軟發(fā)布的最新累積補(bǔ)丁,對(duì)Windows的安全性進(jìn)行了調(diào)整,調(diào)整了NTLM 非交互式認(rèn)證過程,以致K/3客戶不能正常運(yùn)行遠(yuǎn)程組件(COM+)服務(wù)所致。受影響的系統(tǒng)及微軟補(bǔ)丁例如下表:
詳細(xì)的漏洞補(bǔ)丁列表請(qǐng)見此鏈接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37988
受影響的用戶:所有使用Win10\Win11的K/3客戶端用戶。
【無法創(chuàng)建K3中間層組件-原因分析】
如下教程所需軟件如下圖所示-相關(guān)文件下載:(防止流量崩塌-設(shè)置小門檻-收取百度SVIP存儲(chǔ)費(fèi))
K/3 WISE客戶端調(diào)用服務(wù)器(中間層)組件時(shí),是采用的windows的RPC(遠(yuǎn)程過程調(diào)用)機(jī)制,在調(diào)用時(shí),需要進(jìn)行身份認(rèn)證,微軟累積補(bǔ)丁修訂了此認(rèn)證過程,服務(wù)器端不允許其他電腦通過僅來賓身份和匿名身份進(jìn)行DCOM身份驗(yàn)證,若服務(wù)器使用僅來賓模式,客戶端通過Guest帳戶提交訪問申請(qǐng),在發(fā)起遠(yuǎn)程調(diào)用時(shí),服務(wù)器審核會(huì)失敗,從而導(dǎo)致無法通過DCOM通訊。
系統(tǒng)日志分析發(fā)現(xiàn),在更新微軟補(bǔ)丁前,遠(yuǎn)程調(diào)用的登錄信息如下:
在更新微軟補(bǔ)丁后,遠(yuǎn)程調(diào)用的登錄信息如下:
由此而引發(fā)了K/3 WISE的 Win10、Win11客戶端不能正常應(yīng)用的問題。
【無法創(chuàng)建K3中間層組件-解決方案】
經(jīng)多次嘗試,總結(jié)出此問題解決方案可以有以下三個(gè),推薦使用“方案一”或“方案二”。
方案一:采用域控模式,確保使用K/3的用戶具有網(wǎng)絡(luò)訪問權(quán)限
域控模式下,域用戶是具備域內(nèi)網(wǎng)絡(luò)訪問權(quán)限的,默認(rèn)會(huì)以域用戶進(jìn)行網(wǎng)絡(luò)驗(yàn)權(quán),不存在此影響。如何啟用域控管理,請(qǐng)參考Windows域控服務(wù)器管理相關(guān)說明。
方案二:增加Com+專用用戶,并在客戶端添加憑據(jù),客戶端將以此用戶進(jìn)行網(wǎng)絡(luò)認(rèn)證
有以下兩種方式可以進(jìn)行配置,根據(jù)需要自行選擇哪種方式都可。
一、手動(dòng)配置
1、 在服務(wù)器端建立一個(gè)用戶
(1)打開【控制面板】->【管理工具】->【計(jì)算機(jī)管理】,切換到本地用戶與組分支,如下圖所示,建立一個(gè)新用戶,專用于Com+網(wǎng)絡(luò)認(rèn)證;
(2)新增用戶時(shí),勾選【用戶不能更改密碼】和【密碼永不過期】選項(xiàng)后,并采用高強(qiáng)度密碼;
(3)修改用戶的“隸屬于”屬性,讓其隸屬于Disturbuted COM Users組,刪除其它用戶組,如下圖所示。
2、 客戶端添加服務(wù)器的Windows認(rèn)證憑據(jù)
(1)打開“控制面板”->查看方式設(shè)置“大圖標(biāo)”,找到“憑據(jù)管理器”(或者運(yùn)行中輸入:control keymgr.dll ,直接打開憑據(jù)管理界面);
(2)打開憑據(jù)管理器,切換到“windows憑據(jù)”,點(diǎn)擊“添加windows憑據(jù)”;
(3)在添加windows憑據(jù)界面,分別輸入正確的服務(wù)器IP地址或計(jì)算機(jī)名、用戶名(如服務(wù)器剛建立的用戶dcomuser),再輸入正確的密碼,點(diǎn)擊“確定”完成;
(4)部分系統(tǒng)添加憑據(jù)后需要重啟才能生效,建議添加憑據(jù)后重啟電腦,如下圖所示;
3、?服務(wù)器端配置,修改中間層的本地安全策略
(1) 打開【控制面板】 →【管理工具】 →【本地安全策略】 , 將【本地策略】 →【安全選項(xiàng)】 中的“網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模型” 修改為【經(jīng)典-本地用戶以自己的身份驗(yàn)證】 ;
(2)在本地安全策略中“帳戶: 來賓帳戶狀態(tài)” 設(shè)置為【已啟用】;
(3)帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄,設(shè)置為【已禁用】;
(4)更新組策略:打開cmd->輸入gpupdate回車。
二、自動(dòng)配置工具
1、下載并將附件中的“K3WISE因更新微軟補(bǔ)丁無法使用輔助配置工具.rar“解壓,雙擊(或以管理員身份運(yùn)行)打開”K3WISE因更新微軟補(bǔ)丁無法使用輔助配置工具.exe“;
2、在服務(wù)器創(chuàng)建用戶,輸入用戶名和密碼(須滿足機(jī)器所設(shè)置的密碼策略要求),點(diǎn)擊【創(chuàng)建】按鈕,如下圖所示;
3、創(chuàng)建用戶成功后(建議不再隨意修改該用戶密碼,避免客戶端添加的憑據(jù)失效),彈出文件界面,將生成的“客戶端添加憑據(jù).bat”文件發(fā)送給每臺(tái)客戶端機(jī)器執(zhí)行添加憑據(jù)(客戶端雙擊運(yùn)行該文件即可),如下圖所示;
4、所有客戶端添加憑據(jù)完成后,修改服務(wù)器【網(wǎng)絡(luò)訪問:本地帳戶的共享與安全模式】為經(jīng)典模式,若當(dāng)前模式為“僅來賓”,則點(diǎn)擊【修改】按鈕,如下圖所示;
5、修改服務(wù)器【帳戶:來賓帳戶狀態(tài)】為啟用,點(diǎn)擊【修改】按鈕,如下圖所示;
6、修改服務(wù)器【帳戶:使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄】為禁用,若當(dāng)前設(shè)置為“已啟用”,則點(diǎn)擊【修改】按鈕,如下圖所示;
7、更新服務(wù)器本地安全策略,點(diǎn)擊【更新】按鈕,如下圖所示。
注意事項(xiàng):
(1)客戶端登錄用戶并不要與服務(wù)器端已有用戶同名,否則將以客戶端登錄用戶身份進(jìn)行認(rèn)證,由于密碼極可能不相同,將導(dǎo)致認(rèn)證失敗。
例如:服務(wù)器端用戶名為administrator,客戶端登錄用戶名也為administrator,會(huì)導(dǎo)致認(rèn)證失敗,需要修改客戶端用戶名,附件提供了批處理修改客戶端用戶名的文件,請(qǐng)下載解壓后右鍵編輯文檔,在需要修改的位置填入修改前的用戶名以及修改后的用戶名,修改后保存,在客戶端雙擊運(yùn)行,完成后需重啟客戶端生效。
(2)若按以上步驟操作以后win10客戶端還是無法連接,請(qǐng)確認(rèn)電腦的版本號(hào)是否為20H2以下版本,例如1909或1803版本的電腦,都需要將電腦更新到20H2以上版本(例如21H2版本都是可以的)。
方案三:設(shè)置同名同密碼用戶(客戶端登錄用戶在服務(wù)器端存在,且用戶名與密碼完全相同)
在服務(wù)器的用戶管理中,添加每個(gè)客戶端電腦的Windows的登錄用戶,并保持與客戶端登錄用戶的用戶名、密碼完全相同,使客戶端的Windows登錄用戶能夠通過網(wǎng)絡(luò)身份認(rèn)證。
1、右鍵點(diǎn)擊計(jì)算機(jī)彈出快捷菜單選擇【管理】->【計(jì)算機(jī)管理】或Win+R快捷鍵打開運(yùn)行輸入compmgmt.msc點(diǎn)擊確定后可打開計(jì)算機(jī)管理;
2、在服務(wù)器端添加客戶端的登錄用戶,并保證與客戶端的用戶的密碼一致;
3、添加用戶信息、用戶名和密碼,注意勾選【密碼永不過期】選項(xiàng),其他選項(xiàng)均不勾選,點(diǎn)擊創(chuàng)建,如下圖所示;
4、設(shè)置用戶權(quán)限,將用戶添加進(jìn)Disturbuted COM Users組,設(shè)置好之后建議重啟一下中間層服務(wù)器,如下圖所示。(建議僅保留該用戶組權(quán)限,其它用戶組清理,以保證服務(wù)器安全)
注意事項(xiàng):若按照方案三操作客戶端還是無法連接中間層,請(qǐng)?jiān)侔凑辗桨付僮鳌?/p>
來源:金蝶云社區(qū)
原文鏈接:https://vip.kingdee.com/article/370602477613629440?productLineId=7&isKnowledge=2
延伸閱讀:服務(wù)器正常使用,客戶端打開都提示:無法創(chuàng)建中間層組件,遠(yuǎn)程組件配置測(cè)試不通,提示對(duì)象錯(cuò)誤
[無法創(chuàng)建中間層組件,遠(yuǎn)程組件配置測(cè)試不通-操作步驟]
1、\\服務(wù)器IP,測(cè)試訪問服務(wù)器共享需要輸入用戶密碼
2、檢查服務(wù)器控制面板→管理工具→本地安全策略→本地策略→安全選項(xiàng)中,網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模型,已設(shè)置為僅來賓,在控制面板→管理工具→計(jì)算機(jī)管理→本地用戶和組→用戶中,右擊guest設(shè)置密碼,保持為空后,訪問服務(wù)器共享正常
3、遠(yuǎn)程組件配置重新測(cè)試通過,點(diǎn)擊確定后K/3正常登錄操作
按照上述方案處理后,依舊訪問不了共享文件夾,還是需要輸入密碼,不過提供了一個(gè)解決方向,只需要點(diǎn)開控制面板-網(wǎng)絡(luò)和共享中心-更改高級(jí)共享設(shè)置-展開"公用"-在窗口中找到“密碼保護(hù)的共享”,選擇“關(guān)閉密碼保護(hù)共享”,最后點(diǎn)擊保存修改就可以訪問了。
問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!