問題描述

近日很多客戶遇到win10和win11電腦，突然無法打開金蝶K/3 WISE，打開之后登錄不了，界面提示：無法創建中間層，遠程組件配置不通過，如下圖所示：

經分析發現，是因為微軟發布的最新累積補丁，對Windows的安全性進行了調整，調整了NTLM非交互式認證過程，以致金蝶K/3客戶不能正常運行遠程組件(COM+)服務所致。

受影響的系統及微軟補丁例如下表：

詳細的漏洞補丁列表請見此鏈接：//msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37988

受影響的用戶：所有使用Win10\Win11的金蝶K/3客戶端用戶。

原因分析

金蝶K/3 WISE客戶端調用服務器（中間層）組件時，是采用的windows的RPC（遠程過程調用）機制，在調用時，需要進行身份認證，微軟累積補丁修訂了此認證過程，服務器端不允許其他電腦通過僅來賓身份和匿名身份進行DCOM身份驗證，若服務器使用僅來賓模式，客戶端通過Guest賬戶提交訪問申請，在發起遠程調用時，服務器審核會失敗，從而導致無法通過DCOM通訊。

系統日志分析發現，在更新微軟補丁前，遠程調用的登錄信息如下：

在更新微軟補丁后，遠程調用的登錄信息如下：

由此而引發了金蝶K/3 WISE的 Win10、Win11客戶端不能正常應用的問題。

解決方案

經多次嘗試，總結出3個解決方案，但推薦使用“方案一”或“方案二”。

方案 一

采用域控模式，確保使用K/3的用戶具有網絡訪問權限

域控模式下，域用戶是具備域內網絡訪問權限的，默認會以域用戶進行網絡驗權，不存在此影響。如何啟用域控管理，請參考Windows域控服務器管理相關說明。

方案 二

增加Com+專用用戶，并在客戶端添加憑據，客戶端將以此用戶進行網絡認證

有以下兩種方式可以進行配置，根據需要自行選擇哪種方式都可。

一、手動配置

1、 在服務器端建立一個用戶

（1）打開【控制面板】->【管理工具】->【計算機管理】，切換到本地用戶與組分支，如下圖所示，建立一個新用戶，專用于Com+網絡認證

（2）新增用戶時，勾選【用戶不能更改密碼】和【密碼永不過期】選項后，并采用高強度密碼

（3）修改用戶的“隸屬于”屬性，讓其隸屬于Disturbuted COM Users組，刪除其它用戶組，如下圖所示：

2、 客戶端添加服務器的Windows認證憑據

（1）打開“控制面板”->查看方式設置“大圖標”，找到“憑據管理器”（或者運行中輸入：control keymgr.dll ，直接打開憑據管理界面）

（2）打開憑據管理器，切換到“windows憑據”，點擊“添加windows憑據”

（3）在添加windows憑據界面，分別輸入正確的服務器IP地址或計算機名、用戶名（如服務器剛建立的用戶dcomuser），再輸入正確的密碼，點擊“確定”完成

（4）部分系統添加憑據后需要重啟才能生效，建議添加憑據后重啟電腦，如下圖所示：

3、服務器端配置，修改中間層的本地安全策略

（1） 打開【控制面板】 →【管理工具】 →【本地安全策略】 ， 將【本地策略】 →【安全選項】 中的“網絡訪問: 本地賬戶的共享和安全模型” 修改為【經典-本地用戶以自己的身份驗證】 

（2）在本地安全策略中“賬戶: 來賓賬戶狀態” 設置為【已啟用】

（3）賬戶: 使用空密碼的本地賬戶只允許進行控制臺登錄，設置為【已禁用】

（4）更新組策略：打開cmd->輸入gpupdate回車

二、自動配置工具

1、下載并將附件中的“K3WISE因更新微軟補丁無法使用輔助配置工具.rar“解壓，雙擊（或以管理員身份運行）打開“K3WISE因更新微軟補丁無法使用輔助配置工具.exe”

2、在服務器創建用戶，輸入用戶名和密碼（須滿足機器所設置的密碼策略要求），點擊【創建】按鈕，如下圖所示：

3、創建用戶成功后（建議不再隨意修改該用戶密碼，避免客戶端添加的憑據失效），彈出文件界面，將生成的“客戶端添加憑據.bat”文件發送給每臺客戶端機器執行添加憑據（客戶端雙擊運行該文件即可），如下圖所示：

4、所有客戶端添加憑據完成后，修改服務器【網絡訪問：本地賬戶的共享與安全模式】為經典模式，若當前模式為“僅來賓”，則點擊【修改】按鈕，如下圖所示：

5、修改服務器【賬戶：來賓賬戶狀態】為啟用，點擊【修改】按鈕，如下圖所示：

6、修改服務器【賬戶：使用空密碼的本地賬戶只允許進行控制臺登錄】為禁用，若當前設置為“已啟用”，則點擊【修改】按鈕，如下圖所示：

7、更新服務器本地安全策略，點擊【更新】按鈕，如下圖所示：

注意事項：

（1）客戶端登錄用戶并不要與服務器端已有用戶同名，否則將以客戶端登錄用戶身份進行認證，由于密碼極可能不相同，將導致認證失敗。

例如：服務器端用戶名為administrator，客戶端登錄用戶名也為administrator，會導致認證失敗，需要修改客戶端用戶名，附件提供了批處理修改客戶端用戶名的文件，請下載解壓后右鍵編輯文檔，在需要修改的位置填入修改前的用戶名以及修改后的用戶名，修改后保存，在客戶端雙擊運行，完成后需重啟客戶端生效。

（2）若按以上步驟操作以后win10客戶端還是無法連接，請確認電腦的版本號是否為20H2以下版本，例如1909或1803版本的電腦，都需要將電腦更新到20H2以上版本（例如21H2版本都是可以的）。

方案 三

設置同名同密碼用戶（客戶端登錄用戶在服務器端存在，且用戶名與密碼完全相同）

在服務器的用戶管理中，添加每個客戶端電腦的Windows的登錄用戶，并保持與客戶端登錄用戶的用戶名、密碼完全相同，使客戶端的Windows登錄用戶能夠通過網絡身份認證。

1、右鍵點擊計算機彈出快捷菜單選擇【管理】->【計算機管理】或Win+R快捷鍵打開運行輸入compmgmt.msc點擊確定后可打開計算機管理

2、在服務器端添加客戶端的登錄用戶，并保證與客戶端的用戶的密碼一致

3、添加用戶信息、用戶名和密碼，注意勾選【密碼永不過期】選項，其他選項均不勾選，點擊創建，如下圖所示：

4、設置用戶權限，將用戶添加進Disturbuted COM Users組，設置好之后建議重啟一下中間層服務器，如下圖所示。（建議僅保留該用戶組權限，其它用戶組清理，以保證服務器安全）

注意事項：若按照方案三操作客戶端還是無法連接中間層，請再按照方案二操作。