[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

近期不少客戶說遇到Win 10和Win11電腦，突然無法打開K/3 WISE，打開之后登錄不了界面提示：“無法創建K3中間層組件，請確定中間層組件配置正確或當前用戶擁有相關權限后重試?！被颉盁o法創建中間層，遠程組件配置不通過”出現提示如下圖所示；

經分析發現，是由于微軟發布的最新累積補丁，對Windows的安全性進行了調整，調整了NTLM 非交互式認證過程，以致K/3客戶不能正常運行遠程組件(COM+)服務所致。受影響的系統及微軟補丁例如下表：

詳細的漏洞補丁列表請見此鏈接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37988

受影響的用戶：所有使用Win10\Win11的K/3客戶端用戶。

【無法創建K3中間層組件-原因分析】

如下教程所需軟件如下圖所示-相關文件下載：（防止流量崩塌-設置小門檻-收取百度SVIP存儲費）

K/3 WISE客戶端調用服務器（中間層）組件時，是采用的windows的RPC（遠程過程調用）機制，在調用時，需要進行身份認證，微軟累積補丁修訂了此認證過程，服務器端不允許其他電腦通過僅來賓身份和匿名身份進行DCOM身份驗證，若服務器使用僅來賓模式，客戶端通過Guest帳戶提交訪問申請，在發起遠程調用時，服務器審核會失敗，從而導致無法通過DCOM通訊。

系統日志分析發現，在更新微軟補丁前，遠程調用的登錄信息如下：

在更新微軟補丁后，遠程調用的登錄信息如下：

由此而引發了K/3 WISE的 Win10、Win11客戶端不能正常應用的問題。

【無法創建K3中間層組件-解決方案】

經多次嘗試，總結出此問題解決方案可以有以下三個，推薦使用“方案一”或“方案二”。

方案一：采用域控模式，確保使用K/3的用戶具有網絡訪問權限

域控模式下，域用戶是具備域內網絡訪問權限的，默認會以域用戶進行網絡驗權，不存在此影響。如何啟用域控管理，請參考Windows域控服務器管理相關說明。

方案二：增加Com+專用用戶，并在客戶端添加憑據，客戶端將以此用戶進行網絡認證

有以下兩種方式可以進行配置，根據需要自行選擇哪種方式都可。

一、手動配置

1、 在服務器端建立一個用戶

（1）打開【控制面板】->【管理工具】->【計算機管理】，切換到本地用戶與組分支，如下圖所示，建立一個新用戶，專用于Com+網絡認證；

（2）新增用戶時，勾選【用戶不能更改密碼】和【密碼永不過期】選項后，并采用高強度密碼；

（3）修改用戶的“隸屬于”屬性，讓其隸屬于Disturbuted COM Users組，刪除其它用戶組，如下圖所示。

2、 客戶端添加服務器的Windows認證憑據

（1）打開“控制面板”->查看方式設置“大圖標”，找到“憑據管理器”（或者運行中輸入：control keymgr.dll ，直接打開憑據管理界面）；

（2）打開憑據管理器，切換到“windows憑據”，點擊“添加windows憑據”；

（3）在添加windows憑據界面，分別輸入正確的服務器IP地址或計算機名、用戶名（如服務器剛建立的用戶dcomuser），再輸入正確的密碼，點擊“確定”完成；

（4）部分系統添加憑據后需要重啟才能生效，建議添加憑據后重啟電腦，如下圖所示；

3、?服務器端配置，修改中間層的本地安全策略

（1） 打開【控制面板】 →【管理工具】 →【本地安全策略】 ， 將【本地策略】 →【安全選項】 中的“網絡訪問: 本地帳戶的共享和安全模型” 修改為【經典-本地用戶以自己的身份驗證】 ；

（2）在本地安全策略中“帳戶: 來賓帳戶狀態” 設置為【已啟用】；

（3）帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄，設置為【已禁用】；

（4）更新組策略：打開cmd->輸入gpupdate回車。

二、自動配置工具

1、下載并將附件中的“K3WISE因更新微軟補丁無法使用輔助配置工具.rar“解壓，雙擊（或以管理員身份運行）打開”K3WISE因更新微軟補丁無法使用輔助配置工具.exe“；

2、在服務器創建用戶，輸入用戶名和密碼（須滿足機器所設置的密碼策略要求），點擊【創建】按鈕，如下圖所示；

3、創建用戶成功后（建議不再隨意修改該用戶密碼，避免客戶端添加的憑據失效），彈出文件界面，將生成的“客戶端添加憑據.bat”文件發送給每臺客戶端機器執行添加憑據（客戶端雙擊運行該文件即可），如下圖所示；

4、所有客戶端添加憑據完成后，修改服務器【網絡訪問：本地帳戶的共享與安全模式】為經典模式，若當前模式為“僅來賓”，則點擊【修改】按鈕，如下圖所示；

5、修改服務器【帳戶：來賓帳戶狀態】為啟用，點擊【修改】按鈕，如下圖所示；

6、修改服務器【帳戶：使用空密碼的本地帳戶只允許進行控制臺登錄】為禁用，若當前設置為“已啟用”，則點擊【修改】按鈕，如下圖所示；

7、更新服務器本地安全策略，點擊【更新】按鈕，如下圖所示。

注意事項：

（1）客戶端登錄用戶并不要與服務器端已有用戶同名，否則將以客戶端登錄用戶身份進行認證，由于密碼極可能不相同，將導致認證失敗。

例如：服務器端用戶名為administrator，客戶端登錄用戶名也為administrator，會導致認證失敗，需要修改客戶端用戶名，附件提供了批處理修改客戶端用戶名的文件，請下載解壓后右鍵編輯文檔，在需要修改的位置填入修改前的用戶名以及修改后的用戶名，修改后保存，在客戶端雙擊運行，完成后需重啟客戶端生效。

（2）若按以上步驟操作以后win10客戶端還是無法連接，請確認電腦的版本號是否為20H2以下版本，例如1909或1803版本的電腦，都需要將電腦更新到20H2以上版本（例如21H2版本都是可以的）。

方案三：設置同名同密碼用戶（客戶端登錄用戶在服務器端存在，且用戶名與密碼完全相同）

在服務器的用戶管理中，添加每個客戶端電腦的Windows的登錄用戶，并保持與客戶端登錄用戶的用戶名、密碼完全相同，使客戶端的Windows登錄用戶能夠通過網絡身份認證。

1、右鍵點擊計算機彈出快捷菜單選擇【管理】->【計算機管理】或Win+R快捷鍵打開運行輸入compmgmt.msc點擊確定后可打開計算機管理；

2、在服務器端添加客戶端的登錄用戶，并保證與客戶端的用戶的密碼一致；

3、添加用戶信息、用戶名和密碼，注意勾選【密碼永不過期】選項，其他選項均不勾選，點擊創建，如下圖所示；

4、設置用戶權限，將用戶添加進Disturbuted COM Users組，設置好之后建議重啟一下中間層服務器，如下圖所示。（建議僅保留該用戶組權限，其它用戶組清理，以保證服務器安全）

注意事項：若按照方案三操作客戶端還是無法連接中間層，請再按照方案二操作。

來源：金蝶云社區
原文鏈接：https://vip.kingdee.com/article/370602477613629440?productLineId=7&isKnowledge=2

延伸閱讀：服務器正常使用,客戶端打開都提示:無法創建中間層組件,遠程組件配置測試不通,提示對象錯誤

[無法創建中間層組件,遠程組件配置測試不通-操作步驟]

1、\\服務器IP,測試訪問服務器共享需要輸入用戶密碼

2、檢查服務器控制面板→管理工具→本地安全策略→本地策略→安全選項中,網絡訪問: 本地帳戶的共享和安全模型,已設置為僅來賓,在控制面板→管理工具→計算機管理→本地用戶和組→用戶中,右擊guest設置密碼,保持為空后,訪問服務器共享正常

3、遠程組件配置重新測試通過,點擊確定后K/3正常登錄操作

按照上述方案處理后，依舊訪問不了共享文件夾，還是需要輸入密碼，不過提供了一個解決方向，只需要點開控制面板-網絡和共享中心-更改高級共享設置-展開"公用"-在窗口中找到“密碼保護的共享”，選擇“關閉密碼保護共享”，最后點擊保存修改就可以訪問了。

問題未解決？付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！