K3脱离域环境不能正常使用的解决办法

1.1 应用场景
客户场景：
客户网络环境中的中间层服务器电脑和客户端电脑不是在同一个域的环境下或者不在同一
个网段内或者通过远程登录，客户端和中间层物理连接正常，此时运行K3，客户端登陆的
用户必须要通过中间层服务器的用户信息验证并获取允许登陆的权限。但在在现实的网络环
境下，必须要有安全防范来减少网络风险。所以也会给k/3 的登陆验证带来更多问题
1.2 应用目的
1.2.1在中间层服务器可以不用建立同名同密码用户验证，减少网络管理员工作负担。
1.2.2增加广域网和局域网的扩充性，避免因域用户、同名账号所引发的设置操作难度。
1.2.3提高网络环境系统的安全性
1.3 应用原理
1.3.1 交互式登录验证
交互式登录是我们平常最常见类型，就是用户通过在服务器上建立相应的用户帐号
(User Account)和密码在本机进行登录。有些用户认为“交互式登录”就是“本地登录”，
其实这是错误的。“交互式登录”还包括“域帐号登录”，而“本地登录”仅限于“本地帐号
登录”。 这里有必要提及的是，通过终端服务和远程桌面登录主机，可以看作“交互式
登录”，其验证的原理是一样的。
在交互式登录时，系统会首先检验登录的用户帐号类型，是本地用户帐号(Local User
Account)，还是域用户帐号(Domain User Account)，再采用相应的验证机制。因为不用的
用户帐号类型，其处理方法也不同
1.3.2 域用户帐号
采用域用户帐号登录，服务器则通过存储在域控制器的活动目录中的用户名和密码信息
进行验证。如果该用户帐号有效，则登录后可以访问到整个域中具有访问权限的资源。
小提示:如果计算机加入域以后，登录对话框就会显示“登录到:”项目，可以从中选择
登录到域还是登录到本机。
一般情况下，过多的身份验证，或由第三方服务器进行身份验证，是要靠牺牲网络性能为
代价换来的，如果大量的数据包均要求第三方进行身份验证，则从某种程序上来说，降低了
系统的性能，所以新增认证方式性能上肯定有所提高，但安全上局部有所下降，但可以依靠
本地安全策略来控制。
该技术主要应用于跨网段非域用户情形。例如：DDN、VPN 等环境。减少因域用户权限认证
降低系统资源利用率，最终提高一定速度；其次，减少不必要的添加到域的麻烦；即使在域
用户情形，也可以确保降低域服务器负载，最重要的一点是，即使域服务器出现故障时，也
可确保K/3 业务正常运行而不受其影响。

第二章： 案例说明
K/3v11.0.1 版本。中间层服务器操作系统为swindows2003 service 版本，ip 地址为
172.20.1.35，客户端操作系统为windows xp sp2 版本，ip 地址为10.7.130.25。客户端电
脑在kdcsc 域中，中间层服务器在kdcsc 域外。现在二台电脑可以ping 通。进行远程主机
测试不通。基于此种情况，我们该怎么设置呢？
2.1 步骤1：在中间层机器建立用户名及密码账号的设置；
2.1.1 修改本机账号：将Administrator 账号修改成其他名称，例如Admin。提示：如果
不修改Administrator 账号，则在客户端注册时，可能会出现KdSvrMgr、TransXmlLib 组件
无法通过和图五的提示
2.1.2 建立一个本地用户如huru。添加到本地系统管理员，以便在K/3 信任注册中使用。

2.2 中间层的设置：
2.2.1 方法一：开始---【程序】---【金蝶k/3】----【注册中间层组件】---选择【高级】，
点击“高级”，弹出图三的对话框，选中““匿名”方式(A)”，并且输入之前建立的本地机器

的用户名及密码，点击确定回到图三，再点击“确定”完成中间层的安装；
此时若此用户没有加入本地管理员组，则会出现图五的提示。

2.3 这里还提供第二种方法方法
2.3.1 点击【开始】→【设置】→【控制面板】→【管理工具】→【组件服务】弹出组件
服务窗口，展开至如图所示界面，选中所有的ebo 开头组件
右击如上所选的组件属性，按如下图八和图九设置。

按照如上的操作步骤，此时来进行远程组件测试，所有组件可以通过。
2.4 客户端配置：
一般情况下客户端不需要做任何配置，如果出现配置问题，可以配置相应的DCOM选项，保
证与中间层DCOM分布式配置标识一致。

2.5 数据库服务器的配置：
数据库端的匿名信任注册方式可确保数据库服务器不登录操作系统账号，中间层正常使
用账套管理相关功能，这样可以不用设置同名同账户信任设置，减少数据库端数据的风险，
这个操作方法和中间层匿名注册的方法相同，他需要两个步骤的修改操作：
修改Administrator名称，启用Guest账号；
在图中修改PKDAC 属性即可，改为指定用户的登录方式。