Du oplever muligvis forskellige problemer, efter du har installeret sikkerhedsbulletin MS05-051 fra Microsoft til COM+ og MS DTC

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 909444 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Symptomer

Der kan opstå et eller flere problemer med en computer, der kører Microsoft Windows XP, Microsoft Windows 2000 eller Windows Server 2003, når du har installeret den vigtige opdatering, der diskuteres i Microsofts sikkerhedsbulletin MS05-051. Disse problemer omfatter følgende:
  • Tjenesten Windows Installer kan muligvis ikke startes.
  • Tjenesten Windows Firewall kan muligvis ikke startes.
  • Mappen Netværksforbindelser er tom.
  • Webstedet Windows Update kan ukorrekt anbefale, at du ændrer indstillingen Vedvarende brugerdata i Microsoft Internet Explorer.
  • ASP-sider (Active Server Pages), der kører på Microsoft Internet Information Services (IIS), returnerer fejlmeddelelsen "HTTP 500 ? Intern serverfejl".
  • Tjenesten Microsoft COM+ EventSystem kan ikke startes.
  • COM+-programmer kan ikke startes.
  • Noden computers i Microsoft Component Services MMC-træet (Microsoft Management Console) kan ikke udvides.
  • Godkendte brugere kan ikke logge på, og der vises en tom skærm, når brugeren har anvendt sikkerhedsopdateringerne fra oktober.
  • I en serverklyngekonfiguration kan klyngetjenesten muligvis ikke starte. Følgende hændelse logføres i klyngelogfilen:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • En fejlmeddelelse i stil med den følgende logføres i systemets logfil:

    Hændelses-id: 512
    Kilde: CryptSvc
    Beskrivelse:
    The Cryptographic Services service failed to initialize the VSS backup "System Writer" object.

    Detaljer:
    System Writer object failed to subscribe to VSS.

    Systemfejl:
    Catastrophic failure

  • Du kan modtage en fejl af typen Adgang nægtet, når du forsøger at oprette forbindelse til WMI (Windows Management Instrumentation) via script, hjælpeprogrammet WBEMTest.exe eller andre hjælpeprogrammer. Logfilen %windir%\system32\wbem\logs\wbemprox.log indeholder fejl i stil med følgende fejl på det tidspunkt, hvor fejlen opstår:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Du kan få vist følgende COM+ 1.0-katalogfejlmeddelelse, når du opretter et tomt COM+-program:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Årsag

Problemet kan forekomme, hvis et COM- eller COM+-program ikke kan opnå adgang til COM+-katalogfiler. Programmet kan ikke opnå adgang til COM+katalogfiler, fordi standardtilladelserne for COM+-katalogmappen og -filerne kan være ændret fra standardindstillingerne. Før Microsoft-sikkerhedsbulletin MS05-051 var udtrykkelige tilladelser til COM+-kataloget ikke påkrævet. COM+-katalogfilerne er .clb-filer og er placeret i mappen %windir%\registration. COM+-katalogmappen og -filerne har som standard følgende tilladelser:
Skjul tabellenUdvid tabellen
AdministratorerSystemAlleGodkendte brugereServeroperatører
Windows 2000 Ikke-domænecontrollerFuld kontrolFuld kontrolLæs
Windows 2000 DomænecontrollerFuld kontrolFuld kontrolRedigerLæs og udfør
Windows 2003 Ikke-domænecontrollerFuld kontrolFuld kontrolLæs
Windows Server 2003 DomænecontrollerFuld kontrolFuld kontrolLæs og udfør

Løsning

Der kræves NTFS-filsystemtilladelse på læseniveau til mappen %windir%\registration baseret på sikkerhedsændringer implementeret i MS05-051. Standardtilladelser omfatter læseadgang til gruppen Alle. Hvis denne konfiguration ændres, kan der opstå uventede problemer med programmer og tjenester . Organisationer, som har valgt at implementere strengere NTFS-sikkerhedstilladelser, skal overveje at tildele tilladelser på læseniveau via gruppemedlemsskab til brugere, programmer og tjenester, der kræver adgang til COM-funktionalitet. Vi anbefaler, at standardindstillingerne for mappen bruges med henblik på at undgå potentiel programkompatibilitet. Omfattende test af programkompatibilitet anbefales til administratorer, som vil implementere andre indstillinger end standardværdierne. Yderligere oplysninger om problemer, der kan opstå ved ændring af tilladelser for systemmapper, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
885409 Retningslinjer for sikkerhedskonfiguration (security configuration guidance)
Ud over NTFS-tilladelser kræves der Bypass Traversal-tilladelse. Denne tilladelse tildeles som standard til gruppen Alle. Som nævnt i forbindelse med NFTS-tilladelser skal brugere, programmer og tjenester tildeles denne tilladelse via gruppemedlemsskab. Yderligere oplysninger om Bypass Traversal-brugerrettigheden finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823659 Manglende klient-, tjeneste- og programkompatibilitet, når du redigerer sikkerhedsindstillinger og brugerrettigheder
Du løser problemet ved at gendanne standardtilladelserne til COM+-kataloget.

I forbindelse med en computer, der kører Windows 2000 eller Windows Server 2003 og ikke kører som domænecontroller, skal du benytte følgende fremgangsmåde:
  1. I mappen %windir%/registration skal du sikre, at gruppen Alle har læsetilladelser.
  2. I mappen %windir%/registration skal du sikre, at kontoen SYSTEM har tilladelsen Fuld kontrol.
  3. I mappen %windir%/registration skal du sikre, at gruppen Administratorer har tilladelsen Fuld kontrol.
  4. I de avancerede sikkerhedsegenskaber for .clb-filerne i mappen %windir%/registration skal du sikre, at indstillingen Allow inheritable auditing entries from the parent to propagate to this object and all objects. Medtag disse sammen med de poster, der er udtrykkeligt defineret her er valgt.
  5. Kontroller, at alle i gruppen Alle har én af følgende tilladelser:
    • Gennemgangstilladelser (visning af mappeindhold) til alle overordnede mapper, herunder %systemdrive%, %windir% og %windir%\registration
    • Brugerrettigheden Bypass Traversal Checking
    Følg disse trin for at tildele gruppen Alle brugerrettigheden Bypass Traverse Checking:
    1. Klik på Start, klik på Kør, skriv gpedit.msc, og klik derefter på OK.
    2. Udvid Computerkonfiguration, udvid Windows-indstillinger, udvid Sikkerhedsindstillinger, udvid Lokale politikker, og udvid derefter Tildeling af brugerrettigheder.
    3. Højreklik på Bypass traverse checking, og klik derefter på Egenskaber.
    4. Klik på Tilføj bruger eller gruppe.
    5. Skriv Alle, og klik derefter på OK.

      Bemærk! Hvis du får vist en meddelelse om, at et objekt med navnet "Brugere" ikke blev fundet, skal du klikke på Objekttyper, markere afkrydsningsfeltet Grupper, og derefter klikke på OK to gange.
I forbindelse med en domænecontroller, der kører Windows 2000, skal du benytte følgende fremgangsmåde:
  1. Kontroller, at gruppen Godkendte brugere har læse- og udførelsestilladelser, i mappen %windir%/registration.
  2. Kontroller, at gruppen Serveroperatører har ændringstilladelser, i mappen %windir%/registration .
  3. Kontroller, at kontoen SYSTEM har tilladelsen Fuld kontrol, i mappen %windir%/registration.
  4. Kontroller, at gruppen Administratorer har tilladelsen Fuld kontrol, i mappen %windir%/registration.
  5. Kontroller, at indstillingenAllow Inheritable permissions from parent to propagate to this object er valgt, i de avancerede sikkerhedsegenskaber for .clb-filerne i mappen %windir%/registration.
I forbindelse med en domænecontroller, der kører Windows Server 2003, skal du benytte følgende fremgangsmåde:
  1. Kontroller, at gruppen Alle har læse- og udførelsestilladelser, i mappen %windir%/registration.
  2. Kontroller, at kontoen SYSTEM har tilladelsen Fuld kontrol, i mappen %windir%/registration.
  3. Kontroller, at gruppen Administratorer har tilladelsen Fuld kontrol, i mappen %windir%/registration.
  4. I de avancerede sikkerhedsegenskaber for .clb-filerne i mappen %windir%/registration skal du sikre, at indstillingen Allow inheritable auditing entries from the parent to propagate to this object and all objects. Medtag disse sammen med de poster, der er udtrykkeligt defineret her er valgt.
  5. Kontroller, at gruppen Alle har én af følgende tilladelser:
    • Gennemgangstilladelser (Visning af mappeindhold) til alle overordnede mapper, herunder %systemdrive%, %windir% og %windir%\registration
    • Brugerrettigheden Bypass Traversal Checking
    Følg disse trin for at tildele gruppen Alle brugerrettigheden Bypass Traverse Checking:
    1. Klik på Start, klik på Kør, skriv gpedit.msc, og klik derefter på OK.
    2. Udvid Computerkonfiguration, udvid Windows-indstillinger, udvid Sikkerhedsindstillinger, udvid Lokale politikker, og udvid derefter Tildeling af brugerrettigheder.
    3. Højreklik på Bypass traverse checking, og klik derefter på Egenskaber.
    4. Klik på Tilføj bruger eller gruppe.
    5. Skriv Alle, og klik derefter på OK.

      Bemærk! Hvis du får vist en meddelelse om, at et objekt med navnet "Brugere" ikke blev fundet, skal du klikke på Objekttyper, markere afkrydsningsfeltet Grupper, og derefter klikke på OK to gange.
Bemærk! Systemet kan senere oprette flere .clb-filer i mappen %windir%/registration. Hvis du vil sikre, at de nye .clb-filer har de korrekte tilladelser, skal du tildele hele mappen læsetilladelser i stedet for kun at tildele de aktuelt eksisterende .clb-filer læsetilladelserne direkte. Du kan bruge filen Cacls.exe til at gøre disse tilladelsesændringer automatiske på den berørte computer eller for let at implementere ændringerne på flere computere.

I forbindelse med en computer, der kører Windows 2000 eller Windows Server 2003 og ikke kører som domænecontroller, skal du bruge følgende kommandoer:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
I forbindelse med en domænecontroller, der kører Windows 2000, skal du bruge følgende kommandoer:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
I forbindelse med en domænecontroller, der kører Windows 2003, skal du bruge følgende kommandoer:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Bemærk! Kontroller, at der ikke er mellemrum mellem tegnet "y" og tegnet "|". Hvis der er mellemrum mellem disse tegn, kan kommandoerne ikke køres korrekt.

Yderligere Information

Når dette problem forekommer, kan der registreres én eller flere af følgende hændelser i hændelsesloggen:
  • Den næste EventSystem-hændelse kan blive registreret i hændelsesloggen, hvis kontoen Netværksservice ikke har korrekte tilladelser:

    Hændelsestype: Fejl
    Hændelseskilde: EventSystem
    Hændelseskategori: (50)
    Hændelses-id: 4609
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: N/A
    Computer: Server
    Beskrivelse: COM+-hændelsessystemet registrerede en beskadiget returkode under intern behandling. HRESULT var 80070005 fra linje xx af d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Kontakt Microsoft Support for at rapportere denne fejl.

  • Den næste COM+-hændelse kan blive registreret i hændelsesloggen, hvis kontoen Netværksservice ikke har korrekte tilladelser:

    Hændelsestype: Oplysninger
    Hændelseskilde: COM+
    Hændelseskategori: (117)
    Hændelses-id: 778
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: N/A
    Computer: Server
    Beskrivelse: Programbilledet blev ikke gemt.
    Serverprogram-id: <GUID>
    Forekomsts-id for serverprogram: <GUID>
    Serverprogramnavn: COM+ Explorer
    Fejlkode = 0x80004005: Uspecificeret fejl
    Interne oplysninger fra COM+-tjenester: Fil: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Linje: 1259 Comsvcs.dll-filversion: ENU 2001.12.4414.308 shp
    Du kan finde flere oplysninger i Hjælp og support på http://support.microsoft.com.

  • Den næste COM+-hændelse kan blive registreret i hændelsesloggen, hvis kontoen Netværksservice ikke har korrekte tilladelser:

    Hændelsestype: Fejl
    Hændelseskilde: COM+
    Hændelseskategori: Ukendt
    Hændelses-id: 4689
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: N/A
    Computer: Server
    Beskrivelse: Kørselsmiljøet har registreret en uoverensstemmelse i dets interne tilstand. Dette angiver en potentiel ustabilitet i processen, der kan skyldes de brugerdefinerede komponenter, der kører i COM+-programmet, komponenterne de gør brug af eller andre faktorer. Fejl i d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector mislykkedes
    Du kan finde flere oplysninger i Hjælp og support på http://support.microsoft.com.

  • Når du forsøger at gennemse en ASP-side, der kører på en IIS-tjeneste, og indstillingen Vis meddelelser om uskadelige HTTP-fejl ikke er markeret i Internet Explorer, kan der vises følgende fejlmeddelelse:
    Fejl i serverprogrammet.
    Serveren stødte på en fejl ved indlæsning af et program under behandlingen af anmodningen. Se hændelsesloggen for at få yderligere oplysninger. Kontakt serveradministratoren for at få hjælp.
    HTTP 500 - Intern serverfejl Internet Explorer
    Der kan også logføres en hændelse i stil med følgende i hændelsesloggen:

    Hændelsestype: Fejl
    Hændelseskilde: DCOM
    Hændelseskategori: Ingen
    Hændelses-id: 10010
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: NT AUTHORITY\SYSTEM
    Computer: Server
    Beskrivelse: Server-<GUID> blev ikke registreret af DCOM inden for det krævede tidsrum.

  • Hvis du forsøger at starte COM+-programmer manuelt i komponenttjenester, vises muligvis følgende fejlmeddelelse:
    Katalogfejl: Der opstod en fejl under behandlingen af den sidste funktion. Fejlkode 80080005 ? Server-udførelse mislykkedes. Hændelsesloggen kan indeholde yderligere fejlfindingsoplysninger.
    Der kan også logføres en hændelse i stil med følgende i hændelsesloggen:

    Hændelsestype: Fejl
    Hændelseskilde: DCOM
    Hændelseskategori: Ingen
    Hændelses-id: 10010
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: NT AUTHORITY\SYSTEM
    Computer: Server
    Beskrivelse: Server-<GUID> blev ikke registreret af DCOM inden for det krævede tidsrum.
    Hændelsestype: Advarsel!
    Hændelseskilde: W3SVC
    Hændelseskategori: Ingen
    Hændelses-id: 36
    Dato: <Dato>
    Klokkeslæt: <Klokkeslæt>
    Bruger: N/A
    Computer: Server
    Beskrivelse: Serveren kunne ikke indlæse programmet "/LM/W3SVC/1/ROOT". Fejlen var "Server-udførelse mislykkedes".
    Yderligere oplysninger om denne meddelelse findes på webstedet for Microsoft Support på adressen: http://search.support.microsoft.com/search/?adv=1.

    Du kan finde flere oplysninger i Hjælp og support på http://support.microsoft.com.

  • Når du forsøger at installere et program, eller når du forsøger manuelt at starte tjenesten Windows Installer, kan der vises følgende fejlmeddelelse:
    Der kunne ikke opnås adgang til tjenesten Windows Installer. Dette kan forekomme, hvis du kører Windows i fejlsikret tilstand, eller hvis Windows Installer ikke er installeret korrekt. Kontakt din supportafdeling for at få hjælp.
  • Tjenesten Windows Firewall kan ikke starte, og der vises følgende fejlkode:
    Fejlresultat: 0x80070005 ( -2147024891 ) ID defineret som : E_ACCESSDENIED Meddelelsestekst : Adgang nægtet.

Trin til genskabelse af problemet

Fjern systemkontoen og kontoen Alle fra filtilladelserne til *.clb-filer. Det gør du ved at følge disse trin:
  1. Klik på Start, klik på Kør, skriv Explorer.exe c:\winnt\registration, og klik derefter på OK.
  2. Højreklik, og vælg Egenskaber i Windows Stifinder, og klik derefter på Sikkerhed.
  3. Klik på fanen System under Group and User Name i dialogboksen Egenskaber for registrering, og klik derefter på Avanceret.
  4. Klik på Fjern i dialogboksen Avancerede sikkerhedsindstillinger for registrering, og klik derefter på OK.
  5. Gentag trin 3 og trin 4 for at stoppe kontoen Alle i at få adgang til .clb-filer.

Egenskaber

Artikel-id: 909444 - Seneste redigering: 11. august 2008 - Redigering: 15.2
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Nøgleord: 
kbresolve kbtshoot kbprb KB909444

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com