COM+ および MS DTC 用のマイクロソフト セキュリティ情報 MS05-051 をインストールすると、さまざまな問題が発生することがある

文書翻訳 文書翻訳
文書番号: 909444 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Windows XP、Microsoft Windows 2000、または Windows Server 2003 を実行しているコンピュータで、マイクロソフト セキュリティ情報 MS05-051 に記載されている重要な更新プログラムをインストールした後、1 つまたは複数の問題が発生することがあります。発生することのある問題には、以下のものがあります。
  • Windows インストーラ サービスが開始されないことがあります。
  • Windows ファイアウォール サービスが開始されないことがあります。
  • ネットワーク接続フォルダに何も表示されません。
  • Windows Update Web サイトで、Microsoft Internet Explorer の [UserData の常設] の設定を変更するように、という推奨事項が誤って表示されることがあります。
  • Microsoft インターネット インフォメーション サービス (IIS) で実行されている Active Server Pages (ASP) ページから "HTTP 500 ? 内部サーバー エラー" というエラー メッセージが返されます。
  • Microsoft COM+ EventSystem サービスが開始されません。
  • COM+ アプリケーションが起動されません。
  • コンポーネント サービス Microsoft 管理コンソール (MMC) スナップインのツリーで [コンピュータ] ノードを展開できません。
  • 10 月にリリースされたセキュリティ更新プログラムの適用後、認証されたユーザーがログオンできず、黒い画面が表示されます。
  • サーバー クラスタ構成で、クラスタ サービスが開始されないことがあります。クラスタ ログ ファイルに次のイベントが記録されます。

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • 次のようなイベントが、システム ログに記録されることがあります。

    イベント ID : 512
    ソース : CryptSvc
    説明 :
    暗号化サービスは VSS バックアップ "System Writer" オブジェクトを初期化できませんでした。

    詳細 :
    System Writer object failed to subscribe to VSS.

    System Error :
    致命的なエラーです。

  • スクリプト、WBEMTest.exe ユーティリティ、または他のユーティリティを使用して Windows Management Instrumentation (WMI) に接続するとき、アクセス拒否のエラー メッセージが表示されることがあります。%windir%\system32\wbem\logs\wbemprox.log ファイルには、エラーの発生時刻に次のようなエラーが記録されています。
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • 空の COM+ アプリケーションを作成したとき、次の COM+ 1.0 カタログのエラー メッセージが表示される場合があります。
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

原因

この問題は、COM アプリケーションまたは COM+ アプリケーションから COM+ カタログ ファイルにアクセスできない場合に発生することがあります。アプリケーションが COM+ カタログ ファイルにアクセスできないのは、COM+ カタログのディレクトリおよびファイルに対する既定のアクセス許可が既定の設定から変更されていることが原因です。マイクロソフト セキュリティ情報 MS05-051 をインストールする前は、COM+ カタログに対する明示的なアクセス許可は必要ではありませんでした。COM+ カタログ ファイルの拡張子は .clb であり、%windir%\registration フォルダ内にあります。既定では、COM+ カタログのディレクトリおよびファイルには、以下のアクセス許可が付与されています。
元に戻す全体を表示する
管理者システムEveryone認証ユーザーサーバー オペレータ
Windows 2000 (ドメイン コントローラ以外)フル コントロールフル コントロール読み取り
Windows 2000 ドメイン コントローラフル コントロールフル コントロール修正読み取りと実行
Windows Server 2003 (ドメイン コントローラ以外)フル コントロールフル コントロール読み取り
Windows Server 2003 ドメイン コントローラフル コントロールフル コントロール読み取りと実行

解決方法

MS05-051 で実装されるセキュリティの変更に基づいて、読み取りレベルの NTFS ファイル システムのアクセス許可が、%windir%\registration フォルダに必要です。既定のアクセス許可では、Everyone グループに読み取りのアクセス許可が付与されています。この構成が変更されている場合、アプリケーションおよびサービスで予期しない現象が発生することがあります。より制限の厳しい NTFS セキュリティ アクセス許可を実装するように選択した組織では、COM 機能へのアクセスが必要なユーザー、アプリケーションおよびサービスのグループ メンバシップを使用して、読み取りレベルのアクセス許可を付与することを検討してください。アプリケーションの互換性に関する問題の発生を防止するため、このフォルダには既定の設定を使用することを推奨します。既定とは異なる設定を実装する必要がある管理者は、アプリケーションの互換性に関する広範なテストを行うことを推奨します。 システム フォルダのアクセス許可を変更することにより発生する可能性のある問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
885409 セキュリティ構成ガイダンスのサポートについて
NTFS アクセス許可の他に、"走査チェックのバイパス" ユーザー権利も必要です。既定では、このユーザー権利は Everyone グループに付与されています。NFTS アクセス許可と同様、ユーザー、アプリケーションおよびサービスには、グループ メンバシップを使用してこのユーザー権利を付与する必要があります。 "走査チェックのバイパス" ユーザー権利の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823659 セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
この問題を解決するには、COM+ カタログに対する既定のアクセス許可を復元します。

Windows 2000 または Windows Server 2003 を実行している、ドメイン コントローラ以外のコンピュータでは、次の手順を実行します。
  1. %windir%/registration フォルダで、Everyone グループに読み取りのアクセス許可が付与されていることを確認します。
  2. %windir%/registration フォルダで、SYSTEM アカウントにフル コントロールのアクセス許可が付与されていることを確認します。
  3. %windir%/registration フォルダで、Administrators グループにフル コントロールのアクセス許可が付与されていることを確認します。
  4. %windir%/registration フォルダの .clb ファイルのセキュリティの詳細設定で、[親からの継承可能な監査エントリをこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める] チェック ボックスがオンになっていることを確認します。
  5. Everyone グループに以下のいずれかのアクセス許可が付与されていることを確認します。
    • %systemdrive%、%windir% および %windir%\registration を含むすべての親ディレクトリに対するスキャンのアクセス許可 ("フォルダの内容の一覧表示")
    • "走査チェックのバイパス" ユーザー権利
    "走査チェックのバイパス" ユーザー権利を Everyone グループに付与するには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「gpedit.msc」と入力し、[OK] をクリックします。
    2. [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] を順に展開し、[ユーザー権利の割り当て] をクリックします。
    3. [走査チェックのバイパス] を右クリックし、[プロパティ] をクリックします。
    4. [ユーザーまたはグループの追加] をクリックします。
    5. Everyone」と入力し、[OK] をクリックします。

      : "Users" という名前のオブジェクトが見つからないというメッセージが表示された場合は、[オブジェクトの種類] をクリックし、[グループ] チェック ボックスをオンにして、[OK] を 2 回クリックします。
Windows 2000 を実行しているドメイン コントローラでは、次の手順を実行します。
  1. %windir%/registration フォルダで、Authenticated Users グループに "読み取りと実行" のアクセス許可が付与されていることを確認します。
  2. %windir%/registration フォルダで、Server Operators グループに変更のアクセス許可が付与されていることを確認します。
  3. %windir%/registration フォルダで、SYSTEM アカウントにフル コントロールのアクセス許可が付与されていることを確認します。
  4. %windir%/registration フォルダで、Administrators グループにフル コントロールのアクセス許可が付与されていることを確認します。
  5. %windir%/registration フォルダの .clb ファイルのセキュリティの詳細設定で、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスがオンになっていることを確認します。
Windows Server 2003 を実行しているドメイン コントローラでは、次の手順を実行します。
  1. %windir%/registration フォルダで、Everyone グループに "読み取りと実行" のアクセス許可が付与されていることを確認します。
  2. %windir%/registration フォルダで、SYSTEM アカウントにフル コントロールのアクセス許可が付与されていることを確認します。
  3. %windir%/registration フォルダで、Administrators グループにフル コントロールのアクセス許可が付与されていることを確認します。
  4. %windir%/registration フォルダの .clb ファイルのセキュリティの詳細設定で、[親からの継承可能な監査エントリをこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める] チェック ボックスがオンになっていることを確認します。
  5. Everyone グループに以下のいずれかのアクセス許可が付与されていることを確認します。
    • %systemdrive%、%windir% および %windir%\registration を含むすべての親ディレクトリに対するスキャンのアクセス許可 ("フォルダの内容の一覧表示")
    • "走査チェックのバイパス" ユーザー権利
    "走査チェックのバイパス" ユーザー権利を Everyone グループに付与するには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「gpedit.msc」と入力し、[OK] をクリックします。
    2. [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] を順に展開し、[ユーザー権利の割り当て] をクリックします。
    3. [走査チェックのバイパス] を右クリックし、[プロパティ] をクリックします。
    4. [ユーザーまたはグループの追加] をクリックします。
    5. Everyone」と入力し、[OK] をクリックします。

      : "Users" という名前のオブジェクトが見つからないというメッセージが表示された場合は、[オブジェクトの種類] をクリックし、[グループ] チェック ボックスをオンにして、[OK] を 2 回クリックします。
: 将来、システムで追加の .clb ファイルが %windir%/registration フォルダに作成されることがあります。新しい .clb ファイルにも適切なアクセス許可が付与されるように、既存の .clb ファイルのみに読み取りのアクセス許可を直接付与するのではなく、ディレクトリ全体にアクセス許可を付与するようにします。Cacls.exe ファイルを使用することにより、問題の発生するコンピュータでこのアクセス許可の変更を自動的に実行することや、複数のコンピュータに対して簡単に変更を適用することができます。

Windows 2000 または Windows Server 2003 を実行している、ドメイン コントローラ以外のコンピュータでは、次のコマンドを使用します。
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F 
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Windows 2000 を実行しているドメイン コントローラでは、次のコマンドを使用します。
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Windows Server 2003 を実行しているドメイン コントローラでは、次のコマンドを使用します。
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
: y という文字とパイプ (|) 文字の間にはスペースを挿入しません。これらの文字の間にスペースが挿入されていると、コマンドは正しく実行されません。

詳細

この問題が発生した場合、イベント ログに、以下のいずれかまたは複数のイベントが出力されることがあります。
  • Network Service アカウントに適切なアクセス許可が付与されていない場合、以下の EventSystem イベントがイベント ログに出力されることがあります。

    種類 : エラー
    ソース : EventSystem
    分類 : (50)
    イベント ID : 4609
    日付 : <Date>
    時刻 : <Time>
    ユーザー : N/A
    コンピュータ : Server
    説明 : COM+ イベント システムは、内部処理中に無効なリターン コードを検出しました。HRESULT は、行 xx の d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp から 80070005 でした。マイクロソフト製品サポート サービスまでこのエラーについて報告してください。

  • Network Service アカウントに適切なアクセス許可が付与されていない場合、以下の COM+ イベントがイベント ログに出力されることがあります。

    種類 : 情報
    ソース : COM+
    分類 : (117)
    イベント ID : 778
    日付 : <Date>
    時刻 : <Time>
    ユーザー : N/A
    コンピュータ : Server
    説明 : アプリケーション イメージのダンプに失敗しました。
    サーバー アプリケーション ID : <GUID>
    サーバー アプリケーション インスタンス ID : <GUID>
    サーバー アプリケーション名 : COM+ Explorer
    エラー コード = 0x80004005 : エラーを特定できません
    COM+ サービス内部情報 : ファイル : d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, 行 : 1259 Comsvcs.dll ファイルのバージョン : ENU 2001.12.4414.308 shp
    詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。

  • Network Service アカウントに適切なアクセス許可が付与されていない場合、以下の COM+ イベントがイベント ログに出力されることがあります。

    種類 : エラー
    ソース : COM+
    分類 : 不明
    イベント ID : 4689
    日付 : <Date>
    時刻 : <Time>
    ユーザー : N/A
    コンピュータ : Server
    説明 : ランタイム環境が内部状態で矛盾を検出しました。これは、COM+ アプリケーションで実行されているカスタム コンポーネント、カスタム コンポーネントが使用するコンポーネント、および他の原因によって、プロセス内が潜在的に不安定になっていることを示しています。d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184) でのエラー、hr = 80070005: InitEventCollector に失敗しました
    詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。

  • IIS サービス上で実行されている ASP ページを参照する場合に、Internet Explorer で [HTTP エラー メッセージを簡易表示する] がオンになっていないと、以下のエラー メッセージが表示されることがあります。
    Server Application Error.
    サーバーでは、要求の処理中にアプリケーションの読み込みエラーが発生しました。詳細情報については、イベント ログを参照してください。
    HTTP 500 - 内部サーバー エラー Internet Explorer
    以下のようなイベントがイベント ログに出力されることもあります。

    種類 : エラー
    ソース : DCOM
    分類 : なし
    イベント ID : 10010
    日付 : <Date>
    時刻 : <Time>
    ユーザー : NT AUTHORITY\SYSTEM
    コンピュータ : Server
    説明 : サーバー <GUID> は、必要なタイムアウト期間内に DCOM に登録しませんでした。

  • コンポーネント サービスで、COM+ アプリケーションを手動で開始すると、以下のエラー メッセージが表示されることがあります。
    カタログ エラー : 最後の操作の処理中にエラーが発生しました。エラー コード 80080005
    イベント ログにトラブルシューティングのための追加情報が含まれている可能性があります。
    以下のようなイベントがイベント ログに出力されることもあります。

    種類 : エラー
    ソース : DCOM
    分類 : なし
    イベント ID : 10010
    日付 : <Date>
    時刻 : <Time>
    ユーザー : NT AUTHORITY\SYSTEM
    コンピュータ : Server
    説明 : サーバー <GUID> は、必要なタイムアウト期間内に DCOM に登録しませんでした。
    種類 : 警告
    ソース : W3SVC
    分類 : なし
    イベント ID : 36
    日付 : <Date>
    時刻 : <Time>
    ユーザー : N/A
    コンピュータ : Server
    説明 : サーバーはアプリケーション '/LM/W3SVC/1/ROOT' の読み込みに失敗しました。エラーは 'サーバーの実行に失敗しました' でした。
    このメッセージに関する追加情報については、次の Microsoft オンライン サポートのサイトを参照してください。http://search.support.microsoft.com/search/?adv=1.

    詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。

  • アプリケーションをインストールするとき、または、Windows インストーラ サービスを手動で開始するときに、以下のエラー メッセージが表示されることがあります。
    Windows インストーラ サービスにアクセスできませんでした。これは Windows をセーフ モードで実行している場合、または Windows インストーラが正しくインストールされていない場合に発生します。サポート担当者に問い合わせてください。
  • 以下のエラー コードが返され、Windows ファイアウォール サービスが開始されないことがあります。
    エラーの結果 : 0x80070005 ( -2147024891)
    ID の定義 : E_ACCESSDENIED
    メッセージのテキスト : アクセスが拒否されました

問題の再現手順

SYSTEM アカウントおよび Everyone アカウントを *.clb ファイルのアクセス許可の設定から削除します。この作業は、以下の手順で実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、Explorer.exe c:\winnt\registration と入力し、[OK] をクリックします。
  2. [エクスプローラ] ウィンドウ内を右クリックし、[プロパティ] をクリックし、[セキュリティ] タブをクリックします。
  3. [Registration のプロパティ] ダイアログ ボックスで、[グループ名またはユーザー名] ボックスの一覧の [SYSTEM] をクリックし、[詳細設定] をクリックします。
  4. [Registration のセキュリティの詳細設定] ダイアログ ボックスで、[削除] をクリックし、[OK] をクリックします。
  5. Everyone アカウントについても手順 3. 〜 4. を実行して、.clb ファイルにアクセスできないようにします。

プロパティ

文書番号: 909444 - 最終更新日: 2008年8月18日 - リビジョン: 15.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
キーワード:?
kbresolve kbtshoot kbprb KB909444
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com