Mogelijk ondervindt u verschillende problemen nadat u het Microsoft-beveiligingsbulletin MS05-051 voor COM+ en MS DTC hebt geïnstalleerd.

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 909444 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Op een computer waarop Microsoft Windows XP, Microsoft Windows 2000 of Windows Server 2003 wordt uitgevoerd, kunnen zich een of meer problemen voordoen nadat u de essentiële update hebt geïnstalleerd die wordt beschreven in Microsoft Beveiligingsbulletin MS05-051. Het gaat om de volgende problemen:
  • De Windows Installer-service wordt niet gestart.
  • De Windows Firewall-service wordt niet gestart.
  • De map Netwerkverbindingen is leeg.
  • Op de Windows Update-website wordt u abusievelijk geadviseerd de instelling Gegevens van de gebruiker blijven gebruiken in Microsoft Internet Explorer te wijzigen.
  • Op ASP-pagina's (Active Server Pages) die worden uitgevoerd in Microsoft IIS (Internet Information Services), wordt het foutbericht 'HTTP 500 Interne serverfout' geretourneerd.
  • De service Microsoft COM+ EventSystem wordt niet gestart.
  • COM+-toepassingen worden niet gestart.
  • Het knooppunt computers in de structuur van de MMC (Microsoft Management Console) van Microsoft Component Services wordt niet uitgevouwen.
  • Geverifieerde gebruikers kunnen zich niet aanmelden en er wordt een leeg scherm weergegeven nadat gebruikers de beveiligingsupdates voor oktober hebben toegepast.
  • In een serverclusterconfiguratie wordt de clusterservice niet gestart. De volgende gebeurtenis wordt geregistreerd in het clusterlogboek:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Een gebeurtenis die vergelijkbaar is met de volgende wordt in het systeemlogboek geregistreerd:

    Gebeurtenis-id: 512
    Bron: CryptSvc
    Beschrijving:
    Cryptografieservices start het VSS backup-object 'System Writer' niet.

    Details:
    Het object System Writer is niet geabonneerd op VSS.

    Systeemfout:
    Onherstelbare fout

  • U krijgt een foutbericht dat de toegang wordt geweigerd als u verbinding probeert te maken met WMI (Windows Management Instrumentation) door middel van script, het hulpprogramma WBEMTest.exe of andere hulpprogramma's. Het bestand %windir%\system32\wbem\logs\wbemprox.log bevat fouten die vergelijkbaar zijn met de volgende fout:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Als u een lege COM+-toepassing maakt, wordt het volgende COM+ 1.0-catalogusfoutbericht weergegeven:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Oorzaak

Dit probleem kan zich voordoen als COM+-catalogusbestanden niet toegankelijk zijn voor COM- of COM+-toepassingen. De COM+-catalogusbestanden zijn niet toegankelijk omdat de standaardmachtigingen in de COM+-catalogusmap en -bestanden verschillen van de standaardinstellingen. Vóór Microsoft Beveiligingsbulletin MS05-051 waren expliciete machtigingen voor de COM+-catalogus niet vereist. De COM+-catalogusbestanden zijn CLB-bestanden en bevinden zich in de map %windir%\registration. De COM+-catalogusmap en -bestanden hebben standaard de volgende machtigingen:
Deze tabel samenvouwenDeze tabel uitklappen
AdministratorsSystemIedereenGeverifieerde gebruikersServeroperators
Windows 2000-non-domeincontrollerVolledig beheerVolledig beheerLezen
Windows 2000-domeincontrollerVolledig beheerVolledig beheerWijzigenLezen & uitvoeren
Windows Server 2003-non-domeincontrollerVolledig beheerVolledig beheerLezen
Windows Server 2003-domeincontrollerVolledig beheerVolledig beheerLezen & uitvoeren

Oplossing

Op basis van wijzigingen in de beveiliging in MS05-051, is leesmachtiging voor het NTFS-bestandssysteem nodig voor de map %windir%\registration. Standaardmachtigingen zijn onder andere leestoegang voor de groep Iedereen. Als deze configuratie wordt gewijzigd, kunnen toepassingen en services onverwachte problemen vertonen. Organisaties die voor striktere NTFS-beveiligingsmachtigingen hebben gekozen, kunnen eventueel leesmachtigingen via groepslidmaatschap geven aan gebruikers, toepassingen en services die toegang moeten kunnen krijgen tot COM-functionaliteit. U kunt het beste de standaardinstellingen voor de map gebruiken om problemen met de compatibiliteit te voorkomen. Het is aan te raden uitgebreide compatibiliteitstests uit te voeren als beheerders andere dan de standaardinstellingen willen gebruiken. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de problemen die kunnen ontstaan door het wijzigen van machtigingen voor systeemmappen:
885409 Ondersteuning bij richtlijnen voor beveiligingsconfiguratie
Naast NTFS-machtigingen is de Bypass Traversal-machtiging vereist. Standaard wordt deze machtiging verleend aan de groep Iedereen. Zoals bij NFTS-machtigingen moeten gebruikers, toepassingen en services deze machtiging krijgen via groepslidmaatschap. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de Bypass Traversal-machtiging:
823659 Client-, service- en programma-incompatibiliteit die zich kan voordoen na het wijzigen van beveiligingsinstellingen en toewijzingen van gebruikersrechten
U kunt dit probleem oplossen door de standaardmachtigingen in de COM+-catalogus te herstellen.

Ga als volgt te werk bij een computer met Windows 2000 of Windows Server 2003 die niet als domeincontroller dient:
  1. Zorg dat de groep Iedereen in de map %windir%/registration de machtiging Lezen heeft.
  2. Zorg dat de account SYSTEM in de map %windir%/registration de machtiging Volledig beheer heeft.
  3. Zorg dat de groep Administrators in de map %windir%/registration de machtiging Volledig beheer heeft.
  4. Schakel in de geavanceerde beveiligingseigenschappen van de .clb-bestanden in de map %windir%/registration het selectievakje Overneembare machtigingen van bovenliggend object aan dit object doorgeven. in.
  5. Controleer of de groep Iedereen een van de volgende machtigingen heeft:
    • Traverse-machtigingen ('Mapinhoud weergeven') voor alle bovenliggende mappen, inclusief %systemdrive%, %windir% en %windir%\registration
    • Het gebruikersrecht Bypass Traverse Checking
    Als u het gebruikersrecht Bypass Traverse Checking wilt toewijzen aan de groep Iedereen, gaat u als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ gpedit.msc en klik op OK.
    2. Open Computerconfiguratie en klik achtereenvolgens op Windows-instellingen, Beveiligingsinstellingen en Lokaal beleid om deze opties uit te vouwen en klik op Toewijzing van gebruikersrecht.
    3. Klik met de rechtermuisknop op Bypass traverse checking en klik op Eigenschappen.
    4. Klik op Gebruiker of groep toevoegen.
    5. Typ Iedereen en klik op OK.

      Opmerking Als u een bericht ontvangt waarin staat dat een object met de naam 'Gebruikers' niet kan worden gevonden, klikt u op Objecttypen, schakelt u het selectievakje Groepen in en klikt u twee keer op OK.
Ga als volgt te werk voor een domeincontroller met Windows 2000:
  1. Zorg dat de groep Geverifieerde gebruikers in de map %windir%/registration de machtiging Lezen en Uitvoeren heeft.
  2. Zorg dat de groep Serveroperators in de map %windir%/registration de machtiging Wijzigen heeft.
  3. Zorg dat de account SYSTEM in de map %windir%/registration de machtiging Volledig beheer heeft.
  4. Zorg dat de groep Administrators in de map %windir%/registration de machtiging Volledig beheer heeft.
  5. Schakel in de geavanceerde beveiligingseigenschappen van de .clb-bestanden in de map %windir%/registration het selectievakje Overneembare machtigingen van bovenliggend object aan dit object doorgeven in.
Ga als volgt te werk voor een domeincontroller met Windows Server 2003:
  1. Zorg dat de groep Iedereen in de map %windir%/registration de machtiging Lezen en Uitvoeren heeft.
  2. Zorg dat de account SYSTEM in de map %windir%/registration de machtiging Volledig beheer heeft.
  3. Zorg dat de groep Administrators in de map %windir%/registration de machtiging Volledig beheer heeft.
  4. Schakel in de geavanceerde beveiligingseigenschappen van de .clb-bestanden in de map %windir%/registration het selectievakje Overneembare machtigingen van bovenliggend object aan dit object doorgeven. in.
  5. Controleer of de groep Iedereen een van de volgende machtigingen heeft:
    • Traverse-machtigingen ('Mapinhoud weergeven') voor alle bovenliggende mappen, inclusief %systemdrive%, %windir% en %windir%\registration
    • Het gebruikersrecht Bypass Traverse Checking
    Als u het gebruikersrecht Bypass Traverse Checking wilt toewijzen aan de groep Iedereen, gaat u als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ gpedit.msc en klik op OK.
    2. Open Computerconfiguratie en klik achtereenvolgens op Windows-instellingen, Beveiligingsinstellingen en Lokaal beleid om deze opties uit te vouwen en klik op Toewijzing van gebruikersrecht.
    3. Klik met de rechtermuisknop op Bypass traverse checking en klik op Eigenschappen.
    4. Klik op Gebruiker of groep toevoegen.
    5. Typ Iedereen en klik op OK.

      Opmerking Als u een bericht ontvangt waarin staat dat een object met de naam 'Gebruikers' niet kan worden gevonden, klikt u op Objecttypen, schakelt u het selectievakje Groepen in en klikt u twee keer op OK.
Opmerking Het systeem kan later aanvullende CLB-bestanden maken in de map %windir%/registration. Als u er zeker van wilt zijn dat de nieuwe CLB-bestanden de juiste machtigingen hebben, kent u de machtiging Lezen toe aan de gehele map en niet alleen aan de bestaande CLB-bestanden. U kunt Cacls.exe gebruiken om deze machtigingswijzigingen te automatiseren op de betreffende computer of om de wijzigingen op een eenvoudige manier toe te passen op meerdere computers.

Gebruik de volgende opdrachten voor een computer met Windows 2000 of Windows Server 2003 die niet als domeincontroller dient:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Gebruik de volgende opdrachten voor een domeincontroller met Windows 2000:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Gebruik de volgende opdrachten voor een domeincontroller met Windows 2003:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Opmerking Er mag geen spatie staan tussen het y-teken en het sluisteken (|). De opdracht wordt niet correct uitgevoerd als er een spatie tussen de twee tekens staat.

Meer informatie

Wanneer dit probleem zich voordoet, worden een of meer van de volgende gebeurtenissen weergegeven in het gebeurtenislogboek:
  • De volgende EventSystem-gebeurtenis wordt in het logboek geregistreerd als de Network Service-account niet over de juiste machtigingen beschikt:

    Type: Fout
    Bron: EventSystem
    Categorie: (50)
    Gebeurtenis-id: 4609
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: n.v.t.
    Computer: Server
    Beschrijving: Het COM+-gebeurtenissysteem heeft een onjuiste geretourneerde code aangetroffen tijdens de interne verwerking. HRESULT was 80070005 van regel xx van d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Neem contact op met Microsoft Product Support Services om deze fout te melden.

  • De volgende COM+-gebeurtenis wordt in het logboek geregistreerd als de Network Service-account niet over de juiste machtigingen beschikt:

    Type: Informatie
    Bron: COM+
    Categorie: (117)
    Gebeurtenis-id: 778
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: n.v.t.
    Computer: Server
    Beschrijving: Image dump van toepassing is mislukt.
    Id van servertoepassing: <GUID>
    Id van servertoepassingsexemplaar: <GUID>
    Naam van de servertoepassing: COM+ Explorer
    Foutcode = 0x80004005 : Onbekende fout
    Interne informatie van COM+-services: Bestand: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Regel: 1259 Bestandsversie van Comsvcs.dll: ENU 2001.12.4414.308 shp
    Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.

  • De volgende COM+-gebeurtenis wordt in het logboek geregistreerd als de Network Service-account niet over de juiste machtigingen beschikt:

    Type: Fout
    Bron: COM+
    Categorie: Onbekend
    Gebeurtenis-id: 4689
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: n.v.t.
    Computer: Server
    Beschrijving: De runtimeomgeving heeft een inconsistentie aangetroffen in de interne status. Dit wijst op een mogelijk stabiliteitsprobleem in het proces die mogelijk wordt veroorzaakt door de aangepaste onderdelen in de COM+-toepassing, de onderdelen waarvan gebruik wordt gemaakt of andere factoren. Fout in d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector is mislukt
    Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.

  • Als u in een ASP-pagina probeert te bladeren die wordt uitgevoerd op een IIS-service en de optie Gebruiksvriendelijke HTTP-foutberichten weergeven niet is geselecteerd in Internet Explorer, kan het volgende foutbericht worden weergegeven:
    Servertoepassingsfout.
    Er is een fout opgetreden op de server bij het laden van een toepassing terwijl de aanvraag werd verwerkt. Raadpleeg het gebeurtenislogboek voor meer informatie. Neem contact op met de beheerder van de server voor assistentie.
    HTTP 500 - Interne serverfout Internet Explorer
    In het logboek wordt een gebeurtenis van de volgende strekking geregistreerd:

    Type: Fout
    Bron: DCOM
    Categorie: Geen
    Gebeurtenis-id: 10010
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: NT AUTHORITY\SYSTEM
    Computer: Server
    Beschrijving: De server <GUID> heeft zich niet binnen de vereiste termijn bij DCOM geregistreerd.

  • Als u COM+-toepassingen handmatig probeert te starten in Component Services, wordt het volgende foutbericht weergegeven:
    Catalogusfout: er is een fout opgetreden bij het verwerken van de laatste bewerking. Foutcode 80080005 - Serveruitvoering is mislukt. In het gebeurtenislogboek kunt u aanvullende informatie voor probleemoplossing vinden.
    In het logboek wordt een gebeurtenis van de volgende strekking geregistreerd:

    Type: Fout
    Bron: DCOM
    Categorie: Geen
    Gebeurtenis-id: 10010
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: NT AUTHORITY\SYSTEM
    Computer: Server
    Beschrijving: De server <GUID> heeft zich niet binnen de vereiste termijn bij DCOM geregistreerd.
    Type: Waarschuwing
    Bron: W3SVC
    Categorie: Geen
    Gebeurtenis-id: 36
    Datum: <Datum>
    Tijd: <Tijd>
    Gebruiker: n.v.t.
    Computer: Server
    Beschrijving: De server kan toepassing /LM/W3SVC/1/ROOT niet laden. Het foutbericht was 'Serveruitvoering mislukt'.
    Voor meer specifieke informatie over dit bericht raadpleegt u de website van Microsoft Online Support op: http://search.support.microsoft.com/search/?adv=1.

    Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.

  • Als u probeert een toepassing te installeren of als u probeert de Windows Installer-service handmatig te starten, wordt het volgende foutbericht weergegeven:
    Kan geen toegang krijgen tot de Windows Installer-service. Deze fout kan optreden als u Windows uitvoert in de veilige modus of als Windows Installer niet juist is geïnstalleerd. Neem contact op met het ondersteunend personeel voor hulp.
  • De Windows FireWall-service wordt niet gestart. De volgende foutcode wordt weergegeven:
    Resultaat van fout: 0x80070005 ( -2147024891 ) Id gedefinieerd als: E_ACCESSDENIED Berichttekst: Toegang geweigerd.

Stappen om dit probleem te reproduceren

Verwijder de accounts Systeem en Iedereen uit de bestandsmachtigingen voor de CLB-bestanden. Ga hiervoor als volgt te werk:
  1. Klik op Start en Uitvoeren, typ Explorer.exe c:\winnt\registration en klik op OK.
  2. Klik in Windows Verkenner met de rechtermuisknop op Eigenschappen en open het tabblad Beveiliging.
  3. Klik in het dialoogvenster Eigenschappen voor Registration onder Namen van groepen of gebruikers op System en klik op Geavanceerd.
  4. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Registration op Verwijderen en op OK.
  5. Herhaal stap 3 en 4 tot de account Iedereen geen toegang meer heeft tot CLB-bestanden.

Eigenschappen

Artikel ID: 909444 - Laatste beoordeling: vrijdag 15 augustus 2008 - Wijziging: 15.2
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Trefwoorden: 
kbresolve kbtshoot kbprb KB909444

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com