Det kan hende du får ulike problemer når du har installert Microsofts sikkerhetsbulletin MS05-051 for COM+ og MS DTC

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 909444 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Symptom

På en datamaskin som kjører Microsoft Windows XP, Microsoft Windows 2000 eller Windows Server 2003, kan det oppstå problemer etter at du har installert den viktige oppdateringen som beskrives i Microsofts sikkerhetsbulletin MS05-051. Følgende problemer kan oppstå:
  • Windows Installer-tjenesten starter ikke.
  • Windows-brannmuren starter ikke.
  • Mappen Nettverkstilkoblinger er tom.
  • Webområdet Windows Update viser feilinformasjon om at du bør endre innstillinger for Vedvarende brukerdata i Microsoft Internet Explorer.
  • Active Server Pages (ASP) som kjører på Microsoft Internet Information Services (IIS), returnerer feilmeldingen "HTTP 500 Intern serverfeil".
  • Tjenesten Microsoft COM+ EventSystem starter ikke.
  • COM+-programmer starter ikke.
  • Noden computers i konsolltreet for Microsoft Management Console (MMC) i Microsoft Component Services lar seg ikke utvide.
  • Godkjente brukere kan ikke logge på, og det vises en tom skjerm etter at sikkerhetsoppdateringene for oktober ble tatt i bruk.
  • I serverklyngekonfigurasjoner kan det hende at klyngetjenesten ikke startes. Følgende hendelser logges i klyngloggfilen:

    ERR [NM] Kunne ikke opprette et tilkoblingspunkt med Net Connection Manager, status 80070005. WARN [NM] Kunne ikke initialisere Net Connection Manager advise sink, status 80070005 ERR [NM] Kan ikke initialisere -2147024891

  • Det kan være at en hendelse som ligner på følgende, logges i systemloggen:

    Hendelses-ID: 512
    Kilde: CryptSvc
    Beskrivelse:
    Tjenesten Kryptografiske tjenester kan ikke initialisere System Writer-objektet i forbindelse med VSS-sikkerhetskopiering.

    Detaljer:
    System Writer-objektet kan ikke abonnere på VSS.

    Systemfeil:
    Alvorlig feil

  • Du kan komme til å motta en feilmelding om at du nektes tilgang når du forsøker å koble deg til Windows Management Instrumentation (WMI) ved hjelp av skript, verktøyet WBEMTest.exe eller andre verktøy. Loggfilen %windir%\system32\wbem\logs\wbemprox.log inneholder feil som ligner på følgende feil da feilen oppstod:
    ConnectViaDCOM, CoCreateInstanceEx resulterte i hr = 0x80070005
  • Du kan få følgende katalogfeilmelding i COM+ 1.0 når du oppretter et tomt COM+-program:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Årsak

Dette problemet kan oppstå hvis COM- eller COM+-programmer ikke får tilgang til COM+-katalogfilene. Programmet har ikke tilgang til COM+-katalogfiler fordi standardtillatelsene i COM+-katalogmappen og -filene er endret i forhold til standardinnstillingene. Før Microsofts sikkerhetsbulletin MS05-051 ble distribuert, var det ikke nødvendig med uttrykkelig tillatelse for å få tilgang til COM+-katalogen. COM+-katalogfilene er CLB-filer i %windir%\registration-katalogen. Som standard har COM+-katalogmappen og -filene følgende tillatelser:
Skjul denne tabellenVis denne tabellen
AdministratorerSystemAlleGodkjente brukereServeroperatører
Windows 2000-kontroller utenfor domenetFull kontrollFull kontrollLese
Windows 2000-domenekontrollerFull kontrollFull kontrollEndreLese og kjøre
Windows Server 2003 kontroller utenfor domenetFull kontrollFull kontrollLese
Windows Server 2003-domenekontrollerFull kontrollFull kontrollLese og kjøre

Løsning

Med bakgrunn i sikkerhetsendringene som ble tatt i bruk i MS05-051, kreves det lesetillatelse for mappen %windir%\registration i forbindelse med NTFS-filsystemer. Standardtillatelser omfatter lesetilgang for gruppen Alle. Hvis denne konfigurasjonen har blitt endret, kan programmer og tjenester oppføre seg på uventet måte. Organisasjoner som har valgt å innføre strengere NTFS-sikkerhetstillatelser, bør vurdere å gi lesetilgang gjennom gruppemedlemskap for brukere, programmer og tjenester som krever tilgang til COM-funksjonalitet. Vi anbefaler bruk av standardinnstillingene for mappen, slik at det ikke oppstår problemer med programkompatibiliteten. Utstrakt testing av programkompatibilitet anbefales for administratorer som vil innføre andre innstillinger enn standardinnstillingene. Hvis du vil ha mer informasjon om problemene som kan oppstå ved endring av tillatelser for systemmapper, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
885409 Veiledningsstøtte for sikkerhetskonfigurasjon
I tillegg til NTFS-tillatelser, kreves Bypass Traversal-tillatelser. Som standard gis denne tillatelsen til Alle-gruppen. Som angitt for tillatelser, bør brukere, programmer og tjenester få denne tillatelsen gjennom gruppemedlemskap. Hvis du vil ha mer informasjon om Bypass Traversal-brukerrettigheter, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823659 Klient-, tjeneste- og programinkompatibilitet som kan oppstå når du endrer sikkerhetsinnstillinger og tilordninger av brukerrettigheter
Du kan løse dette problemet ved å gjenopprette standardtillatelsene for COM+-katalogen.

Hvis du har en datamaskin som kjører Windows 2000 eller Windows Server 2003, og som ikke kjører som domenekontroller, gjør du som følger:
  1. I mappen %windir%/registration kontrollerer du at Alle-gruppen har lesetillatelse.
  2. I mappen %windir%/registration kontrollerer du at SYSTEM-kontoen har alle tillatelser.
  3. I mappen %windir%/registration kontrollerer du at Administratorer-gruppen har alle tillatelser.
  4. Åpne dialogboksen for avanserte sikkerhetsinnstillinger for CLB-filer i mappen %windir%/registration, og forsikre deg om at det er merket av for alternativet Tillat at arvbare overvåkningsoppføringer fra overordnet objekt overføres til dette objektet og underordnede objekter. Inkluder disse med oppføringer som er definert eksplisitt her.
  5. Kontroller at Alle-gruppen har en av følgende tillatelser:
    • Traverseringstillatelser (Vis mappeinnhold) for alle overordnede kataloger, inkludert %systemdrive%, %windir% og %windir%\registration
    • Brukerrettighet til å hoppe over traverseringskontroll
    Slik tilordner du brukerrettigheten til å hoppe over traverseringskontroll:
    1. Klikk Start, Kjør, skriv inn gpedit.msc, og klikk deretter OK.
    2. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, utvid Sikkerhetsinnstillinger, utvid Lokale policyer, og utvid deretter Tilordning av brukerrettigheter.
    3. Høyreklikk Bypass traverse checking (hopp over traverseringskontroll), og klikk Egenskaper.
    4. Klikk Legg til bruker eller gruppe.
    5. Skriv inn Alle, og klikk deretter OK.

      Obs! Hvis du får melding om at objekt med navn "Users" (brukere) ikke finnes, klikk Object Types (objekttyper), klikk for å velge avmerkingsboksen Groups (grupper), og klikk deretter OK to ganger.
For domenekontrollere som kjører Windows 2000, skal følgende trinn følges:
  1. I mappen %windir%/registration kontrollerer du at Godkjente brukere-gruppen har lese- og kjøretillatelse.
  2. I mappen %windir%/registration kontrollerer du at Serveroperatører-gruppen har endringstillatelse.
  3. I mappen %windir%/registration kontrollerer du at SYSTEM-kontoen har alle tillatelser.
  4. I mappen %windir%/registration kontrollerer du at Administratorer-gruppen har alle tillatelser.
  5. Åpne dialogboksen for avanserte sikkerhetsinnstillinger for CLB-filer i mappen %windir%/registration, og forsikre deg om at det er merket av for alternativet Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet.
For domenekontrollere som kjører Windows 2003, skal følgende trinn følges:
  1. I mappen %windir%/registration kontrollerer du at Alle-gruppen har lesetillatelse.
  2. I mappen %windir%/registration kontrollerer du at SYSTEM-kontoen har alle tillatelser.
  3. I mappen %windir%/registration kontrollerer du at Administratorer-gruppen har alle tillatelser.
  4. Åpne dialogboksen for avanserte sikkerhetsinnstillinger for CLB-filer i mappen %windir%/registration, og forsikre deg om at det er merket av for alternativet Tillat at arvbare overvåkningsoppføringer fra overordnet objekt overføres til dette objektet og underordnede objekter. Inkluder disse med oppføringer som er definert eksplisitt her..
  5. Kontroller at Alle-gruppen har en av følgende tillatelser:
    • Traverseringstillatelser (Vis mappeinnhold) for alle overordnede kataloger, inkludert %systemdrive%, %windir% og %windir%\registration
    • Brukerrettighet til å hoppe over traverseringskontroll
    Slik tilordner du brukerrettigheten til å hoppe over traverseringskontroll:
    1. Klikk Start, Kjør, skriv inn gpedit.msc, og klikk deretter OK.
    2. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, utvid Sikkerhetsinnstillinger, utvid Lokale policyer, og utvid deretter Tilordning av brukerrettigheter.
    3. Høyreklikk Bypass traverse checking (hopp over traverseringskontroll), og klikk Egenskaper.
    4. Klikk Legg til bruker eller gruppe.
    5. Skriv inn Alle, og klikk deretter OK.

      Obs! Hvis du får melding om at objekt med navn "Users" (brukere) ikke finnes, klikk Object Types (objekttyper), klikk for å velge avmerkingsboksen Groups (grupper), og klikk deretter OK to ganger.
Obs! Systemet kan senere opprette ytterligere CLB-filer i mappen %windir%/registration. Hvis du vil forsikre deg om at de nye CLB-filene har de nødvendige tillatelsene, kan du gi Lese-tillatelse til hele katalogen, og ikke bare til CLB-filene som finnes for øyeblikket. Du kan bruke Cacls.exe-filen til å automatisere disse endringene av tillatelser på den berørte datamaskinen eller til å gjennomføre endringene på flere datamaskiner på en enkel måte.

Hvis du har en datamaskin som kjører Windows 2000 eller Windows Server 2003, og som ikke kjører som domenekontroller, bruker du følgende kommandoer:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
For domenekontrollere som kjører Windows 2000, bruker du følgende kommandoer:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
For domenekontrollere som kjører Windows 2003, bruker du følgende kommandoer:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Obs! Sørg for at det ikke er noe mellomrom mellom bokstaven y og den loddrette streken (|). Hvis det settes inn et mellomrom mellom disse tegnene, utføres ikke kommandoen slik den skal.

Mer informasjon

Hvis dette problemet oppstår, kan følgende hendelser bli registrert i hendelsesloggen:
  • Følgende EventSystem-hendelse kan bli logget i hendelsesloggen hvis nettverkstjenestekontoen ikke har de riktige tilgangsrettighetene:

    Hendelsestype: Feil
    Hendelseskilde: EventSystem
    Hendelseskategori: (50)
    Hendelses-ID: 4609
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: I/T
    Datamaskin: Server
    Beskrivelse: COM+ Event System oppdaget en ugyldig returkode i den interne behandlingen. HRESULT var 80070005 fra linje xx i d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Ta kontakt med Microsofts kundestøttetjeneste for å rapportere denne feilen.

  • Følgende COM+-hendelse kan bli logget i hendelsesloggen hvis nettverkstjenestekontoen ikke har de riktige tilgangsrettighetene:

    Hendelsestype: Informasjon
    Hendelseskilde: COM+
    Hendelseskategori: (117)
    Hendelses-ID: 778
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: I/T
    Datamaskin: Server
    Beskrivelse: Programmet kan ikke lage en bildedump.
    ID for serverprogram: <GUID>
    Forekomst-ID for serverprogram: <GUID>
    Navn på serverprogram: COM+ Explorer
    Feilkode = 0x80004005: Uspesifisert feil
    COM+-tjenesteintern informasjon: Fil: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Linje: 1259 Comsvcs.dll-filversjon: ENU 2001.12.4414.308 shp
    Hvis du vil ha mer informasjon, kan du se Hjelp og støtte på http://support.microsoft.com.

  • Følgende COM+-hendelse kan bli logget i hendelsesloggen hvis nettverkstjenestekontoen ikke har de riktige tilgangsrettighetene:

    Hendelsestype: Feil
    Hendelseskilde: COM+
    Hendelseskategori: Ukjent
    Hendelses-ID: 4689
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: I/T
    Datamaskin: Server
    Beskrivelse: Kjøretidsmiljøet har oppdaget manglende samsvar i den interne statusen. Dette kan tyde på mulig ustabilitet i prosessen, noe som kan skyldes de egendefinerte komponentene som kjøres i COM+-programmet, komponentene som de bruker, eller andre faktorer. Feil i d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector mislyktes
    Hvis du vil ha mer informasjon, kan du se Hjelp og støtte på http://support.microsoft.com.

  • Når du forsøker å bla gjennom en ASP-side som kjører på en IIS-tjeneste, og alternativet Vis egendefinerte HTTP-feilmeldinger ikke er valgt i Internet Explorer, kan du motta følgende feilmelding:
    Serverprogramfeil.
    Serveren støtte på en feil under lasting av en applikasjon under behandling av forespørselen. Se hendelsesloggen for mer informasjon. Kontakt serveradministratoren for hjelp.
    HTTP 500 Intern serverfeil Internet Explorer
    En hendelse som ligner denne, kan også bli logget i hendelsesloggen:

    Hendelsestype: Feil
    Hendelseskilde: DCOM
    Hendelseskategori: Ingen
    Hendelses-ID: 10010
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: NT AUTHORITY\SYSTEM
    Datamaskin: Server
    Beskrivelse: Serveren <GUID> ble ikke registrert med DCOM innen fristen for tidsavbrudd.

  • Når du forsøker å starte COM+-programmer manuelt i Component Services, kan du motta følgende feilmelding:
    Catalog Error: An error occurred while processing the last operation. Error code 80080005 - Server execution failed. The event log may contain additional troubleshooting information.
    En hendelse som ligner denne, kan også bli logget i hendelsesloggen:

    Hendelsestype: Feil
    Hendelseskilde: DCOM
    Hendelseskategori: Ingen
    Hendelses-ID: 10010
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: NT AUTHORITY\SYSTEM
    Datamaskin: Server
    Beskrivelse: Serveren <GUID> ble ikke registrert med DCOM innen fristen for tidsavbrudd.
    Hendelsestype: Advarsel
    Hendelseskilde: W3SVC
    Hendelseskategori: Ingen
    Hendelses-ID: 36
    Dato: <Dato>
    Klokkeslett: <Klokkeslett>
    Bruker: I/T
    Datamaskin: Server
    Beskrivelse: Serveren kunne ikke laste programmet /LM/W3SVC/1/ROOT. Feilen gikk ut på at "Serverutføringen mislyktes".
    Hvis du vil ha mer informasjon om denne meldingen, kan du gå til Microsofts webområde for elektronisk kundestøtte på http://search.support.microsoft.com/search/?adv=1.

    Hvis du vil ha mer informasjon, kan du se Hjelp og støtte på http://support.microsoft.com.

  • Når du forsøker å installere et program, eller når du forsøker å starte Windows Installer-tjenesten manuelt, kan du få følgende feilmelding:
    Får ikke tilgang til Windows Installer-tjenesten. Dette kan skje hvis du kjører Windows i sikkermodus, eller hvis Windows Installer ikke er installert på riktig måte. Kontakt brukerstøtteavdelingen for å få hjelp.
  • Windows-brannmuren starter kanskje ikke med følgende feilmelding:
    Feil: 0x80070005 ( -2147024891 ) ID definert som: E_ACCESSDENIED Meldingstekst: Ingen tilgang.

Fremgangsmåte for å gjenskape problemet

Fjern systemkontoen og Alle-kontoen fra filtillatelsene for CLB filene. Dette gjør du slik:
  1. Klikk Start, klikk Kjør, skriv inn Explorer.exe c:\winnt\registration, og klikkOK.
  2. I Windows Utforsker høyreklikker du Egenskaper, og deretter klikker du kategorien Sikkerhet.
  3. I dialogboksen Egenskaper for Registration klikker du System under Gruppe- eller brukernavn, og deretter klikker du Avansert.
  4. I dialogboksen Avanserte sikkerhetsinnstillinger for Registration klikker du Fjern, og deretter klikker du OK.
  5. Gjenta trinn 3 og 4 for å unngå at Alle-kontoen får tilgang til CLB-filer.

Egenskaper

Artikkel-ID: 909444 - Forrige gjennomgang: 11. august 2008 - Gjennomgang: 15.2
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Nøkkelord: 
kbresolve kbtshoot kbprb KB909444

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com