Problem som kan uppstå efter installation av uppdateringen för COM+ och MS DTC som beskrivs i Microsoft-säkerhetsbulletinen MS05-051

Artikelöversättning Artikelöversättning
Artikel-id: 909444 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Symptom

På en dator med Microsoft Windows XP, Microsoft Windows 2000 eller Windows Server 2003 kan ett eller flera problem uppstå efter att du har installerat den viktiga uppdatering som beskrivs i Microsofts säkerhetsbulletin MS05-051. Problemen kan bl a vara:
  • Det går inte att starta tjänsten Windows Installer.
  • Det går inte att starta tjänsten Windows Brandväggen.
  • Mappen Nätverksanslutningar är tom.
  • Webbplatsen Windows Update rekommenderar felaktigt att du ändrar inställningen Spara användardata i Microsoft Internet Explorer.
  • ASP-sidor som körs på Microsoft Internet Information Services (IIS) returnerar "HTTP 500 - Internt serverfel".
  • Tjänsten Microsoft COM+ EventSystem kan inte startas.
  • Det går inte att starta COM+-program.
  • Det går inte att expandera noden datorer i MMC-trädet (Microsoft Management Console) Komponenttjänster.
  • Autentiserade användare kan inte logga in, och en tom skärm visas efter att användaren installerat säkerhetsuppdateringarna från oktober.
  • I en konfiguration med serverkluster startar inte klustertjänsten. Följande händelse loggas i klusterloggfilen:

    FEL [NM] Det gick inte att etablera en anslutningspunkt med nätanslutningshanteraren, status 80070005. VARN [NM] Det gick inte att starta nätanslutningshanterarens rådmottagare, status 80070005 FEL [NM] Initieringen misslyckades -2147024891

  • Följande information, eller liknande, kan också finnas i systemloggen:

    Händelse-ID: 512
    Källa: CryptSvc
    Beskrivning:
    Det gick inte att starta VSS-säkerhetskopieringsobjektet "System Writer" via tjänsten Kryptografitjänster.

    Information:
    System Writer-objektet kunde inte prenumerera på VSS.

    Systemfel:
    Oåterkalleligt fel

  • Det kan uppstå ett fel där åtkomst nekas om du försöker ansluta till Windows Management Instrumentation (WMI) via skript, verktyget WBEMTest.exe eller andra verktyg. Filen %windir%\system32\wbem\logs\wbemprox.log innehåller fel som liknar följande:
    ConnectViaDCOM, CoCreateInstanceEx resulterade i hr = 0x80070005
  • Följande COM+ 1.0-katalogfelmeddelande kan visas när en tom COM+-tillämpning skapas:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Orsak

Detta problem kan uppstå om COM- eller COM+-program inte kommer åt COM+-katalogfiler. Programmet kan inte komma åt katalogfilerna eftersom standardbehörigheten till katalogen och filerna har ändrats från ursprungsinställningarna. Innan Microsofts säkerhetsbulletin MS05-051 installerades behövdes inte explicit behörighet till COM+-katalogen. COM+-katalogfilerna har filnamnstillägget CLB och finns i mappen %windir%\registration. Standardinställningen är att katalogen och filerna har följande behörigheter:
Dölj tabellenVisa tabellen
AdministratörerSystemAllaAutentiserade användareServeransvariga
Icke-domänkontrollant med Windows 2000Fullständig behörighetFullständig behörighetLäsa
Domänkontrollant med Windows 2000Fullständig behörighetFullständig behörighetÄndraLäsa & köra
Icke-domänkontrollant med Windows Server 2003Fullständig behörighetFullständig behörighetLäsa
Domänkontrollant med Windows Server 2003Fullständig behörighetFullständig behörighetLäsa & köra

Lösning

Säkerhetsändringarna som genomfördes i MS05-051 kräver läsnivåbehörigheter för NTFS-filsystemet för mappen %windir%\registration. Standardbehörigheterna omfattar läsåtkomst för gruppen Alla. Om denna konfiguration ändras kan det få oväntade följder i program och tjänster. Organisationer med mer begränsande NTFS-säkerhetsbehörigheter bör ge behörigheter på läsnivå via gruppmedlemskap för användare, program och tjänster som kräver åtkomst till COM-funktioner. Vi rekommenderar att standardinställningen för mappen används så att eventuella kompatibilitetsproblem kan undvikas. Administratörer som vill använda en annan inställning än standardinställningen bör genomföra grundlig kompatibilitetstestning. Om du vill läsa mer information om problemen som kan uppstå om behörigheter ändras för systemmappar, kan du klicka på följande artikelnummer och läsa artikeln i Microsoft Knowledge Base:
885409 Information om säkerhetsguider
Förutom NTFS-behörigheter krävs behörighet att åsidosätta bläddringskontroll. Denna behörighet beviljas till gruppen Alla som standard. Liksom med NTFS-behörigheter bör användare, program och tjänster ges denna behörighet via gruppmedlemskap. Om du vill veta mer om behörigheten att åsidosätta bläddringskontroll, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823659 Klient-, tjänst- och programinkompatibilitet vid ändring av säkerhetsinställningar och tilldelning av användarrättigheter
Du löser problemet genom att återställa standardbehörigheten till COM+-katalogen.

Gör så här på en dator med Windows 2000 eller Windows Server 2003 och som inte körs som domänkontrollant:
  1. Kontrollera att gruppen Alla har läsbehörighet i mappen %windir%\registration.
  2. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  3. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att följande alternativ under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration är markerat: Tillåt att granskningsposter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet och alla underobjekt. Inkludera dessa med poster som uttryckligen anges här.
  5. Kontrollera att gruppen Alla har någon av följande behörigheter:
    • Bläddringsbehörighet (?Visa mappinnehåll?) i alla överordnade kataloger, inklusive %systemdrive%, %windir% och %windir%\registration
    • Behörigheten att åsidosätta bläddringskontroll
    Så här tilldelar du gruppen behörigheten att åsidosätta bläddringskontroll till gruppen Alla:
    1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
    2. Expandera Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Tilldelning av användarrättigheter.
    3. Högerklicka på Kringgå bläddringskontroll och klicka sedan på Egenskaper.
    4. Klicka på Lägg till användare eller grupp.
    5. Skriv Alla och klicka på OK.

      Obs! Om det visas ett meddelande om att objektet "Users" inte kan hittas klickar du på Objekttyper, markerar kryssrutan Grupper och klickar två gånger på OK.
Gör så här för en domänkontrollant med Windows 2000:
  1. Kontrollera att den autentiserade användargruppen Alla har läs- och körbehörighet i mappen %windir%\registration.
  2. Kontrollera att gruppen Serveransvariga har ändringsbehörighet i mappen %windir%\registration.
  3. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  5. Kontrollera att alternativet Tillåt att behörigheter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet är markerat under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration.
Gör så här för en domänkontrollant med Windows Server 2003:
  1. Kontrollera att gruppen Alla har läs- och körbehörighet i mappen %windir%\registration.
  2. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  3. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att följande alternativ under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration är markerat: Tillåt att granskningsposter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet och alla underobjekt. Inkludera dessa med poster som uttryckligen anges här.
  5. Kontrollera att gruppen Alla har någon av följande behörigheter:
    • Bläddringsbehörighet (?Visa mappinnehåll?) i alla överordnade kataloger, inklusive %systemdrive%, %windir% och %windir%\registration
    • Behörigheten att åsidosätta bläddringskontroll
    Så här tilldelar du gruppen behörigheten att åsidosätta bläddringskontroll till gruppen Alla:
    1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
    2. Expandera Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Tilldelning av användarrättigheter.
    3. Högerklicka på Kringgå bläddringskontroll och klicka sedan på Egenskaper.
    4. Klicka på Lägg till användare eller grupp.
    5. Skriv Alla och klicka på OK.

      Obs! Om det visas ett meddelande om att objektet "Users" inte kan hittas klickar du på Objekttyper, markerar kryssrutan Grupper och klickar två gånger på OK.
Obs! Systemet kan senare skapa ytterligare CLB-filer i mappen %windir%/registration. Om du ger läsbehörighet till hela mappen i stället för till filerna kommer kontona och grupperna automatiskt att få rätt behörighet till de nya CLB-filerna. Du kan använda Cacls.exe för att automatisera behörighetsändringarna på berörda datorer, eller för att så enkelt som möjligt göra ändringarna på flera datorer samtidigt.

Använd följande kommandon på en dator med Windows 2000 eller Windows Server 2003 och som inte körs som domänkontrollant:
echo y| cacls %windir%\registration /G alla:R system:F administratörer:F
echo y| cacls %windir%\registration\*.clb /G alla:R system:F administratörer:F
Använd följande kommandon för en domänkontrollant med Windows Server 2000:
echo y| cacls %windir%\registration /G "Autentiserade användare":R "Serveransvariga":R system:F administratörer:F
Använd följande kommandon för en domänkontrollant med Windows Server 2003:
echo y| cacls %windir%\registration /G alla:R system:F administratörer:F
echo y| cacls %windir%\registration\*.clb /G alla:R system:F administratörer:F
Obs! Kontrollera att det inte finns ett blanksteg mellan tecknet y och lodtecknet (|). Om det finns ett blanksteg mellan tecknen kommer kommandona inte att fungera.

Mer Information

Om detta problem uppstår visas ett eller flera av följande händelser i loggboken:
  • Följande EventSystem-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:

    Typ: Fel
    Källa: EventSystem
    Kategori: (50)
    Händelse-ID: 4609
    Datum: <Datum>
    Tid: <Tid>
    Användare: Ingen
    Dator: Server
    Beskrivning: COM+ Event System påträffade en felaktig returkod vid intern bearbetning. HRESULT var 80070005 på rad xx i d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Kontakta Microsoft produktsupport för att rapportera felet.

  • Följande COM+-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:

    Typ: Information
    Källa: COM+
    Kategori: (117)
    Händelse-ID: 778
    Datum: <Datum>
    Tid: <Tid>
    Användare: Ingen
    Dator: Server
    Beskrivning: Det gick inte att spara programmets minnesavbildning.
    Serverprogram-ID: <GUID>
    Serverprogrammets instans-ID: <GUID>
    Serverprogramnamn: COM+ Explorer
    Felkod = 0x80004005 : Odefinierat fel
    Intern information från COM+ Service: Fil: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Rad: 1259 Comsvcs.dll filversion: ENU 2001.12.4414.308 shp
    Mer information finns i Hjälp- och supportcenter på http://support.microsoft.com.

  • Följande COM+-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:

    Typ: Fel
    Källa: COM+
    Kategori: Okänd
    Händelse-ID: 4689
    Datum: <Datum>
    Tid: <Tid>
    Användare: Ingen
    Dator: Server
    Beskrivning: Körtidsmiljön har påträffat en inkonsekvens i det interna tillståndet. Detta kan indikera instabilitet i processen som kan orsakas av anpassade komponenter som körs i COM+-miljön, de komponenter de använder eller andra faktorer. Fel i d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector misslyckades
    Mer information finns i Hjälp- och supportcenter på http://support.microsoft.com.

  • Om du försöker gå till en ASP-sida som hanteras av ISS och alternativet Visa egna HTTP-felmeddelanden inte är aktiverat i Internet Explorer visas följande felmeddelande:
    Serverprogramfel.
    Servern har upptäckt ett fel när ett program lästes in när din begäran behandlades. Mer information finns i Loggboken. Kontakta serverns administratör för ytterligare hjälp.
    HTTP 500 - Internt serverfel Internet Explorer
    Följande information, eller liknande, kan också finnas i loggboken:

    Typ: Fel
    Källa: DCOM
    Kategori: Inget
    Händelse-ID: 10010
    Datum: <Datum>
    Tid: <Tid>
    Användare: NT AUTHORITY\SYSTEM
    Dator: Server
    Beskrivning: Servern <GUID> registrerades inte med DCOM inom erforderlig timeout.

  • Om du försöker starta COM+-tillämpningar manuellt i Komponenttjänster kan följande felmeddelande visas:
    Filförteckningsfel: Ett fel inträffade under den senaste åtgärden. Felkod 80080005 - Serverkörning misslyckades. Loggboken kan innehålla ytterligare felsökningsinformation.
    Följande information, eller liknande, kan också finnas i loggboken:

    Typ: Fel
    Källa: DCOM
    Kategori: Inget
    Händelse-ID: 10010
    Datum: <Datum>
    Tid: <Tid>
    Användare: NT AUTHORITY\SYSTEM
    Dator: Server
    Beskrivning: Servern <GUID> registrerades inte med DCOM inom erforderlig timeout.
    Typ: Varning
    Källa: W3SVC
    Kategori: Inget
    Händelse-ID: 36
    Datum: <Datum>
    Tid: <Tid>
    Användare: Ingen
    Dator: Server
    Beskrivning: Servern kunde inte läsa in programmet '/LM/W3SVC/1/ROOT'. Felet var 'Serverkörning misslyckades'.
    Mer information som gäller detta meddelande finns på webbplatsen Microsoft Online Support på adressen: http://search.support.microsoft.com/search/?adv=1.

    Mer information finns i Hjälp- och supportcenter på http://support.microsoft.com.

  • Om du försöker installera ett program eller om du försöker starta tjänsten Windows Installera manuellt, kan följande felmeddelande visas:
    Det gick inte att komma åt tjänsten Windows Installer. Detta kan inträffa om du kör Windows i felsäkert läge, eller om Windows Installer inte är korrekt installerat. Kontakta supportpersonal och be om hjälp.
  • Tjänsten Windows Brandvägg kan inte startas, och returnerar följande felkod:
    Fel: 0x80070005 ( -2147024891 ) ID definierat som: E_ACCESSDENIED Meddelandetext : Åtkomst nekades.

Steg för att återskapa problemet

Ta bort behörigheterna till CLB-filer från kontot System och gruppen Alla. Gör så här:
  1. Klicka på Start, klicka på Kör, skriv Explorer.exe c:\winnt\registration och klicka på OK.
  2. Högerklicka på Egenskaper i Utforskaren och klicka på fliken Säkerhet.
  3. Klicka på System under Grupp- eller användarnamn i dialogrutan Egenskaper för Registration och klicka sedan på Avancerat.
  4. Klicka på Ta bort i dialogrutan Avancerade säkerhetsinställningar för Registration och klicka sedan på OK.
  5. Upprepa steg 3 och 4 så att kontot Alla inte kan komma åt CLB-filer.

Egenskaper

Artikel-id: 909444 - Senaste granskning: den 13 augusti 2008 - Revision: 15.2
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Nyckelord: 
kbresolve kbtshoot kbprb KB909444

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com