Nach der Installation des Microsoft Security Bulletins MS05-051 für COM+ und MS DTC können verschiedene Probleme auftreten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 909444 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Auf einem Computer, auf dem Microsoft Windows XP, Microsoft Windows 2000 oder Windows Server 2003 ausgeführt wird, können nach der Installation des wichtigen Updates, das im Microsoft Security Bulletin MS05-051 erläutert wird, mehrere Probleme auftreten. Zu diesen Problemen zählen:
  • Der Windows-Installerdienst wird eventuell nicht gestartet.
  • Der Windows-Firewalldienst wird eventuell nicht gestartet.
  • Der Ordner "Netzwerkverbindungen" ist leer.
  • Die Windows Update-Website empfiehlt eventuell fälschlicherweise, die Einstellung Dauerhaftigkeit der Benutzerdaten in Microsoft Internet Explorer zu ändern.
  • ASP-Seiten (ASP = Active Server Pages), die auf Microsoft Internet Information Services (IIS) ausgeführt werden, geben eine Fehlermeldung "HTTP 500 – Interner Serverfehler" zurück.
  • Der Microsoft COM+-EventSystem-Dienst wird nicht gestartet.
  • COM+-Anwendungen werden nicht gestartet.
  • Der Knoten Computer in der MMC-Struktur (MMC = Microsoft Management Console) der Microsoft-Komponentendienste lässt sich nicht erweitern.
  • Authentifizierte Benutzer können sich nicht anmelden, und nach Installation der im Oktober veröffentlichten Sicherheitsupdates wird ein leerer Bildschirm angezeigt.
  • In einer Serverclusterkonfiguration wird der Clusterdienst möglicherweise nicht gestartet. In der Clusterprotokolldatei wird das folgende Ereignis protokolliert:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Im Systemprotokoll wird möglicherweise ein Ereignis angezeigt, das dem folgenden ähnelt:

    Ereignis-ID: 512
    Quelle: CryptSvc
    Beschreibung:
    Der Kryptografiedienstedienst konnte das VSS-Sicherungsobjekt "Systemverfasser" nicht initialisieren.

    Details:
    Das Objekt "Systemverfasser" (System Writer) konnte VSS nicht abonnieren

    Systemfehler:
    Schwerwiegender Fehler:

  • Ein Zugriffsverweigerungsfehler kann auftreten, wenn Sie versuchen, mit einem Skript, mit dem Dienstprogramm "WBEMTest.exe" oder mit einem anderen Programm eine Verbindung zur Windows Management Instrumentation (WMI) herzustellen. Die Datei "%windir%\system32\wbem\logs\wbemprox.log" enthält Fehler, die dem folgenden Fehler zum Zeitpunkt, zu welchem das Problem aufgetreten ist, ähnlich sind:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Beim Erstellen einer leeren COM+-Anwendung erhalten Sie möglicherweise die folgende COM+ 1.0 Katalog-Fehlermeldung:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Ursache

Dieses Problem kann auftreten, wenn COM- oder COM+-Anwendungen nicht auf die COM+-Katalogdateien zugreifen können. Die Anwendung kann nicht auf die COM+-Katalogdateien zugreifen, da die Standardberechtigungen für das COM+-Katalogverzeichnis und die Katalogdateien gegenüber den Standardeinstellungen geändert wurden. Vor Microsoft Security Bulletin MS05-051 waren explizite Berechtigungen für den COM+-Katalog nicht erforderlich. Die COM+-Katalogdateien sind CLB-Dateien und befinden sich im Ordner "%windir%\registration". Standardmäßig haben COM+-Katalogverzeichnis und -dateien die folgenden Berechtigungen:
Tabelle minimierenTabelle vergrößern
AdministratorenSystemJederAuthentifizierte BenutzerServer-Operatoren
Windows 2000-Nicht-DomänencontrollerVollzugriffVollzugriffLesen
Windows 2000-DomänencontrollerVollzugriffVollzugriffÄndernLesen & ausführen
Windows Server 2003-Nicht-DomänencontrollerVollzugriffVollzugriffLesen
Windows Server 2003-DomänencontrollerVollzugriffVollzugriffLesen & ausführen

Lösung

Aufgrund der in MS05-051 implementierten Änderungen der Sicherheitseinstellungen ist die NTFS Dateisystem-Berechtigung "Lesen" für den Ordner "%windir%\registration" erforderlich. Die Standardberechtigungen umfassen Lesezugriff für die Gruppe "Jeder". Wenn diese Konfiguration verändert wird, kann bei Anwendungen und Diensten ein unerwartetes Verhalten auftreten. Organisationen, die sich entschlossen haben, restriktivere NTFS-Sicherheitsberechtigungen zu implementieren, sollten erwägen, Benutzern, Anwendungen und Diensten, die Zugang zur COM-Funktionalität benötigen, über eine Gruppenmitgliedschaft die Berechtigung "Lesen" zuzuweisen. Microsoft empfiehlt, die Standardeinstellungen für den Ordner zu verwenden, um mögliche Probleme in Bezug auf die Anwendungskompatibilität zu vermeiden. Es wird Administratoren, die andere Einstellungen als die Standardeinstellungen implementieren möchten, außerdem empfohlen, ausführliche Tests zur Anwendungskompatibilität durchzuführen. Weitere Informationen über mögliche Probleme, die auftreten können, wenn Berechtigungen für die Systemordner geändert werden, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
885409 Empfehlungen zur Sicherheitskonfiguration
Neben den NTFS-Berechtigungen ist die Berechtigung "Wechselprüfung umgehen" (Bypass Traversal) erforderlich. Diese Berechtigung ist standardmäßig der Gruppe "Jeder" zugewiesen. Wie bei den NFTS-Berechtigungen sollte diese Berechtigung Benutzern, Anwendungen und Diensten über eine Gruppenmitgliedschaft zugewiesen werden. Weitere Informationen über die Benutzerberechtigung "Wechselprüfung umgehen" (Bypass Traversal) finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823659 Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit Clients, Diensten und Programmen auftreten
Stellen Sie die Standardberechtigungen für den COM+-Katalog wieder her, um dieses Problem zu beheben.

Gehen Sie folgendermaßen vor, wenn Sie mit einem Windows 2000- oder Windows Server 2003-Computer arbeiten, der nicht als Domänencontroller fungiert:
  1. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Jeder" Leseberechtigungen hat.
  2. Vergewissern Sie sich, dass im Ordner "%windir%/registration" das Konto SYSTEM Vollzugriff hat.
  3. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Administratoren" Vollzugriff hat.
  4. Vergewissern Sie sich, dass in den erweiterten Sicherheitseinstellungen der CLB-Dateien im Ordner "%windir%/registration" die Option Überwachungseinträge übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Diese Objekte inklusive der hier definierten Einträge mit einbeziehen aktiviert ist.
  5. Vergewissern Sie sich, dass die Gruppe "Jeder" eine der folgenden Berechtigungen hat:
    • Berechtigung zum Durchsuchen ("Ordnerinhalt auflisten") aller übergeordneten Verzeichnisse einschließlich "%systemdrive%", "%windir%" und "%windir%\registration"
    • Berechtigung "Auslassen der durchsuchenden Überprüfung"
    Gehen Sie folgendermaßen vor, um der Gruppe "Jeder" die Berechtigung "Auslassen der durchsuchenden Überprüfung" zuzuweisen:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
    2. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
    3. Klicken Sie mit der rechten Maustaste auf Auslassen der durchsuchenden Überprüfung (Bypass traverse checking), und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    5. Geben Sie Jeder ein, und klicken Sie danach auf OK.

      Hinweis: Wenn Ihnen eine Meldung angezeigt, wird, die besagt, dass kein Objekt namens "Benutzer" gefunden werden konnte, klicken Sie auf Objekttypen, aktivieren Sie das Kontrollkästchen Gruppen, und klicken Sie dann zweimal auf OK.
Gehen Sie bei Domänencontrollern mit Windows 2000 folgendermaßen vor:
  1. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Authentifizierte Benutzer" die Berechtigung "Lesen & Ausführen" hat
  2. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Server-Operatoren" die Berechtigung "Ändern" hat.
  3. Vergewissern Sie sich, dass im Ordner "%windir%/registration" das Konto SYSTEM Vollzugriff hat.
  4. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Administratoren" Vollzugriff hat.
  5. Vergewissern Sie sich, dass in den erweiterten Sicherheitseinstellungen der CLB-Dateien im Ordner "%windir%/registration" die Option Vererbbare übergeordnete Berechtigungen übernehmen aktiviert ist.
Gehen Sie bei einem Domänencontroller mit Windows Server 2003 folgendermaßen vor:
  1. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Jeder" die Berechtigung "Lesen & Ausführen" hat.
  2. Vergewissern Sie sich, dass im Ordner "%windir%/registration" das Konto SYSTEM Vollzugriff hat.
  3. Vergewissern Sie sich, dass im Ordner "%windir%/registration" die Gruppe "Administratoren" Vollzugriff hat.
  4. Vergewissern Sie sich, dass in den erweiterten Sicherheitseinstellungen der CLB-Dateien im Ordner "%windir%/registration" die Option Überwachungseinträge übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Diese Objekte inklusive der hier definierten Einträge mit einbeziehen aktiviert ist.
  5. Vergewissern Sie sich, dass die Gruppe "Jeder" eine der folgenden Berechtigungen hat:
    • Berechtigung zum Durchsuchen ("Ordnerinhalt auflisten") aller übergeordneten Verzeichnisse einschließlich "%systemdrive%", "%windir%" und "%windir%\registration"
    • Berechtigung "Auslassen der durchsuchenden Überprüfung"
    Gehen Sie folgendermaßen vor, um der Gruppe "Jeder" die Berechtigung "Auslassen der durchsuchenden Überprüfung" zuzuweisen:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
    2. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
    3. Klicken Sie mit der rechten Maustaste auf Auslassen der durchsuchenden Überprüfung (Bypass traverse checking), und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    5. Geben Sie Jeder ein, und klicken Sie danach auf OK.

      Hinweis: Wenn Ihnen eine Meldung angezeigt, wird, die besagt, dass kein Objekt namens "Benutzer" gefunden werden konnte, klicken Sie auf Objekttypen, aktivieren Sie das Kontrollkästchen Gruppen, und klicken Sie dann zweimal auf OK.
Hinweis: Das System erstellt später eventuell zusätzliche CLB-Dateien im Ordner "%windir%/registration". Um sicherzustellen, dass die neuen CLB-Dateien die richtigen Berechtigungen haben, gewähren Sie Leseberechtigungen für das gesamte Verzeichnis anstatt nur direkt für die CLB-Dateien, die zum jeweiligen Zeitpunkt vorhanden sind. Mit der Datei "Cacls.exe" können Sie diese Berechtigungsänderungen auf dem betroffenen Computer automatisieren oder die Änderungen auf einfache Weise auf mehreren Computern durchführen.

Verwenden Sie für einen Computer mit Windows 2000 oder Windows Server 2003, der nicht als Domänencontroller fungiert, die folgenden Befehle:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Verwenden Sie bei einem Domänencontroller mit Windows 2000 die folgenden Befehle:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Verwenden Sie bei einem Domänencontroller mit Windows 2003 die folgenden Befehle:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Hinweis: Achten Sie darauf, dass sich zwischen dem Zeichen "y" und dem Pipe-Zeichen (|) kein Leerzeichen befindet. Wenn diese Zeichen durch ein Leerzeichen getrennt sind, werden die Befehle nicht richtig ausgeführt.

Weitere Informationen

Wenn dieses Problem auftritt, können die folgenden Ereignisse im Ereignisprotokoll angezeigt werden (eines oder mehrere):
  • Das folgende EventSystem-Ereignis kann im Ereignisprotokoll angezeigt werden, wenn das Netzwerkdienstkonto nicht die richtigen Berechtigungen hat:

    Event Type: Fehler
    Quelle: EventSystem
    Kategorie: (50)
    Ereignis-ID: 4609
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: Nicht zutreffend
    Computer: Server
    Beschreibung: Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile xx von d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Wenden Sie sich an den Microsoft-Produktsupport.

  • Das folgende COM+-Ereignis kann im Ereignisprotokoll angezeigt werden, wenn das Netzwerkdienstkonto nicht die richtigen Berechtigungen hat:

    Event Type: Informationen
    Quelle: COM+
    Kategorie: (117)
    Ereignis-ID: 778
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: Nicht zutreffend
    Computer: Server
    Beschreibung: Fehler beim Sichern des Anwendungsabbilds.
    Serveranwendungs-ID: <GUID>
    Serveranwendungsinstanz-ID: <GUID>
    Serveranwendungsname: COM+ Explorer
    Fehlercode = 0x80004005 : Unbekannter Fehler
    COM+-Dienste - interne Informationen: Datei: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Zeile: 1259 Dateiversion von Comsvcs.dll: ENU 2001.12.4414.308 shp
    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://support.microsoft.com.

  • Das folgende COM+-Ereignis kann im Ereignisprotokoll angezeigt werden, wenn das Netzwerkdienstkonto nicht die richtigen Berechtigungen hat:

    Event Type: Fehler
    Quelle: COM+
    Kategorie: Unbekannt
    Ereignis-ID: 4689
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: Nicht zutreffend
    Computer: Server
    Beschreibung: In der Laufzeitumgebung wurde ein inkonsistenter interner Status erkannt. Dies deutet auf eine potenzielle Instabilität des Prozesses hin. Diese Instabilität wird durch die in der COM+-Anwendung ausgeführten benutzerdefinierten Komponenten, die von ihnen verwendeten Komponenten oder durch andere Faktoren verursacht. Fehler in d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector failed
    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://support.microsoft.com.

  • Wenn Sie versuchen, eine ASP-Seite aufzurufen, die auf einem IIS-Dienst ausgeführt wird, und die Option Kurze HTTP-Fehlermeldungen anzeigen in Internet Explorer nicht aktiviert ist, kann folgende Fehlermeldung angezeigt werden:
    Serveranwendungsfehler.
    Der Server hat beim Laden einer Anwendung während der Verarbeitung Ihrer Anforderung einen Fehler entdeckt. Ausführlichere Informationen finden Sie im Ereignisprotokoll. Wenden Sie sich für Unterstützung an den Serveradministrator.
    HTTP 500 - Interner Serverfehler Internet Explorer
    Im Ereignisprotokoll wird möglicherweise auch ein Ereignis angezeigt, das dem folgenden ähnlich ist:

    Event Type: Fehler
    Quelle: DCOM
    Kategorie: Keine
    Ereignis-ID: 10010
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: NT-AUTORITÄT\SYSTEM
    Computer: Server
    Beschreibung: Der Server <GUID> konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

  • Wenn Sie versuchen, COM+-Anwendungen in den Komponentendiensten manuell zu starten, wird möglicherweise die folgende Fehlermeldung angezeigt:
    Katalogfehler: Fehler beim Verarbeiten des letzten Vorgangs. Fehlercode 80080005 - Starten des Servers fehlgeschlagen. Das Ereignisprotokoll enthält möglicherweise weitere Informationen zur Problembehandlung.
    Im Ereignisprotokoll wird möglicherweise auch ein Ereignis angezeigt, das dem folgenden ähnlich ist:

    Event Type: Fehler
    Quelle: DCOM
    Kategorie: Keine
    Ereignis-ID: 10010
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: NT-AUTORITÄT\SYSTEM
    Computer: Server
    Beschreibung: Der Server <GUID> konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
    Event Type: Warnung
    Quelle: W3SVC
    Kategorie: Keine
    Ereignis-ID: 36
    Datum: <Datum>
    Uhrzeit: <Uhrzeit>
    Benutzer: Nicht zutreffend
    Computer: Server
    Beschreibung: Der Server konnte die Anwendung '/LM/W3SVC/1/ROOT' nicht laden. Fehler: "Starten des Servers fehlgeschlagen".
    Weitere Informationen zu dieser Meldung finden Sie auf der folgenden Website von Microsoft Online Support: http://search.support.microsoft.com/search/?adv=1.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://support.microsoft.com.

  • Wenn Sie versuchen, eine Anwendung zu installieren oder den Windows Installer-Dienst manuell zu starten, kann folgende Fehlermeldung angezeigt werden:
    Auf den Windows Installer-Dienst konnte nicht zugegriffen werden. Dies kann auftreten, wenn Windows im abgesicherten Modus ausgeführt wird oder wenn der Windows Installer nicht korrekt installiert wurde. Setzen Sie sich mit dem Supportpersonal in Verbindung, um weitere Unterstützung zu erhalten.
  • Der Windows-Firewalldienst wird eventuell nicht gestartet. Folgende Fehlermeldung wird angezeigt:
    Fehlerergebnis : 0x80070005 ( -2147024891 ) ID : E_ACCESSDENIED Meldungstext : Zugriff verweigert.

Schritte zum Reproduzieren des Problems

Entfernen Sie das Systemkonto und das Konto "Jeder" aus den Dateiberechtigungen für die CLB-Dateien. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Explorer.exe c:\winnt\registration ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie in Windows Explorer mit der rechten Maustaste auf Eigenschaften, und klicken Sie anschließend auf die Registerkarte Sicherheit.
  3. Klicken Sie im Dialogfeld Eigenschaften von Registration unter Gruppen- und Benutzername auf System. Klicken Sie anschließend auf Erweitert.
  4. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen für Registration auf Entfernen. Klicken Sie anschließend auf OK.
  5. Wiederholen Sie die Schritte 3 und 4, damit das Konto "Jeder" nicht auf CLB-Dateien zugreifen kann.

Eigenschaften

Artikel-ID: 909444 - Geändert am: Dienstag, 12. August 2008 - Version: 15.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Keywords: 
kbresolve kbtshoot kbprb KB909444
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Kontaktieren Sie uns, um weitere Hilfe zu erhalten

Kontaktieren Sie uns, um weitere Hilfe zu erhalten
Wenden Sie sich an den Answer Desk, um professionelle Hilfe zu erhalten.