Problem som kan uppstå efter installation av uppdateringen för COM+ och MS DTC som beskrivs i Microsoft-säkerhetsbulletinen MS05-051

Symptom

På en dator med Microsoft Windows XP, Microsoft Windows 2000 eller Windows Server 2003 kan ett eller flera problem uppstå efter att du har installerat den viktiga uppdatering som beskrivs i Microsofts säkerhetsbulletin MS05-051. Problemen kan bl a vara:
  • Det går inte att starta tjänsten Windows Installer.
  • Det går inte att starta tjänsten Windows Brandväggen.
  • Mappen Nätverksanslutningar är tom.
  • Webbplatsen Windows Update rekommenderar felaktigt att du ändrar inställningen Spara användardata i Microsoft Internet Explorer.
  • ASP-sidor som körs på Microsoft Internet Information Services (IIS) returnerar "HTTP 500 - Internt serverfel".
  • Tjänsten Microsoft COM+ EventSystem kan inte startas.
  • Det går inte att starta COM+-program.
  • Det går inte att expandera noden datorer i MMC-trädet (Microsoft Management Console) Komponenttjänster.
  • Autentiserade användare kan inte logga in, och en tom skärm visas efter att användaren installerat säkerhetsuppdateringarna från oktober.
  • I en konfiguration med serverkluster startar inte klustertjänsten. Följande händelse loggas i klusterloggfilen:
  • Följande information, eller liknande, kan också finnas i systemloggen:
  • Det kan uppstå ett fel där åtkomst nekas om du försöker ansluta till Windows Management Instrumentation (WMI) via skript, verktyget WBEMTest.exe eller andra verktyg. Filen %windir%\system32\wbem\logs\wbemprox.log innehåller fel som liknar följande:
    ConnectViaDCOM, CoCreateInstanceEx resulterade i hr = 0x80070005
  • Följande COM+ 1.0-katalogfelmeddelande kan visas när en tom COM+-tillämpning skapas:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Orsak

Detta problem kan uppstå om COM- eller COM+-program inte kommer åt COM+-katalogfiler. Programmet kan inte komma åt katalogfilerna eftersom standardbehörigheten till katalogen och filerna har ändrats från ursprungsinställningarna. Innan Microsofts säkerhetsbulletin MS05-051 installerades behövdes inte explicit behörighet till COM+-katalogen. COM+-katalogfilerna har filnamnstillägget CLB och finns i mappen %windir%\registration. Standardinställningen är att katalogen och filerna har följande behörigheter:
AdministratörerSystemAllaAutentiserade användareServeransvariga
Icke-domänkontrollant med Windows 2000Fullständig behörighetFullständig behörighetLäsa
Domänkontrollant med Windows 2000Fullständig behörighetFullständig behörighetÄndraLäsa & köra
Icke-domänkontrollant med Windows Server 2003Fullständig behörighetFullständig behörighetLäsa
Domänkontrollant med Windows Server 2003Fullständig behörighetFullständig behörighetLäsa & köra

Lösning

Säkerhetsändringarna som genomfördes i MS05-051 kräver läsnivåbehörigheter för NTFS-filsystemet för mappen %windir%\registration. Standardbehörigheterna omfattar läsåtkomst för gruppen Alla. Om denna konfiguration ändras kan det få oväntade följder i program och tjänster. Organisationer med mer begränsande NTFS-säkerhetsbehörigheter bör ge behörigheter på läsnivå via gruppmedlemskap för användare, program och tjänster som kräver åtkomst till COM-funktioner. Vi rekommenderar att standardinställningen för mappen används så att eventuella kompatibilitetsproblem kan undvikas. Administratörer som vill använda en annan inställning än standardinställningen bör genomföra grundlig kompatibilitetstestning.
Om du vill läsa mer information om problemen som kan uppstå om behörigheter ändras för systemmappar, kan du klicka på följande artikelnummer och läsa artikeln i Microsoft Knowledge Base:
885409 Information om säkerhetsguider

Förutom NTFS-behörigheter krävs behörighet att åsidosätta bläddringskontroll. Denna behörighet beviljas till gruppen Alla som standard. Liksom med NTFS-behörigheter bör användare, program och tjänster ges denna behörighet via gruppmedlemskap.
Om du vill veta mer om behörigheten att åsidosätta bläddringskontroll, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823659 Klient-, tjänst- och programinkompatibilitet vid ändring av säkerhetsinställningar och tilldelning av användarrättigheter

Du löser problemet genom att återställa standardbehörigheten till COM+-katalogen.

Gör så här på en dator med Windows 2000 eller Windows Server 2003 och som inte körs som domänkontrollant:
  1. Kontrollera att gruppen Alla har läsbehörighet i mappen %windir%\registration.
  2. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  3. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att följande alternativ under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration är markerat: Tillåt att granskningsposter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet och alla underobjekt. Inkludera dessa med poster som uttryckligen anges här.
  5. Kontrollera att gruppen Alla har någon av följande behörigheter:
    • Bläddringsbehörighet (”Visa mappinnehåll”) i alla överordnade kataloger, inklusive %systemdrive%, %windir% och %windir%\registration
    • Behörigheten att åsidosätta bläddringskontroll
    Så här tilldelar du gruppen behörigheten att åsidosätta bläddringskontroll till gruppen Alla:
    1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
    2. Expandera Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Tilldelning av användarrättigheter.
    3. Högerklicka på Kringgå bläddringskontroll och klicka sedan på Egenskaper.
    4. Klicka på Lägg till användare eller grupp.
    5. Skriv Alla och klicka på OK.

      Obs! Om det visas ett meddelande om att objektet "Users" inte kan hittas klickar du på Objekttyper, markerar kryssrutan Grupper och klickar två gånger på OK.
Gör så här för en domänkontrollant med Windows 2000:
  1. Kontrollera att den autentiserade användargruppen Alla har läs- och körbehörighet i mappen %windir%\registration.
  2. Kontrollera att gruppen Serveransvariga har ändringsbehörighet i mappen %windir%\registration.
  3. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  5. Kontrollera att alternativet Tillåt att behörigheter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet är markerat under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration.
Gör så här för en domänkontrollant med Windows Server 2003:
  1. Kontrollera att gruppen Alla har läs- och körbehörighet i mappen %windir%\registration.
  2. Kontrollera att kontot System har fullständig behörighet i mappen %windir%\registration.
  3. Kontrollera att gruppen Administratörer har fullständig behörighet i mappen %windir%\registration.
  4. Kontrollera att följande alternativ under de avancerade säkerhetsalternativen för CLB-filerna i mappen %windir%/registration är markerat: Tillåt att granskningsposter som kan ärvas ärvs från det överordnade objektet och tillämpas på det här objektet och alla underobjekt. Inkludera dessa med poster som uttryckligen anges här.
  5. Kontrollera att gruppen Alla har någon av följande behörigheter:
    • Bläddringsbehörighet (”Visa mappinnehåll”) i alla överordnade kataloger, inklusive %systemdrive%, %windir% och %windir%\registration
    • Behörigheten att åsidosätta bläddringskontroll
    Så här tilldelar du gruppen behörigheten att åsidosätta bläddringskontroll till gruppen Alla:
    1. Klicka på Start, Kör, skriv gpedit.msc och klicka på OK.
    2. Expandera Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Tilldelning av användarrättigheter.
    3. Högerklicka på Kringgå bläddringskontroll och klicka sedan på Egenskaper.
    4. Klicka på Lägg till användare eller grupp.
    5. Skriv Alla och klicka på OK.

      Obs! Om det visas ett meddelande om att objektet "Users" inte kan hittas klickar du på Objekttyper, markerar kryssrutan Grupper och klickar två gånger på OK.
Obs! Systemet kan senare skapa ytterligare CLB-filer i mappen %windir%/registration. Om du ger läsbehörighet till hela mappen i stället för till filerna kommer kontona och grupperna automatiskt att få rätt behörighet till de nya CLB-filerna. Du kan använda Cacls.exe för att automatisera behörighetsändringarna på berörda datorer, eller för att så enkelt som möjligt göra ändringarna på flera datorer samtidigt.

Använd följande kommandon på en dator med Windows 2000 eller Windows Server 2003 och som inte körs som domänkontrollant:
echo y| cacls %windir%\registration /G alla:R system:F administratörer:F
echo y| cacls %windir%\registration\*.clb /G alla:R system:F administratörer:F
Använd följande kommandon för en domänkontrollant med Windows Server 2000:
echo y| cacls %windir%\registration /G "Autentiserade användare":R "Serveransvariga":R system:F administratörer:F
Använd följande kommandon för en domänkontrollant med Windows Server 2003:
echo y| cacls %windir%\registration /G alla:R system:F administratörer:F
echo y| cacls %windir%\registration\*.clb /G alla:R system:F administratörer:F
Obs! Kontrollera att det inte finns ett blanksteg mellan tecknet y och lodtecknet (|). Om det finns ett blanksteg mellan tecknen kommer kommandona inte att fungera.

Mer Information

Om detta problem uppstår visas ett eller flera av följande händelser i loggboken:
  • Följande EventSystem-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:
  • Följande COM+-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:
  • Följande COM+-händelse kan loggas i loggboken om kontot NETWORK SERVICE inte har rätt behörigheter:
  • Om du försöker gå till en ASP-sida som hanteras av ISS och alternativet Visa egna HTTP-felmeddelanden inte är aktiverat i Internet Explorer visas följande felmeddelande:
    Serverprogramfel.
    Servern har upptäckt ett fel när ett program lästes in när din begäran behandlades. Mer information finns i Loggboken. Kontakta serverns administratör för ytterligare hjälp.
    HTTP 500 - Internt serverfel Internet Explorer 
    Följande information, eller liknande, kan också finnas i loggboken:
  • Om du försöker starta COM+-tillämpningar manuellt i Komponenttjänster kan följande felmeddelande visas:
    Filförteckningsfel: Ett fel inträffade under den senaste åtgärden. Felkod 80080005 - Serverkörning misslyckades. Loggboken kan innehålla ytterligare felsökningsinformation.
    Följande information, eller liknande, kan också finnas i loggboken:
  • Om du försöker installera ett program eller om du försöker starta tjänsten Windows Installera manuellt, kan följande felmeddelande visas:
    Det gick inte att komma åt tjänsten Windows Installer. Detta kan inträffa om du kör Windows i felsäkert läge, eller om Windows Installer inte är korrekt installerat. Kontakta supportpersonal och be om hjälp.
  • Tjänsten Windows Brandvägg kan inte startas, och returnerar följande felkod:
    Fel: 0x80070005 ( -2147024891 ) ID definierat som: E_ACCESSDENIED Meddelandetext : Åtkomst nekades.

Steg för att återskapa problemet

Ta bort behörigheterna till CLB-filer från kontot System och gruppen Alla. Gör så här:
  1. Klicka på Start, klicka på Kör, skriv Explorer.exe c:\winnt\registration och klicka på OK.
  2. Högerklicka på Egenskaper i Utforskaren och klicka på fliken Säkerhet.
  3. Klicka på System under Grupp- eller användarnamn i dialogrutan Egenskaper för Registration och klicka sedan på Avancerat.
  4. Klicka på Ta bort i dialogrutan Avancerade säkerhetsinställningar för Registration och klicka sedan på OK.
  5. Upprepa steg 3 och 4 så att kontot Alla inte kan komma åt CLB-filer.
Egenskaper

Artikel-id: 909444 – senaste granskning 21 maj 2009 – revision: 1

Feedback