Toon posts:

[Windows 2003] Problemen op server na registry modificatie

Pagina: 1
Acties:

woensdag 19 augustus 2009 18:09

Acties:

Verwijderd

Topicstarter
Omdat de NETWORK SERVICE niet voldoende rechten had op de registry wou ik deze alle rechten geven op de gehele registry.

Dit heb ik al volgt gedaan:

- Regedit uitvoeren
- Je zie link alle hoofdmappen van de Registry
- Op alle hoofdmappen één voor één rechtsklikken en permissions gekozen
- NETWORK SERVICE toegevoegd met alle rechten

Nu waren er later problemen met deze server. Toen ik vertelde wat ik op de server had gedaan toen zou dit wel heel goed de oorzaak kunnen zijn. Nu klinkt het logisch. Ik pas iets aan in de registry en daarna onstaan en problemen.

Wat ik alleen niet snap, en wat mij nog niemand heeft kunnen uitleggen is waarom er dingen zijn fout gegaan doordat ik aanpassingen op de registry heb gedaan. Ik heb immers toch alleen maar rechten toegevoegd?

woensdag 19 augustus 2009 18:11

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

toegevoegd of vervangen (replace) :?

overigens: waaruit heb je de conclusie getrokken dat de network service niet genoeg rechten had :?

[ Voor 58% gewijzigd door Zwelgje op 19-08-2009 18:12 ]

A wise man's life is based around fuck you

woensdag 19 augustus 2009 18:16

Acties:

Verwijderd

Topicstarter
Op "Add" geklikt

Foutmelding uit de EventLog. Die gaf aan dat deze geen rechten had om een key te benaderen.

[ Voor 74% gewijzigd door Verwijderd op 19-08-2009 18:17 ]

woensdag 19 augustus 2009 18:27

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Nu online

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Verwijderd schreef op woensdag 19 augustus 2009 @ 18:16:
Foutmelding uit de EventLog. Die gaf aan dat deze geen rechten had om een key te benaderen.
Dus dan ga je het account rechten geven op de zo'n beetje de hele registry? Beperk het gewoon tot die ene key, en test het natuurlijk eerst op een andere server :)

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

woensdag 19 augustus 2009 18:30

Acties:

Verwijderd

Topicstarter
Microkid schreef op woensdag 19 augustus 2009 @ 18:27:
[...]

Dus dan ga je het account rechten geven op de zo'n beetje de hele registry? Beperk het gewoon tot die ene key, en test het natuurlijk eerst op een andere server :)
Helemaal mee eens. Maar we proberen nu de oorzaak te vinden dat IIS niet meer werkte. Zodat we dezelfde fout niet nogmaals doen.Vandaar mijn vraag wat voor impact mijn wijzingen op de registry zouden kunnen hebben.

woensdag 19 augustus 2009 18:32

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op woensdag 19 augustus 2009 @ 18:30:
[...]


Helemaal mee eens. Maar we proberen nu de oorzaak te vinden dat IIS niet meer werkte. Zodat we dezelfde fout niet nogmaals doen.Vandaar mijn vraag wat voor impact mijn wijzingen op de registry zouden kunnen hebben.
wijzingen in de registry kunnen een dermate impact hebben dat je hele server niet meer functioneerd :9~ (been there, seen that ;) )

niks voor niks staat er in elk MS kb artikel dat het op eigen risico is

ik neem ook aan dat er in die eventlog entry wel iets stond op welk gedeelte van de registry die rechten gezet moesten worden :?

A wise man's life is based around fuck you

woensdag 19 augustus 2009 18:57

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Cool, je hebt nu je eigen unsupported Windows 2003 Versie gemaakt :P

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 20 augustus 2009 01:14

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Heb je nog een systemstate backup van voordat je wijzigingen aan de registry maakte? Indien je die hebt kun je die proberen te terug te zetten, om deze stomme actie ongedaan te maken.Maar dat is al aangegeven door collega-tweakers, hopelijk begrijp je dat nu ook.

De system state omvat het volgende:
  • The boot files
  • The system registry settings
  • The system protected files (SPF). These are the critical files needed to run Windows. For example KERNEL32.DLL and NTDLL.DLL.
  • The Active Directory files
  • The shared system volume (SYSVOL)
  • The COM+ class registration database
Als je een goed backup pakket heb zou ik alleen de registry aanvinken, anders maak je nog meer stuk. Let op wat je hiermee doet, en als je iets niet zeker weet vraag het aan iemand die weet wat ie doet.

[ Voor 98% gewijzigd door Turdie op 20-08-2009 01:20 ]

donderdag 20 augustus 2009 13:17

Acties:

Verwijderd

Topicstarter
Bedankt voor alle tips! Server is inmiddels weer up & running door terugzetten van een backup.

Maar waar ik naar ben opzoek ben is wat het gevolg is van de permissies die ik heb toegevoegd op de Registry.

donderdag 20 augustus 2009 14:02

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Wat het gevolg is?
Dat je server b0rken is geraakt daardoor, maar daar was je al achter. :)

Het enige antwoord wat je (ook van MS) zal krijgen is: onvoorspelbaar.
De ene install is de andere niet, wat jij voor services en software hebt draaien kan niemand ruiken want daar vertel je niks over ;)

Vandaar dat ze dit soort geklooi (ander woord is er niet voor) ook afraden. Die opmerking over een Unsupported eigen OS variant is niet zomaar een grapje ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 20 augustus 2009 14:25

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

ik denk dat hij meer bedoeld, meer in de trend ik heb toch geen rechten onttrokken, eerder meer vrijheid gegeven????

donderdag 20 augustus 2009 14:34

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Als je ongecontroleerd je registry of system directories gaat reACLlen dan maak je bewust de keuze om met een onbekende status je produktie te gaan draaien.
Er worden door diverse processen ook permissiechecks uitgevoerd, zaken die je hiermee om zeep kan helpen. En we weten ook niet of die ReACL actie ergens silent is blijven hangen of niet.

Bovendien: wat is er onduidelijk aan onvoorspelbaar? Er valt gewoon niks te zeggen wat er precies misgaat, want de TS is bijzonder vaag over de setup. Enige wat we weten is dat het een 2003 bak is, en dat er IIS op draaide. Meer niet.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 20 augustus 2009 14:47

Acties:

Verwijderd

Even de titel wat duidelijker gemaakt. Voor de rest: Met hierboven :)

donderdag 20 augustus 2009 15:46

Acties:

Verwijderd

Topicstarter
Modificatie registry was niet het enige wat er in korte tijd op die server is veranderd. Vandaar mijn vraag wat voor gevolg het heeft als de NETWORK SERVICE volledige rechten op de Registry krijgt. Achteraf gezien had ik misschien alleen deze vraag kunnen stellen om de focus niet op het probleem wat er met de server was te leggen.

Uit bovenstaande antwoorden kan ik in ieder geval concluderen dat dit niet te zeggen is. Dit is ook het antwoord wat ik zocht. Niet de suggesties om alleen een enkele key te veranderen of het eerst in een testomgeving uit te proberen.

Zoals Dutch2007 al een beetje aangaf, kan ik nu dus het volgende concluderen?

Als je op de root mappen van de Registry een account toegoegd, zoals de NETWORK SERVICE, en deze volledige rechten geeft dan is het onvoorspelbaar wat voor gevolg dit heeft voor het systeem.

donderdag 20 augustus 2009 16:08

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Verwijderd schreef op donderdag 20 augustus 2009 @ 15:46:Als je op de root mappen van de Registry een account toegoegd, zoals de NETWORK SERVICE, en deze volledige rechtenpermissies geeft dan is het onvoorspelbaar wat voor gevolg dit heeft voor het systeem.
Ja dat is correct, dan verander je de permissies van alle registry keys die al bepaalde permissies hebben, waardoor het kan dat bepaalde dingen niet meer werken, of anders werken zoals ze horen te werken. Je gaat toch ook niet een heel erf of straat openbreken, terwijl er maar op een kleine plek een leiding lekt, dan graaf je daar een gat een herstel je op die plaats het lek, zo kun je het ook zien denk ik.

Weer een kleine tip, permissies deel je uit op bestanden en op o.a de registry, rechten krijg je bij het inloggen, d.m.v van bijvoorbeeld een GPO, of de groepen waar je lid van bent.

[ Voor 22% gewijzigd door Turdie op 20-08-2009 16:27 ]

donderdag 20 augustus 2009 16:54

Acties:

Verwijderd

Topicstarter
shadowman12 schreef op donderdag 20 augustus 2009 @ 16:08:
[...]


Ja dat is correct, dan verander je de permissies van alle registry keys die al bepaalde permissies hebben, waardoor het kan dat bepaalde dingen niet meer werken, of anders werken zoals ze horen te werken. Je gaat toch ook niet een heel erf of straat openbreken, terwijl er maar op een kleine plek een leiding lekt, dan graaf je daar een gat een herstel je op die plaats het lek, zo kun je het ook zien denk ik.

Weer een kleine tip, permissies deel je uit op bestanden en op o.a de registry, rechten krijg je bij het inloggen, d.m.v van bijvoorbeeld een GPO, of de groepen waar je lid van bent.
Kan ik dan ook concluderen dat te veel rechten tot gevolg kan hebben dat zaken niet meer werken?

Thanks for the tip! Maar in dit geval ging het om een account waaronder een Windows Service draait en niet om een account waaronder wordt ingelogd.

donderdag 20 augustus 2009 17:24

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Same thing.

Een Service account werkt pas als (hoe kan het ook anders) Logon as a service qua privileges zijn toegekend.
Kijk maar eens in je Local Security Settings snapin (secpol.msc) rond onder User Rights Assignment.

Met dit soort zaken is het gewoon belangrijker om niet gelijk blind allerlei permissies te wijzigen, maar na te gaan wat je precies moet wijzigen.
meestal gaat het maar om één klein lullig dingetje, maar daar kom je vanzelf tegenaan als je auditing & filemon/regmon of process monitor gebruikt.

[ Voor 40% gewijzigd door alt-92 op 20-08-2009 17:27 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 24 augustus 2009 10:36

Acties:

Verwijderd

Topicstarter
Helemaals een met de adviezen hierboven!

Maar... omdat we niet zeker wisten dat het probleem veroorzaakt werd door de registry modficatie heb ik het zojuist nogmaals geprobeerd op een testomgeving. Hierbij blijft IIS in ieder geval werken. Strange...

Uiteraard zit er nog een variabele factor in dat de testomgeving niet in zijn geheel exact hetzelfde is als de productieomgevin maar toch.

maandag 24 augustus 2009 10:54

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je moet je denk ik afvragen of je een systeem dat je dusdanig verkloot hebt, nog wel wil gebruiken in productie? :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq