Různé problémy pro instalaci bulletinu zabezpečení MS05-051 pro služby COM+ a MS DTC

Překlady článku Překlady článku
ID článku: 909444 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

V počítači se systémem Microsoft Windows XP, Microsoft Windows 2000 nebo Windows Server 2003 se po instalaci důležité aktualizace probírané v bulletinu zabezpečení MS05-051 může objevit jeden nebo více problémů, mezi něž patří:
  • Instalační služba systému Windows se nemusí spustit.
  • Služba Brána firewall systému Windows se nemusí spustit.
  • Složka Síťová připojení je prázdná.
  • Na webu Windows Update může být nesprávně doporučeno, abyste změnili nastavení Trvalost uživatelských dat v aplikaci Microsoft Internet Explorer.
  • Stránky ASP (Active Server Pages) spuštěné v Internetové informační službě (IIS) vracejí chybovou zprávu HTTP 500 – Vnitřní chyba serveru.
  • Službu Microsoft COM+ EventSystem nelze spustit.
  • Aplikace modelu COM+ nelze spustit.
  • Uzel počítače ve stromu konzoly MMC Služby komponent nelze rozbalit.
  • Ověření uživatelé se nemohou přihlásit a po použití říjnových aktualizací zabezpečení se objeví prázdná obrazovka.
  • Při konfiguraci se serverovým clusterem nelze spustit službu clusteru. V souboru protokolu clusteru je zaznamenána následující událost:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Do protokolu systému může být zaznamenána událost podobná následující:

    ID události: 512
    Zdroj: CryptSvc
    Popis:
    Služba Šifrování neinicializovala záložní objekt System Writer systému VSS

    Podrobnosti:
    System Writer object failed to subscribe to VSS. (Odběr služby VSS pro objekt System Writer se nezdařil.)

    Chyba systému:
    Katastrofální selhání

  • Pokusíte-li se připojit ke službě WMI (Windows Management Instrumentation) pomocí skriptu, nástroje WBEMTest.exe nebo jiných nástrojů, může dojít k odepření přístupu. Do souboru protokolu %windir%\system32\wbem\logs\wbemprox.log jsou v době selhání zaznamenány chyby, které se podobají následující chybě:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Při vytvoření prázdné aplikace COM+ se může zobrazit následující chybová zpráva katalogu COM+ 1.0:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Příčina

K tomuto problému může dojít, pokud aplikace modelu COM nebo COM+ nemají přístup k souborům katalogu modelu COM+. Aplikace k těmto souborům nemá přístup, protože výchozí oprávnění pro soubory a adresář katalogu modelu COM+ byla z výchozího nastavení změněna. Před bulletinem zabezpečení MS05-051 nebyla explicitní oprávnění ke katalogu modelu COM+ vyžadována. Soubory katalogu COM+ jsou soubory CLB a jsou umístěny ve složce %windir%\registration. Ve výchozím nastavení mají soubory a adresář katalogu COM+ následující oprávnění:
Zmenšit tuto tabulkuRozšířit tuto tabulku
AdministratorsSystemEveryoneAuthenticated usersServer operators
Windows 2000 – jiný než řadič doményÚplné řízeníÚplné řízeníČíst
Windows 2000 – řadič doményÚplné řízeníÚplné řízeníUpravitČíst a spustit
Windows Server 2003 – jiný než řadič doményÚplné řízeníÚplné řízeníČíst
Windows Server 2003 – řadič doményÚplné řízeníÚplné řízeníČíst a spustit

Řešení

Na základě změn zabezpečení zavedených v bulletinu MS05-051 je ke složce %windir%\registration vyžadováno oprávnění pro systém souborů NTFS na úrovni Číst. Výchozí oprávnění zahrnují přístup ke čtení pro skupinu Everyone. Pokud se tato konfigurace změní, může dojít k neočekávanému chování aplikací a služeb. V organizacích, kde se pro zabezpečení systému souborů NTFS uplatňují oprávnění přísněji, je třeba zvážit, zda uživatelům, aplikacím a službám vyžadujícím přístup k funkcím modelu COM neudělíte oprávnění na úrovni Číst prostřednictvím členství ve skupinách. Doporučujeme použít pro složku výchozí nastavení, protože se tak vyhnete možným problémům s kompatibilitou aplikací. Správcům, kteří chtějí zavést nastavení odlišné od výchozího, doporučujeme důkladné testování kompatibility aplikací. Další informace o problémech, ke kterým může dojít při změně oprávnění k systémovým složkám, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
885409 Odborná pomoc k pokynům ke konfiguraci zabezpečení
Kromě oprávnění systému souborů NTFS je požadováno oprávnění Obejít křížovou kontrolu. Ve výchozím nastavení je toto oprávnění uděleno skupině Everyone. Stejně jako v případě oprávnění pro systém souborů NTFS by mělo být toto oprávnění uděleno uživatelům, aplikacím a službám prostřednictvím členství ve skupinách. Další informace o uživatelském oprávnění Obejít křížovou kontrolu naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823659 Nekompatibility klienta, služby nebo aplikace, které mohou nastat po úpravě nastavení zabezpečení a přiřazení uživatelských práv
Tento problém vyřešíte obnovením výchozích oprávnění pro katalog COM+.

U počítače se systémem Windows 2000 nebo Windows Server 2003, který nemá funkci řadiče domény, postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Everyone oprávnění Číst.
  2. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  3. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  4. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit přenesení dědičných položek auditu z nadřazeného objektu na tento objekt a všechny podřízené objekty a sloučit je s položkami, které jsou zde explicitně definovány.
  5. Je nutné, aby skupina Everyone měla následující oprávnění:
    • Oprávnění Procházet (Zobrazovat obsah složky) ke všem nadřazeným adresářům, včetně %systemdrive%, %windir% a %windir%\registration
    • Uživatelská práva Obejít křížovou kontrolu
    Chcete-li přidělit uživatelská práva Obejít křížovou kontrolu skupině Everyone, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a pak klepněte na tlačítko OK.
    2. Rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásady a pak rozbalte položku Přiřazení uživatelských práv.
    3. Klepněte pravým tlačítkem myši na položku Obejít křížovou kontrolu a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na tlačítko Přidat uživatele nebo skupinu.
    5. Zadejte hodnotu Everyone a klepněte na tlačítko OK.

      Poznámka: Pokud se zobrazí zpráva s informací, že objekt s názvem Users nelze nalézt, klepněte na možnost Typy objektů, zaškrtněte políčko Skupiny a dvakrát klepněte na tlačítko OK.
U řadiče domény se systémem Windows 2000 postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Authenticated Users oprávnění Číst a spustit.
  2. Ve složce %windir%/registration ověřte, zda má skupina Server Operators oprávnění Upravit.
  3. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  4. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  5. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit šíření dědičných oprávnění z nadřazeného objektu na tento.
U řadiče domény se systémem Windows Server 2003 postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Everyone oprávnění Číst a spustit.
  2. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  3. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  4. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit přenesení dědičných položek auditu z nadřazeného objektu na tento objekt a všechny podřízené objekty a sloučit je s položkami, které jsou zde explicitně definovány.
  5. Je nutné, aby skupina Everyone měla následující oprávnění:
    • Oprávnění Procházet (Zobrazovat obsah složky) ke všem nadřazeným adresářům, včetně %systemdrive%, %windir% a %windir%\registration
    • Uživatelská práva Obejít křížovou kontrolu
    Chcete-li přidělit uživatelská práva Obejít křížovou kontrolu skupině Everyone, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a pak klepněte na tlačítko OK.
    2. Rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásady a pak rozbalte položku Přiřazení uživatelských práv.
    3. Klepněte pravým tlačítkem myši na položku Obejít křížovou kontrolu a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na tlačítko Přidat uživatele nebo skupinu.
    5. Zadejte hodnotu Everyone a klepněte na tlačítko OK.

      Poznámka: Pokud se zobrazí zpráva s informací, že objekt s názvem Users nelze nalézt, klepněte na možnost Typy objektů, zaškrtněte políčko Skupiny a dvakrát klepněte na tlačítko OK.
Poznámka: Systém může později ve složce %windir%/registration vytvořit další soubory CLB. Pokud chcete zajistit, aby nové soubory CLB měly příslušná oprávnění, udělte oprávnění Číst celému adresáři, ne jen přímo souborům CLB, které se v něm aktuálně nacházejí. Pomocí souboru Cacls.exe můžete zautomatizovat tyto změny oprávnění v příslušném počítači nebo snadno změny použít ve více počítačích.

U počítače se systémem Windows 2000 nebo Windows Server 2003, který nemá funkci řadiče domény, použijte následující příkazy:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
U řadiče domény se systémem Windows 2000 použijte následující příkazy:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
U řadiče domény se systémem Windows 2003 použijte následující příkazy:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Poznámka: Mezi znakem y a znakem | nesmí být mezera. Pokud tam bude, příkazy se neprovedou správně.

Další informace

Pokud k tomuto problému dojde, může se v protokolu událostí objevit jedna nebo více následujících událostí:
  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost EventSystem:

    Typ události: Chyba
    Zdroj události: EventSystem
    Kategorie události: (50)
    ID události: 4609
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: The COM+ Event System detected a bad return code during its internal processing. HRESULT was 80070005 from line xx of d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Please contact Microsoft Product Support Services to report this error. (Služba COM+ Event System zjistila při interním zpracování chybný návratový kód. Hodnota HRESULT byla 80070005 od řádku xx ze souboru d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Obraťte se na služby technické podpory k produktům společnosti Microsoft a chybu ohlaste.)

  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost COM+:

    Typ události: Informace
    Zdroj události: Model COM+
    Kategorie události: (117)
    ID události: 778
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: Application image dump failed. (Výpis bitové kopie aplikace se nezdařil.)
    ID serverové aplikace: <GUID>
    ID instance serverové aplikace: <GUID>
    Název serverové aplikace: COM+ Explorer
    Kód chyby = 0x80004005 : Nespecifikovaná chyba
    Vnitřní informace služby COM+: Soubor: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, řádka: 1259 Comsvcs.dll verze souboru: ENU 2001.12.4414.308 shp
    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost COM+:

    Typ události: Chyba
    Zdroj události: Model COM+
    Kategorie události: Neznámá
    ID události: 4689
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: The run-time environment has detected an inconsistency in its internal state. This indicates a potential instability in the process that could be caused by the custom components running in the COM+ application, the components they make use of, or other factors. Error in d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector failed (Prostředí runtime zjistilo ve svém interním stavu nekonzistenci. To může znamenat nestabilitu v procesu, která může být způsobena vlastními součástmi se spuštěnou aplikací modelu COM+, součástmi, které využívají, nebo jinými faktory. Chyba v souboru d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: Funkce InitEventCollector selhala.)
    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Jestliže se pokusíte procházet stránku ASP, na níž je spuštěna služba IIS, a možnost Zobrazovat podrobné chybové zprávy protokolu HTTP v aplikaci Internet Explorer není vybrána, může se zobrazit následující chybová zpráva:
    Chyba serverové aplikace
    Při načítání aplikace během zpracování požadavku server zjistil chybu. Podrobnější informace získáte z protokolu událostí. Obraťte se o pomoc na správce serveru.
    HTTP 500 – Vnitřní chyba serveru – Internet Explorer
    V protokolu událostí může být také zaznamenána událost podobná následující:

    Typ události: Chyba
    Zdroj události: DCOM
    Kategorie události: Není k dispozici
    ID události: 10010
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: NT AUTHORITY\SYSTEM
    Počítač: Server
    Popis: Server <GUID> se v daném časovém limitu neregistroval u služby DCOM.

  • Jestliže se pokusíte ručně spustit aplikace modelu COM+ ve Službě komponent, může se zobrazit následující chybová zpráva:
    Catalog Error: An error occurred while processing the last operation. Error code 80080005 - Server execution failed. The event log may contain additional troubleshooting information. (Chyba katalogu: Při zpracování poslední operace došlo k chybě. Kód chyby 80080005 – Provádění serveru selhalo. Další informace o řešení problémů pravděpodobně obsahuje protokol událostí.)
    V protokolu událostí může být také zaznamenána událost podobná následující:

    Typ události: Chyba
    Zdroj události: DCOM
    Kategorie události: Není k dispozici
    ID události: 10010
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: NT AUTHORITY\SYSTEM
    Počítač: Server
    Popis: Server <GUID> se v daném časovém limitu neregistroval u služby DCOM.
    Typ události: Upozornění
    Zdroj události: W3SVC
    Kategorie události: Není k dispozici
    ID události: 36
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: Serveru se nezdařilo načíst aplikaci /LM/W3SVC/1/ROOT. Došlo k chybě: Provádění serveru selhalo.
    Další konkrétní informace k této zprávě najdete na webu podpory online společnosti Microsoft na této adrese: http://search.support.microsoft.com/search/?adv=1.

    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Při pokusu o instalaci aplikace nebo o ruční spuštění Instalační služby systému Windows se může zobrazit následující chybová zpráva:
    Instalační služba není přístupná. Tato situace může nastat, pokud je systém Windows spuštěn v nouzovém režimu nebo pokud nebyla instalační služba správně nainstalována. Obraťte se na pracovníky odborné pomoci.
  • Služba Brána firewall systému Windows se nemusí spustit a zobrazí se následující kód chyby:
    Výsledek chyby: 0x80070005 ( -2147024891 ) ID definováno jako : E_ACCESSDENIED Text zprávy: Přístup byl odepřen.

Kroky pro reprodukci tohoto problému

Odeberte účet System a účet Everyone z oprávnění k souborům CLB. Postupujte následujícím způsobem:
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte Explorer.exe c:\Windows\registration a klepněte na tlačítko OK.
  2. V Průzkumníkovi Windows klepněte pravým tlačítkem, klepněte na příkaz Vlastnosti a potom klepněte na kartu Zabezpečení.
  3. V dialogovém okně Registration – vlastnosti klepněte ve skupinovém rámečku Název skupiny nebo jméno uživatele na položku System a potom na tlačítko Upřesnit.
  4. V dialogovém okně Upřesnit nastavení zabezpečení Registration klepněte na tlačítko Odebrat a potom na tlačítko OK.
  5. Opakováním kroků 3 a 4 zakažte přístup účtu Everyone k souborům CLB.

Vlastnosti

ID článku: 909444 - Poslední aktualizace: 8. srpna 2008 - Revize: 15.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Klíčová slova: 
kbresolve kbtshoot kbprb KB909444

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com