Puede experimentar diversos problemas tras la instalación del Boletín de seguridad de Microsoft MS05-051 para COM+ y MS DTC

Seleccione idioma Seleccione idioma
Id. de artículo: 909444 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

En un equipo en el que se ejecuta Microsoft Windows XP, Microsoft Windows 2000 o Windows Server 2003, se pueden producir algunos problemas después de instalar la actualización crítica que se analiza en el Boletín de seguridad MS05-051 de Microsoft. Por ejemplo:
  • Puede no iniciarse el servicio Windows Installer.
  • Puede no iniciarse el servicio Firewall de Windows.
  • La carpeta Conexiones de red está vacía.
  • El sitio Web de Windows Update puede recomendar, incorrectamente, que cambie el valor Persistencia de los datos del usuario de Microsoft Internet Explorer.
  • Las páginas Active Server (ASP) que se están ejecutando en Servicios de Microsoft Internet Information Server (IIS) devuelven un mensaje de error ?HTTP 500 ? Error interno del servidor?.
  • El servicio Microsoft COM+ EventSystem no se iniciará.
  • Las aplicaciones COM+ no se iniciarán.
  • El nodo Equipos del árbol de los Servicios de componentes de Microsoft Management Console (MMC) no se expandirá.
  • Los usuarios autenticados no pueden iniciar sesión y aparece una pantalla en blanco cuando los usuarios solicitan las actualizaciones de seguridad de octubre.
  • En una configuración de clúster de servidores puede no iniciarse el servicio de clúster. El suceso siguiente se registra en el archivo de registro del clúster:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • También se puede anotar en el registro del sistema un suceso similar al siguiente:

    Id. de suceso: 512
    Origen: CryptSvc
    Descripción:
    El servicio Servicios de cifrado no pudo inicializar el objeto "Escritor del sistema" de copia de seguridad de VSS.

    Detalles:
    El objeto Escritor del sistema no se pudo suscribir a VSS.

    Error del sistema:
    error catastrófico

  • Se puede producir un error de denegación de acceso cuando intenta conectar con el Instrumental de administración de Windows (WMI) utilizando una secuencia de comandos, la utilidad WBEMTest.exe o cualquier otro programa. El archivo %windir%\system32\wbem\logs\wbemprox.log contiene mensajes de error similares al siguiente en el momento del error:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Puede recibir el mensaje de error siguiente del catálogo de COM+ 1.0 al crear una aplicación COM+ vacía:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Causa

Este problema se puede producir si algunas aplicaciones COM o COM+ no tienen acceso a los archivos del catálogo COM+. La aplicación no puede tener acceso a los archivos del catálogo COM+ porque los permisos predeterminados de los archivos y el directorio del catálogo COM+ se han cambiado desde los valores predeterminados. Antes del Boletín de seguridad MS05-051 de Microsoft, no se necesitaban permisos explícitos para el catálogo COM+. Los archivos del catálogo COM+ son archivos .clb y se encuentran en la carpeta %windir%\registration. De manera predeterminada, los archivos y el directorio del catálogo COM+ tienen los permisos siguientes:
Contraer esta tablaAmpliar esta tabla
AdministradoresSistemaTodosUsuarios autenticadosOpers. de servidores
Controlador de Windows 2000 que no es de dominioControl totalControl totalLectura
Controlador de dominio de Windows 2000Control totalControl totalModificarLeer y Ejecutar
Controlador de Windows Server 2003 que no es de dominioControl totalControl totalLectura
Controlador de dominio de Windows Server 2003Control totalControl totalLeer y Ejecutar

Solución

De acuerdo con los cambios de seguridad implementados en MS05-051, se necesita un permiso del sistema de archivos NFTS de nivel de lectura para la carpeta %windir%\registration. Los permisos predeterminados incluyen el acceso Lectura para el grupo Todos. Si se cambia esta configuración, las aplicaciones y los servicios pueden mostrar un comportamiento inesperado. Las organizaciones que han decidido implementar permisos de seguridad NFTS más restrictivos deben considerar la posibilidad de conceder permisos de nivel de Lectura mediante la pertenencia al grupo a los usuarios, aplicaciones y servicios que requieran acceso a la funcionalidad COM. Recomendamos que se use la configuración predeterminada de la carpeta para evitar una posible incompatibilidad de las aplicaciones. A los administradores que deseen implementar valores de configuración distintos de los predeterminados se les recomienda que realicen pruebas minuciosas de la compatibilidad de las aplicaciones. Para obtener más información acerca de los problemas que se pueden experimentar al modificar los permisos de las carpetas del sistema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
885409 Asistencia a la configuración de seguridad
Además de los permisos NTFS, se requiere el permiso Saltarse recorrido. Este permiso se concede de manera predeterminada al grupo Todos. Tal como se indicó para los permisos NFTS, a los usuarios, aplicaciones y servicios se les debe conceder este permiso a través de su pertenencia al grupo. Para obtener más información acerca del derecho de usuario Saltarse recorrido, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823659 Problemas de compatibilidad que pueden producirse entre clientes, servicios y programas al modificar la configuración de seguridad y la asignación de derechos de usuario
Para resolver este problema, restaure los permisos predeterminados en el catálogo COM+.

En el caso de un equipo que utiliza Windows 2000 o Windows Server 2003 y que no se está ejecutando como controlador de dominio, siga estos pasos:
  1. En la carpeta %windir%/registration, compruebe que el grupo Todos tiene permisos de Lectura.
  2. En la carpeta %windir%/registration, compruebe que la cuenta del sistema tiene permisos Control total.
  3. En la carpeta %windir%/registration, compruebe que el grupo Administradores tiene permisos Control total.
  4. En las propiedades de seguridad avanzada de los archivos .clb de la carpeta %windir%/registration, compruebe que la opción Permitir que las entradas de auditoría heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita está seleccionada.
  5. Compruebe que el grupo Todos tiene uno de los siguientes permisos:
    • Permisos de recorrido (?Mostrar el contenido de la carpeta?) en todos los directorios primarios, incluidos %systemdrive%, %windir% y %windir%\registration
    • El derecho de usuario Saltarse la comprobación de recorrido
    Para asignar al grupo Todos el derecho de usuario Saltarse la comprobación de recorrido, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba gpedit.msc y haga clic en Aceptar.
    2. Expanda sucesivamente Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Asignación de derechos de usuario.
    3. Haga clic con el botón secundario del mouse (ratón) en Saltarse la comprobación de recorrido y, a continuación, haga clic en Propiedades.
    4. Haga clic en Agregar usuario o grupo.
    5. Escriba Todos y haga clic en Aceptar.

      Nota: si recibe un mensaje que indica que un objeto denominado "Usuarios" no se puede encontrar, haga clic en Tipos de objetos, haga clic para activar la casilla de verificación Grupos y, a continuación, haga clic en Aceptar dos veces.
En el caso de un controlador de dominio que ejecute Windows 2000, siga estos pasos:
  1. En la carpeta %windir%/registration, compruebe que el grupo Usuarios autenticados tiene permisos Leer y ejecutar.
  2. En la carpeta %windir%/registration, compruebe que el grupo Opers. de servidores tiene permisos Modificar.
  3. En la carpeta %windir%/registration, compruebe que la cuenta del sistema tiene permisos Control total.
  4. En la carpeta %windir%/registration, compruebe que el grupo Administradores tiene permisos Control total.
  5. En las propiedades de seguridad avanzada de los archivos .clb de la carpeta %windir%/registration, compruebe que está seleccionada la opción Permitir que las entradas de auditoría heredables del primario se propaguen a este objeto.
En el caso de un controlador de dominio que ejecute Windows Server 2003, siga estos pasos:
  1. En la carpeta %windir%/registration, compruebe que el grupo Todos tiene permisos Leer y ejecutar.
  2. En la carpeta %windir%/registration, compruebe que la cuenta del sistema tiene permisos Control total.
  3. En la carpeta %windir%/registration, compruebe que el grupo Administradores tiene permisos Control total.
  4. En las propiedades de seguridad avanzada de los archivos .clb de la carpeta %windir%/registration, compruebe que la opción Permitir que las entradas de auditoría heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita está seleccionada.
  5. Compruebe que el grupo Todos tiene uno de los siguientes permisos:
    • Permisos de recorrido (?Mostrar el contenido de la carpeta?) en todos los directorios primarios, incluidos %systemdrive%, %windir% y %windir%\registration
    • El derecho de usuario Saltarse la comprobación de recorrido
    Para asignar al grupo Todos el derecho de usuario Saltarse la comprobación de recorrido, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba gpedit.msc y haga clic en Aceptar.
    2. Expanda sucesivamente Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Asignación de derechos de usuario.
    3. Haga clic con el botón secundario del mouse en Saltarse la comprobación de recorrido y, a continuación, haga clic en Propiedades.
    4. Haga clic en Agregar usuario o grupo.
    5. Escriba Todos y haga clic en Aceptar.

      Nota: si recibe un mensaje que indica que un objeto denominado "Usuarios" no se puede encontrar, haga clic en Tipos de objetos, haga clic para activar la casilla de verificación Grupos y, a continuación, haga clic en Aceptar dos veces.
Nota: el sistema puede crear más tarde archivos .clb adicionales en la carpeta %windir%/registration. Para comprobar que los nuevos archivos .clb tienen los permisos apropiados, conceda permisos Lectura a todo el directorio en lugar de otorgárselos directamente a los archivos .clb que existen actualmente. Puede usar el archivo Cacls.exe para automatizar estos cambios de permisos en el equipo afectado o para implementar fácilmente los cambios en varios equipos.

En el caso de un equipo que utiliza Windows 2000 o Windows Server 2003 y que no se está ejecutando como controlador de dominio, utilice los comandos siguientes:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
En el caso de un controlador de dominio que ejecute Windows 2000, utilice los comandos siguientes:
echo y| cacls %windir%\registration /G "Usuarios autenticados":R "Operadores de servidores":R system:F administrators:F
En el caso de un controlador de dominio que ejecute Windows 2003, utilice los comandos siguientes:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Nota: asegúrese de que no haya ningún espacio en blanco entre el carácter y y el carácter de barra vertical (|). Si hay un espacio entre esos caracteres, los comandos no se ejecutarán correctamente.

Más información

Cuando se produzca este problema, puede grabarse alguno de los sucesos siguientes en el registro de sucesos:
  • El siguiente suceso EventSystem puede grabarse en el registro de sucesos cuando la cuenta Servicio de red no tiene los permisos correctos:

    Tipo de suceso: error
    Origen del suceso: EventSystem
    Categoría del evento: (50)
    Id. del suceso: 4609
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: no disponible
    Equipo: Servidor
    Descripción: El sistema de sucesos COM+ detectó un código de retorno incorrecto durante el procesamiento interno. HRESULT fue 80070005 desde la línea xx of d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Póngase en contacto con el departamento de Soporte técnico de Microsoft para informar de este error.

  • El siguiente suceso COM+ puede grabarse en el registro de sucesos cuando la cuenta Servicio de red no tiene los permisos correctos:

    Tipo de suceso: Información
    Origen del evento: COM+
    Categoría del evento: (117)
    Id. del suceso: 778
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: no disponible
    Equipo: Servidor
    Descripción: Error al volcar la imagen de la aplicación.
    Id. de la aplicación de servidor: <GUID>
    Id. de la instancia de aplicación del servidor: <GUID>
    Nombre de la aplicación de servidor: COM+ Explorer
    Código de error = 0x80004005: Error no especificado
    Información interna de los servicios COM+: Archivo: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Línea: 1259 Comsvcs.dll Versión de archivo: ENU 2001.12.4414.308 shp
    Para obtener más información al respecto, vea el Centro de ayuda y soporte técnico en http://support.microsoft.com.

  • El siguiente suceso COM+ puede grabarse en el registro de sucesos cuando la cuenta Servicio de red no tiene los permisos correctos:

    Tipo de suceso: error
    Origen del evento: COM+
    Categoría del suceso: desconocida
    Id. del suceso: 4689
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: no disponible
    Equipo: Servidor
    Descripción: El entorno de tiempo de ejecución detectó una incoherencia en su estado interno. Esto indica una posible inestabilidad en el proceso producida probablemente por los componentes personalizados que se ejecutan en la aplicación COM+, por los componentes que utilizan o por otros factores. Error en d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: Error de InitEventCollector
    Para obtener más información al respecto, vea el Centro de ayuda y soporte técnico en http://support.microsoft.com.

  • Cuando intenta ir a una página ASP que se está ejecutando en un servicio IIS y la opción Mostrar mensajes de error http descriptivos no está seleccionada en Internet Explorer, puede recibir el mensaje de error siguiente:
    Error en la aplicación del servidor.
    El servidor ha detectado un error mientras cargaba una aplicación durante el procesamiento de la solicitud. Consulte el registro de sucesos para obtener información más detallada. Póngase en contacto con el administrador del servidor para obtener asistencia.
    HTTP 500 - Error interno del servidor Internet Explorer
    También se puede grabar en el registro de sucesos un suceso similar:

    Tipo de suceso: error
    Origen del evento: DCOM
    Categoría del evento: Ninguna
    Id. del suceso: 10010
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: NT AUTHORITY\SYSTEM
    Equipo: Servidor
    Descripción: El servidor <GUID> no se registró con DCOM dentro del tiempo de espera requerido.

  • Cuando intenta iniciar manualmente aplicaciones COM+ en los Servicios de componentes, puede recibir el siguiente mensaje de error:
    Error de catálogo: Error al procesar la última operación. Código del error 80080005 - Error en la ejecución de servidor. El registro de sucesos podría contener información adicional para la solución de problemas.
    También se puede grabar en el registro de sucesos un suceso similar al siguiente:

    Tipo de suceso: error
    Origen del evento: DCOM
    Categoría del evento: Ninguna
    Id. del suceso: 10010
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: NT AUTHORITY\SYSTEM
    Equipo: Servidor
    Descripción: El servidor <GUID> no se registró con DCOM dentro del tiempo de espera requerido.
    Tipo de suceso: advertencia
    Origen del suceso: W3SVC
    Categoría del evento: Ninguna
    Id. del suceso: 36
    Fecha: <Fecha>
    Hora: <Hora>
    Usuario: no disponible
    Equipo: Servidor
    Descripción: El servidor no pudo cargar la aplicación '/LM/W3SVC/1/ROOT'. Error 'Error en ejecución de servidor'.
    Para recibir información adicional referente a este mensaje, visite el sitio Web de soporte técnico de Microsoft que se encuentra en: http://search.support.microsoft.com/search/?adv=1.

    Para obtener más información al respecto, visite el Centro de ayuda y soporte técnico en http://support.microsoft.com.

  • Cuando intenta instalar una aplicación o iniciar manualmente el servicio Windows Installer, puede recibir el mensaje de error siguiente:
    No se tiene acceso al servicio Windows Installer. Esto puede ocurrir cuando se ejecuta Windows en modo a prueba de errores o cuando Windows Installer no está correctamente instalado. Póngase en contacto con el personal de soporte técnico para obtener asistencia.
  • El servicio Firewall de Windows puede no iniciarse y mostrar el código de error siguiente:
    Resultado del error: 0x80070005 ( -2147024891 ) ID Defined as : E_ACCESSDENIED Texto del mensaje: Acceso denegado.

Pasos para reproducir este problema

Quite a la cuenta del sistema y a la cuenta Todos los permisos de archivo para los archivos *.clb. Para ello, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba Explorer.exe c:\winnt\registration y haga clic en Aceptar.
  2. En el Explorador de Windows, haga clic con el botón secundario del mouse en Propiedades y, después, haga clic en la ficha Seguridad.
  3. En el cuadro de diálogo Propiedades de registro, en Nombre de grupos o usuarios haga clic en Sistema y, después, haga clic en Opciones avanzadas.
  4. En el cuadro de diálogo Configuración de seguridad avanzada para registro, haga clic en Quitar y en Aceptar.
  5. Repita los pasos 3 y 4 para evitar que la cuenta Todos tenga acceso a los archivos .clb.

Propiedades

Id. de artículo: 909444 - Última revisión: martes, 12 de agosto de 2008 - Versión: 15.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Palabras clave: 
kbresolve kbtshoot kbprb KB909444

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com