Possibili problemi dopo l'installazione del Bollettino Microsoft sulla sicurezza MS05-051 per COM+ e MS DTC

Traduzione articoli Traduzione articoli
Identificativo articolo: 909444 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

In un computer che esegue Microsoft Windows XP, Microsoft Windows 2000 o Windows Server 2003 Ŕ possibile che dopo l'installazione dell'aggiornamento critico descritto nel Bollettino Microsoft sulla sicurezza MS05-051 si verifichi uno o pi¨ dei seguenti problemi:
  • Il servizio Windows Installer potrebbe non essere avviato.
  • Il servizio Windows Firewall potrebbe non essere avviato.
  • La cartella Connessioni di rete Ŕ vuota.
  • Sul sito Web Windows Update Ŕ possibile che venga erroneamente consigliato di modificare l'impostazione Persistenza dati utente in Microsoft Internet Explorer.
  • Dalle pagine ASP eseguite in Microsoft Internet Information Services (IIS) viene restituito il messaggio di errore ?HTTP 500 ? Errore interno del server?.
  • Il servizio EventSystem di Microsoft COM+ non viene avviato.
  • Le applicazioni COM+ non vengono avviate.
  • ╚ impossibile espandere il nodo computer nella struttura MMC Servizi componenti.
  • Gli utenti autenticati non riescono a connettersi e viene visualizzata una schermata vuota dopo l'applicazione degli aggiornamenti della protezione di ottobre.
  • In una configurazione di cluster di server, Ŕ possibile che il servizio cluster non venga avviato. Nel file registro del cluster viene registrato un evento analogo al seguente:

    ERR [NM] Impossibile stabilire punto di connessione con Net Connection Manager, stato 80070005. WARN [NM] Impossibile inizializzare Advise Sink di Net Connection Manager, stato 80070005 ERR [NM] Inizializzazione non riuscita

  • Nel registro di sistema Ŕ possibile che venga registrato un evento analogo al seguente:

    ID evento: 512
    Origine: CryptSvc
    Descrizione:
    Impossibile inizializzare l'oggetto "System Writer" del backup VSS.

    Dettagli:
    L'oggetto System Writer non Ŕ in grado di sottoscrivere VSS.

    Errore di sistema:
    Errore grave

  • Quando si tenta di connettersi a Windows Management Instrumentation (WMI) mediante script oppure utilizzando l'utilitÓ WBEMTest.exe o altre utilitÓ, Ŕ possibile che si verifichi un errore di accesso negato. Al momento dell'errore, il file %windir%\system32\wbem\logs\wbemprox.log contiene errori analoghi al seguente:
    ConnectViaDCOM, CoCreateInstanceEx ha generato hr = 0x80070005
  • Quando si crea un'applicazione COM+ vuota, Ŕ possibile che venga visualizzato il seguente messaggio di errore del catalogo COM+ 1.0:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Cause

Questo problema pu˛ verificarsi se una delle applicazioni COM o COM+ non Ŕ in grado di accedere ai file catalogo COM+ a causa della modifica delle autorizzazioni predefinite relative alla directory e ai file catalogo COM+. Prima del Bollettino Microsoft sulla sicurezza MS05-051 non erano necessarie autorizzazioni esplicite per il catalogo COM+. I file catalogo COM+ sono file clb memorizzati nella cartella %windir%\registration. Per impostazione predefinita, alla directory e ai file catalogo COM+ sono associate le seguenti autorizzazioni:
Riduci questa tabellaEspandi questa tabella
AdministratorsSystemEveryoneAuthenticated UsersServer Operators
Controller non di dominio Windows 2000Controllo completoControllo completoLettura
Controller di dominio Windows 2000Controllo completoControllo completoModificaLettura/esecuzione
Controller non di dominio Windows Server 2003Controllo completoControllo completoLettura
Controller di dominio di Windows Server 2003Controllo completoControllo completoLettura/esecuzione

Risoluzione

In base alle modifiche della protezione implementate nel bollettino MS05-051, per la cartella %windir%\registration sono necessarie autorizzazioni del file system NTFS di livello Lettura. Le autorizzazioni predefinite includono l'accesso in lettura per il gruppo Everyone. Se questa configurazione viene modificata, applicazioni e servizi potrebbero presentare un comportamento imprevisto. Le organizzazioni che hanno scelto di implementare autorizzazioni di protezione NTFS pi¨ restrittive dovrebbero concedere autorizzazioni di livello Lettura tramite appartenenza a gruppo per gli utenti, le applicazioni e i servizi che richiedono l'accesso alla funzionalitÓ COM. Per evitare problemi di compatibilitÓ delle applicazioni, Ŕ consigliabile utilizzare le impostazioni predefinite per la cartella. Gli amministratori che desiderano implementare impostazioni diverse da quelle predefinite dovrebbero eseguire test completi di compatibilitÓ delle applicazioni. Per ulteriori informazioni sui problemi che si potrebbero verificare modificando le autorizzazioni sulle cartelle di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
885409 Indicazioni di supporto alla configurazione della protezione
Oltre alle autorizzazioni NTFS, Ŕ necessaria l'autorizzazione Ignorare controllo incrociato. Per impostazione predefinita, questa autorizzazione viene concessa al gruppo Everyone. Come indicato per le autorizzazioni NFTS, Ŕ necessario concedere questa autorizzazione a utenti, applicazioni e servizi tramite appartenenza a gruppo. Per ulteriori informazioni sul diritto utente Ignorare controllo incrociato, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823659 Possibili incompatibilitÓ tra client, servizi e programmi quando si modificano le impostazioni di protezione e le assegnazioni diritti utente
Per risolvere il problema, ripristinare le autorizzazioni predefinite del catalogo COM+.

Per un computer basato su Windows 2000 o Windows Server 2003 che non Ŕ configurato come controller di dominio, attenersi alla seguente procedura:
  1. Nella cartella %windir%/registration assicurarsi che al gruppo Everyone siano concesse autorizzazioni di Lettura.
  2. Nella cartella %windir%/registration assicurarsi che all'account SYSTEM siano concesse autorizzazioni di Controllo completo.
  3. Nella cartella %windir%/registration assicurarsi che al gruppo Administrators siano concesse autorizzazioni di Controllo completo.
  4. Nelle proprietÓ di protezione avanzate dei file clb nella cartella %windir%/registration assicurarsi che sia selezionata l'opzione Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate.
  5. Assicurarsi che il gruppo Everyone disponga di una delle seguenti autorizzazioni:
    • Autorizzazioni di visita (?Visualizzazione contenuto cartella?) su tutte le directory principali, comprese %systemdrive%, %windir% e %windir%\registration
    • Autorizzazione di ignorare il controllo incrociato
    Per assegnare il diritto utente Ignorare il controllo incrociato al gruppo Everyone, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc, quindi scegliere OK.
    2. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di protezione, Criteri locali e infine Assegnazione diritti utente.
    3. Fare clic con il pulsante destro del mouse su Ignorare il controllo incrociato, quindi scegliere ProprietÓ.
    4. Fare clic su Aggiungi utente o gruppo.
    5. Digitare Everyone, quindi scegliere OK.

      Nota Se viene visualizzato un messaggio indicante che Ŕ impossibile trovare un oggetto denominato "Utenti", fare clic su Tipi di oggetto, selezionare la casella di controllo Gruppi, quindi scegliere due volte OK.
Per un controller di dominio che esegue Windows 2000, attenersi alla seguente procedura:
  1. Nella cartella %windir%/registration assicurarsi che al gruppo Authenticated Users siano concesse autorizzazioni di Lettura/esecuzione.
  2. Nella cartella %windir%/registration assicurarsi che al gruppo Server Operators siano concesse autorizzazioni di Modifica.
  3. Nella cartella %windir%/registration assicurarsi che all'account SYSTEM siano concesse autorizzazioni di Controllo completo.
  4. Nella cartella %windir%/registration assicurarsi che al gruppo Administrators siano concesse autorizzazioni di Controllo completo.
  5. Nelle proprietÓ di protezione avanzate dei file clb nella cartella %windir%/registration assicurarsi che sia selezionata l'opzione Consenti di propagare a questo oggetto le autorizzazioni ereditabili dal padre.
Per un controller di dominio che esegue Windows Server 2003, attenersi alla seguente procedura:
  1. Nella cartella %windir%/registration assicurarsi che al gruppo Everyone siano concesse autorizzazioni di Lettura\esecuzione.
  2. Nella cartella %windir%/registration assicurarsi che all'account SYSTEM siano concesse autorizzazioni di Controllo completo.
  3. Nella cartella %windir%/registration assicurarsi che al gruppo Administrators siano concesse autorizzazioni di Controllo completo.
  4. Nelle proprietÓ di protezione avanzate dei file clb nella cartella %windir%/registration assicurarsi che sia selezionata l'opzione Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate.
  5. Assicurarsi che il gruppo Everyone disponga di una delle seguenti autorizzazioni:
    • Autorizzazioni di visita (?Visualizzazione contenuto cartella?) su tutte le directory principali, comprese %systemdrive%, %windir% e %windir%\registration
    • Autorizzazione di ignorare il controllo incrociato
    Per assegnare il diritto utente Ignorare il controllo incrociato al gruppo Everyone, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc, quindi scegliere OK.
    2. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di protezione, Criteri locali e infine Assegnazione diritti utente.
    3. Fare clic con il pulsante destro del mouse su Ignorare il controllo incrociato, quindi scegliere ProprietÓ.
    4. Fare clic su Aggiungi utente o gruppo.
    5. Digitare Everyone, quindi scegliere OK.

      Nota Se viene visualizzato un messaggio indicante che Ŕ impossibile trovare un oggetto denominato "Utenti", fare clic su Tipi di oggetto, selezionare la casella di controllo Gruppi, quindi scegliere due volte OK.
Nota ╚ possibile che in seguito vengano creati altri file clb nella cartella %windir%/registration. Per assicurarsi che i nuovi file clb dispongano delle autorizzazioni appropriate, concedere le autorizzazioni di Lettura all'intera directory anzichÚ direttamente ai file clb esistenti. Per rendere automatiche queste modifiche di autorizzazioni nel computer interessato o per semplificarne la distribuzione a pi¨ computer Ŕ possibile utilizzare il file Cacls.exe.

Per un computer Windows 2000 o Windows Server 2003 che non viene eseguito come controller di dominio, utilizzare i comandi seguenti:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Per un controller di dominio Windows 2000, utilizzare i comandi seguenti:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Per un controller di dominio Windows 2003, utilizzare i comandi seguenti:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Nota Assicurarsi che non vi siano spazi tra il carattere y e la barra verticale (|). In caso contrario, i comandi non verranno eseguiti correttamente.

Informazioni

Quando si verifica questo problema, Ŕ possibile che nel registro eventi venga visualizzato uno o pi¨ dei seguenti eventi:
  • Se l'account Servizi di rete non dispone delle autorizzazioni corrette, nel registro eventi potrebbe essere visualizzato l'evento EventSystem riportato di seguito:

    Tipo evento: Errore
    Origine evento: EventSystem
    Categoria evento: (50)
    ID evento: 4609
    Data: <Data>
    Ora: <Ora>
    Utente: N/D
    Computer: Server
    Descrizione: Il sistema di gestione degli eventi COM+ ha rilevato un codice restituito non valido durante l'elaborazione interna. Valore HRESULT 80070005 nella riga xx di d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Comunicare il problema al Servizio Supporto Tecnico Clienti Microsoft.

  • Se l'account Servizi di rete non dispone delle autorizzazioni corrette, nel registro eventi potrebbe essere visualizzato l'evento COM+ riportato di seguito:

    Tipo evento: Informazione
    Origine evento: COM+
    Categoria evento: (117)
    ID evento: 778
    Data: <Data>
    Ora: <Ora>
    Utente: N/D
    Computer: Server
    Descrizione: Impossibile creare il dump dell'immagine dell'applicazione.
    ID applicazione server: <GUID>
    ID istanza applicazione server: <GUID>
    Nome applicazione server: COM+ Explorer
    Codice errore = 0x80004005: Errore non specificato
    Informazioni interne servizi COM+: File: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Riga: 1259 Versione file Comsvcs.dll: ENU 2001.12.4414.308 shp
    Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com.

  • Se l'account Servizi di rete non dispone delle autorizzazioni corrette, nel registro eventi potrebbe essere visualizzato l'evento COM+ riportato di seguito:

    Tipo evento: Errore
    Origine evento: COM+
    Categoria evento: Sconosciuto
    ID evento: 4689
    Data: <Data>
    Ora: <Ora>
    Utente: N/D
    Computer: Server
    Descrizione: L'ambiente di runtime ha rilevato un'incoerenza nello stato interno, che indica una potenziale instabilitÓ del processo che potrebbe essere causata dai componenti personalizzati in esecuzione nell'applicazione COM+, dai componenti utilizzati da tali componenti personalizzati o da altri fattori. Errore in d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector non riuscito
    Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com.

  • Quando si tenta di scorrere una pagina ASP in esecuzione su un servizio IIS e l'opzione Mostra messaggi di errore HTTP brevi non Ŕ selezionata in Internet Explorer, Ŕ possibile che venga visualizzato il seguente messaggio di errore:
    Errore applicazione server.
    Il server ha rilevato un errore nel caricamento di un'applicazione durante l'elaborazione della richiesta. Per ulteriori informazioni, consultare il registro evento. Per assistenza, rivolgersi all'amministratore del server.
    HTTP 500 - Errore interno del server Internet Explorer
    ╚ possibile che nel registro eventi venga inoltre registrato un evento analogo al seguente:

    Tipo evento: Errore
    Origine evento: DCOM
    Categoria evento: Nessuna
    ID evento: 10010
    Data: <Data>
    Ora: <Ora>
    Utente: NT AUTHORITY\SYSTEM
    Computer: Server
    Descrizione: Il server <GUID> non si Ŕ registrato con DCOM entro il timeout richiesto.

  • Quando si tenta di avviare manualmente applicazioni COM+ in Servizi componenti, Ŕ possibile che venga visualizzato un messaggio di errore analogo al seguente:
    Errore nel catalogo: Si Ŕ verificato un errore durante l'elaborazione dell'ultima operazione. Codice errore 80080005 - Esecuzione del server non riuscito. ╚ possibile che nel registro eventi siano disponibili ulteriori informazioni per la risoluzione del problema.
    ╚ possibile che nel registro eventi venga inoltre registrato un evento analogo al seguente:

    Tipo evento: Errore
    Origine evento: DCOM
    Categoria evento: Nessuna
    ID evento: 10010
    Data: <Data>
    Ora: <Ora>
    Utente: NT AUTHORITY\SYSTEM
    Computer: Server
    Descrizione: Il server <GUID> non si Ŕ registrato con DCOM entro il timeout richiesto.
    Tipo evento: Avviso
    Origine evento: W3SVC
    Categoria evento: Nessuna
    ID evento: 36
    Data: <Data>
    Ora: <Ora>
    Utente: N/D
    Computer: Server
    Descrizione: Il server non Ŕ in grado di caricare l'applicazione '/LM/W3SVC/1/Root/'. Errore "Esecuzione del server non riuscito".
    Per ulteriori informazioni su questo messaggio, visitare il sito Internet del Servizio Supporto Tecnico Clienti Microsoft all'indirizzo: http://search.support.microsoft.com/search/?adv=1.

    Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com.

  • Quando si tenta di installare un'applicazione o di avviare manualmente il servizio Windows Installer Ŕ possibile che venga visualizzato il seguente messaggio di errore:
    Impossibile accedere al servizio Windows Installer. Ci˛ pu˛ verificarsi se si esegue Windows in modalitÓ provvisoria, o se Windows Installer non Ŕ installato correttamente. Contattare il personale di assistenza.
  • ╚ possibile che il servizio Windows Firewall non venga avviato e che venga visualizzato un codice di errore analogo al seguente:
    Errore restituito: 0x80070005 ( -2147024891 ) Definizione ID: E_ACCESSDENIED Testo del messaggio: Accesso negato.

Procedura per riprodurre il problema

Rimuovere gli account System e Everyone dalle autorizzazioni per i file clb. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare Explorer.exe c:\winnt\registration, quindi scegliere OK.
  2. In Esplora risorse fare clic con il pulsante destro del mouse e scegliere ProprietÓ, quindi fare clic sulla scheda Protezione.
  3. Nella finestra di dialogo ProprietÓ - Registration fare clic su System nell'elenco Nome, quindi scegliere Avanzate.
  4. Nella finestra di dialogo Impostazioni controllo di accesso per Registration fare clic su Rimuovi, quindi scegliere OK.
  5. Ripetere i passaggi 3 e 4 per disabilitare l'accesso ai file clb per l'account Everyone.

ProprietÓ

Identificativo articolo: 909444 - Ultima modifica: giovedý 14 agosto 2008 - Revisione: 15.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Chiavi:á
kbresolve kbtshoot kbprb KB909444
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com