Poderá deparar-se com vários problemas depois de instalar o boletim de segurança MS05-051 da Microsoft para COM+ e MS DTC

Traduções de Artigos Traduções de Artigos
Artigo: 909444 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Num computador com o Microsoft Windows XP, Microsoft Windows 2000 ou Windows Server 2003, poderão ocorrer um ou mais problemas depois de instalar a actualização crítica abordada no boletim de segurança MS05-051 da Microsoft. Seguem-se alguns destes problemas:
  • O serviço Windows Installer poderá não iniciar.
  • O serviço Firewall do Windows poderá não iniciar.
  • A pasta Ligações de rede está vazia.
  • O Web site Windows Update poderá recomendar, incorrectamente, que altere a definição Recorrência de dados do utilizador no Microsoft Internet Explorer.
  • As páginas ASP (Active Server Pages) em execução no Microsoft IIS (Serviços de informação Internet - Internet Information Services) devolvem uma mensagem de erro ?HTTP 500 ? Erro do servidor interno?.
  • O serviço Microsoft COM+ EventSystem não será iniciado.
  • As aplicações COM+ não serão iniciadas.
  • O nó computadores na árvore da consola de gestão da Microsoft (MMC, Microsoft Management Console) dos Serviços componentes da Microsoft não será expandido.
  • Os utilizadores autenticados não conseguem iniciar sessão e é apresentado um ecrã em branco depois de os utilizadores terem aplicado as actualizações de segurança de Outubro.
  • Numa configuração do cluster de servidores, o serviço de cluster poderá não ser iniciado. É registado o seguinte evento no ficheiro de registo do cluster:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Um evento semelhante ao seguinte pode ser registado no registo do sistema:

    ID do Evento: 512
    Origem: CryptSvc
    Descrição:
    Os 'Serviços criptográficos' não conseguiram inicializar o objecto 'Escritor de sistema' de cópia de segurança do VSS.

    Detalhes:
    O objecto 'Escritor de sistema' não conseguiu subscrever o VSS.

    Erro de sistema:
    Falha catastrófica

  • Poderá ocorrer um erro de acesso negado quando tenta estabelecer ligação com o Windows Management Instrumentation (WMI) utilizando o script, o utilitário WBEMTest.exe ou outros utilitários. O ficheiro %windir%\system32\wbem\logs\wbemprox.log contém erros semelhantes ao seguinte erro no momento da falha:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Poderá receber a seguinte mensagem de erro do catálogo do COM+ 1.0 quando cria uma aplicação COM+ vazia:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Causa

Este problema pode ocorrer se uma aplicação COM ou COM+ não conseguir aceder aos ficheiros de catálogo do COM+. A aplicação não consegue aceder aos ficheiros de catálogo do COM+ porque as permissões predefinidas no directório e ficheiros de catálogo do COM+ foram alteradas. Antes do boletim de segurança MS05-051 da Microsoft, as permissões explícitas para o catálogo do COM+ não eram necessárias. Os ficheiros de catálogo do COM+ são ficheiros .clb e estão localizados na pasta %windir%\registration. Por predefinição, o directório e ficheiros de catálogo do COM+ têm as seguintes permissões:
Reduzir esta tabelaExpandir esta tabela
AdministradoresSistemaTodosUtilizadores autenticadosOperadores de servidor
Windows 2000 sem ser controlador de domínioControlo TotalControlo TotalLer
Controlador de domínio do Windows 2000Controlo TotalControlo TotalModificarLer e executar
Windows Server 2003 sem ser controlador de domínioControlo TotalControlo TotalLer
Controlador de domínio do Windows Server 2003Controlo TotalControlo TotalLer e executar

Resolução

Com base nas alterações de segurança implementadas no MS05-051, é necessária a permissão do sistema de ficheiros NTFS de nível de leitura para a pasta %windir%\registration. As permissões predefinidas incluem acesso de leitura para o grupo Todos. Se esta configuração for alterada, as aplicações e serviços poderão apresentar um comportamento inesperado. As organizações que optem por implementar permissões de segurança NTFS mais restritivas, deverão considerar a concessão de permissões ao nível da leitura através de associações de grupos a utilizadores, aplicações e serviços que necessitem de aceder à funcionalidade COM. Recomendamos a utilização das predefinições da pasta por forma a evitar potencial compatibilidade de aplicações. A Microsoft recomenda um extenso período de testes de compatibilidade de aplicações para os administradores que pretendam implementar definições diferentes das predefinições. Para obter mais informações sobre os problemas que poderão ocorrer ao modificar permissões nas pastas de sistema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
885409 Suporte para os manuais de configuração da segurança
Além das permissões NTFS, é necessária a permissão para ignorar o atravessamento de pasta. Por predefinição, esta permissão é concedida ao grupo Todos. Como mencionado para as permissões NFTS, esta permissão deverá ser concedida a utilizadores, aplicações e serviços através de associações de grupos. Para obter mais informações sobre o direito de utilizador de ignorar o atravessamento de pasta, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
823659 Incompatibilidades com clientes, serviços e programas que poderão ocorrer quando modifica definições de segurança e atribuições de direitos de utilizadores
Para resolver este problema, restaure as permissões predefinidas para o catálogo do COM+.

Num computador com o Windows 2000 ou Windows Server 2003 e que não seja um controlador de domínio, siga estes passos:
  1. Na pasta %windir%/registration, certifique-se de que o grupo Todos tem permissões de leitura.
  2. Na pasta %windir%/registration, certifique-se de que a conta SYSTEM tem permissões de controlo total.
  3. Na pasta %windir%/registration, certifique-se de que o grupo Administradores tem permissões de controlo total.
  4. Nas propriedades avançadas de segurança dos ficheiros .clb na pasta %windir%/registration, certifique-se de que a opção Permitir que as entradas de auditoria herdáveis do principal sejam propagadas para este objecto e para todos os objectos. Incluir estas nas entradas definidas explicitamente aqui está seleccionada.
  5. Certifique-se de que o grupo Todos tem uma das seguintes permissões:
    • Permissões para atravessar (?Listar conteúdo das pastas?) em todos os directórios principais, incluindo %systemdrive%, %windir% e %windir%\registration
    • O direito de utilizador Ignorar verificação transversal
    Para atribuir o direito de utilizador Ignorar verificação transversal ao grupo Todos, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva gpedit.msc e clique em OK.
    2. Expanda Configuração do computador, expanda Definições do Windows, expanda Definições de segurança, expanda Políticas locais e expanda Atribuição de direitos de utilizadores.
    3. Clique com o botão direito do rato em Ignorar verificação transversal e clique em Propriedades.
    4. Clique em Adicionar utilizador ou grupo.
    5. Escreva Todos e clique em OK.

      Nota: se receber uma mensagem a indicar que não foi possível encontrar um objecto denominado "Utilizadores", clique em Tipos de objectos, clique para seleccionar a caixa de verificação Grupos e clique em OK duas vezes.
Para um controlador de domínio com o Windows 2000, siga estes passos:
  1. Na pasta %windir%/registration, certifique-se de que o grupo Utilizadores autenticados tem permissões para ler e executar.
  2. Na pasta %windir%/registration, certifique-se de que o grupo Operadores de servidor tem permissões para modificar.
  3. Na pasta %windir%/registration, certifique-se de que a conta SYSTEM tem permissões de controlo total.
  4. Na pasta %windir%/registration, certifique-se de que o grupo Administradores tem permissões de controlo total.
  5. Nas propriedades avançadas de segurança dos ficheiros .clb na pasta %windir%/registration, certifique-se de que a opção Deixar que as permissões herdáveis se propaguem para este objecto está seleccionada.
Para um controlador de domínio com o Windows Server 2003, siga estes passos:
  1. Na pasta %windir%/registration, certifique-se de que o grupo Todos tem permissões para ler e executar.
  2. Na pasta %windir%/registration, certifique-se de que a conta SYSTEM tem permissões de controlo total.
  3. Na pasta %windir%/registration, certifique-se de que o grupo Administradores tem permissões de controlo total.
  4. Nas propriedades avançadas de segurança dos ficheiros .clb na pasta %windir%/registration, certifique-se de que a opção Permitir que as entradas de auditoria herdáveis do principal sejam propagadas para este objecto e para todos os objectos. Incluir estas nas entradas definidas explicitamente aqui. está seleccionada.
  5. Certifique-se de que o grupo Todos tem uma das seguintes permissões:
    • Permissões para atravessar (?Listar conteúdo das pastas?) em todos os directórios principais, incluindo %systemdrive%, %windir% e %windir%\registration
    • O direito de utilizador Ignorar verificação transversal
    Para atribuir o direito de utilizador Ignorar verificação transversal ao grupo Todos, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva gpedit.msc e clique em OK.
    2. Expanda Configuração do computador, expanda Definições do Windows, expanda Definições de segurança, expanda Políticas locais e expanda Atribuição de direitos de utilizadores.
    3. Clique com o botão direito do rato em Ignorar verificação transversal e clique em Propriedades.
    4. Clique em Adicionar utilizador ou grupo.
    5. Escreva Todos e clique em OK.

      Nota: se receber uma mensagem a indicar que não foi possível encontrar um objecto denominado "Utilizadores", clique em Tipos de objectos, clique para seleccionar a caixa de verificação Grupos e clique em OK duas vezes.
Nota: o sistema pode posteriormente criar ficheiros .clb adicionais na pasta %windir%/registration. Para se certificar de que os novos ficheiros .clb têm as permissões apropriadas, conceda permissões para ler para todo o directório em vez de as conceder apenas aos ficheiros .clb actualmente existentes. É possível utilizar o ficheiro Cacls.exe para automatizar estas alterações de permissões no computador afectado ou para efectuar as alterações facilmente em múltiplos computadores.

Num computador com o Windows 2000 ou o Windows Server 2003 que não seja um controlador de domínio, utilize os seguintes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Para um controlador de domínio com o Windows 2000, utilize os seguintes comandos:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Para um controlador de domínio com o Windows 2003, utilize os seguintes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Nota: certifique-se de que não existe um espaço entre os caracteres y e barra vertical (|). Se existir um espaço entre estes caracteres, os comandos não serão correctamente executados.

Mais Informação

Quando este problema ocorre, poderá receber um ou mais dos seguintes eventos no registo de eventos:
  • O evento EventSystem que se segue poderá estar registado no registo de eventos se a conta de serviço de rede não tiver as permissões correctas:

    Tipo de Evento: Erro
    Origem do Evento: EventSystem
    Categoria do evento: (50)
    ID do Evento: 4609
    Data: <Data>
    Hora: <Hora>
    Utilizador: N/D
    Computador: Servidor
    Descrição: O sistema de registo de eventos do COM+ detectou um código devolvido inválido durante o respectivo processamento interno. O HRESULT é 80070005 na linha xx de d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contacte o suporte técnico da Microsoft para comunicar este erro.

  • O evento COM+ que se segue poderá estar registado no registo de eventos se a conta de serviço de rede não tiver as permissões correctas:

    Tipo de Evento: Informações
    Origem do evento: COM+
    Categoria do Evento: (117)
    ID do Evento: 778
    Data: <Data>
    Hora: <Hora>
    Utilizador: N/D
    Computador: Servidor
    Descrição: Falha no descarregamento da imagem da aplicação.
    ID da aplicação do servidor: <GUID>
    ID da ocorrência da aplicação de servidor: <GUID>
    Nome da aplicação do servidor: Explorador do COM+
    Código de erro = 0x80004005: Erro não especificado
    Informações dos serviços internos do COM+: Ficheiro: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Linha: 1259 Versão do ficheiro Comsvcs.dll: ENU 2001.12.4414.308 shp
    Para mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

  • O evento COM+ que se segue poderá estar registado no registo de eventos se a conta de serviço de rede não tiver as permissões correctas:

    Tipo de Evento: Erro
    Origem do Evento: COM+
    Categoria do Evento: Desconhecida
    ID do evento: 4689
    Data: <Data>
    Hora: <Hora>
    Utilizador: N/D
    Computador: Servidor
    Descrição: O ambiente de tempo de execução detectou uma inconsistência no respectivo estado interno. Tal indica uma instabilidade potencial no processo que pode ter origem nos componentes personalizados executados na aplicação COM+, nos componentes por eles utilizados ou noutros factores. Erro em d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector falhou
    Para mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

  • Quando tenta navegar para uma página ASP em execução num serviço do IIS e a opção Mostrar mensagens de erro em HTTP amigáveis não está seleccionada no Internet Explorer, poderá receber a seguinte mensagem de erro:
    Erro da aplicação de servidor.
    O servidor encontrou um erro ao carregar uma aplicação durante o processamento do pedido. Consulte o registo de eventos para obter informações mais detalhadas. Contacte o administrador do servidor para obter ajuda.
    HTTP 500 - Erro do servidor interno Internet Explorer
    Também poderá ser registado um evento semelhante ao seguinte no registo de eventos:

    Tipo de Evento: Erro
    Origem do Evento: DCOM
    Categoria do Evento: Nenhum
    ID do Evento: 10010
    Data: <Data>
    Hora: <Hora>
    Utilizador: NT AUTHORITY\SYSTEM
    Computador: Servidor
    Descrição: O servidor <GUID> não foi registado no DCOM dentro do tempo de espera requerido.

  • Quando tenta iniciar manualmente aplicações COM+ nos Serviços componentes, poderá receber a seguinte mensagem de erro:
    Erro no catálogo: Ocorreu um erro ao processar a última operação. Código de erro 80080005 - A execução no servidor falhou. O 'Visualizador de eventos' pode conter informação adicional relativa à resolução do problema.
    Também poderá ser registado um evento semelhante ao seguinte no registo de eventos:

    Tipo de Evento: Erro
    Origem do Evento: DCOM
    Categoria do Evento: Nenhum
    ID do Evento: 10010
    Data: <Data>
    Hora: <Hora>
    Utilizador: NT AUTHORITY\SYSTEM
    Computador: Servidor
    Descrição: O servidor <GUID> não foi registado no DCOM dentro do tempo de espera requerido.
    Tipo de Evento: Aviso
    Origem do evento: W3SVC
    Categoria do evento: Nenhum
    ID do Evento: 36
    Data: <Data>
    Hora: <Hora>
    Utilizador: N/D
    Computador: Servidor
    Descrição: O servidor não conseguiu carregar a aplicação '/LM/W3SVC/1/ROOT'. O erro foi 'A execução no servidor falhou'.
    Para obter informações adicionais específicas desta mensagem, visite o site de suporte online da Microsoft localizado em: http://search.support.microsoft.com/search/?adv=1.

    Para mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.

  • Quando tenta instalar uma aplicação ou quando tenta iniciar manualmente o serviço Windows Installer, poderá receber a seguinte mensagem de erro:
    O serviço Windows Installer não pôde ser acedido. Isto pode acontecer caso esteja a executar o Windows em modo seguro ou se o Windows não está instalado correctamente. Contacte o suporte técnico para obter assistência.
  • O serviço Firewall do Windows poderá não iniciar devolvendo o seguinte código de erro:
    Resultado de erro: 0x80070005 ( -2147024891 ) ID definido como: E_ACCESSDENIED Texto da mensagem: O acesso é negado.

Passos para reproduzir este problema

Remova a conta de sistema e a conta Todos das permissões de ficheiro para os ficheiros *.clb. Para o fazer, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva Explorer.exe c:\winnt\registration e clique em OK.
  2. No Explorador do Windows, clique com o botão direito do rato em Propriedades e clique no separador Segurança.
  3. Na caixa de diálogo Propriedades de Registo, clique em Sistema em Nomes de grupo ou de utilizador e clique em Avançadas.
  4. Na caixa de diálogo Definições avançadas de segurança para registo, clique em Remover e clique em OK.
  5. Repita os passos 3 e 4 para impedir o acesso da conta Todos a ficheiros .clb.

Propriedades

Artigo: 909444 - Última revisão: 13 de agosto de 2008 - Revisão: 15.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbresolve kbtshoot kbprb KB909444

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com