Você pode ter vários problemas após a instalação do Boletim de segurança da Microsoft MS05-051 para COM+ e MS DTC

Traduções deste artigo Traduções deste artigo
ID do artigo: 909444 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Em um computador executando o Microsoft Windows XP, Microsoft Windows 2000 ou Windows Server 2003, um ou mais problemas podem ocorrer após a instalação da atualização crítica descrita no Boletim de segurança da Microsoft MS05-051. Esses problemas incluem o seguinte:
  • O serviço do Windows Installer pode não ser iniciado.
  • O serviço do Firewall do Windows pode não ser iniciado.
  • A pasta "Conexões de rede" está vazia.
  • O site Windows Update pode, incorretamente, aconselhar a alteração da configuração Persistência de dados do usuário no Microsoft Internet Explorer.
  • As páginas ASP (Active Server Pages) que estão em execução no IIS (Serviços de informações da Internet) da Microsoft retornam uma mensagem de erro ?HTTP 500 ? Erro interno do servidor?.
  • O serviço EventSystem do Microsoft COM+ não será iniciado.
  • Os aplicativos COM+ não serão iniciados.
  • O nó computadores na árvore do MMC (Console de Gerenciamento Microsoft) dos Serviços de Componente da Microsoft não expandirá.
  • Os usuários autenticados não podem fazer logon e uma tela em branco aparece após aplicarem as atualizações de segurança de outubro.
  • Em uma configuração de cluster de servidores, o serviço de cluster não pode ser iniciado. O seguinte evento é registrado no arquivo de log do cluster:

    ERR [NM] Não foi possível estabelecer um ponto de conexão com o Gerenciador de conexão de Internet, status 80070005. WARN [NM] Não foi possível inicializar coletor aconselhado do Gerenciador de conexão de rede, status 80070005 ERR [NM] Falha de inicialização -2147024891

  • Um evento semelhante ao seguinte pode ser registrado no log do Sistema:

    Identificação do evento: 512
    Fonte: CryptSvc
    Descrição:
    Os serviços de criptografia não inicializaram o objeto de backup VSS "Gravador do sistema".

    Detalhes:
    O objeto System Writer falhou ao inscrever-se no VSS.

    Erro do sistema:
    Falha catastrófica

  • Um erro de acesso negado pode ocorrer ao tentar se conectar ao WMI (Instrumentação de gerenciamento do Windows) usando o script, o utilitário WBEMTest.exe ou outros utilitários. O arquivo %windir%\system32\wbem\logs\wbemprox.log contém erros semelhantes ao seguinte erro no momento da falha:
    ConnectViaDCOM, CoCreateInstanceEx resultou em hr = 0x80070005
  • A seguinte mensagem de erro de catálogo COM+ 1.0 pode ser exibida ao criar um aplicativo COM+ vazio:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Causa

Este problema pode ocorrer se os aplicativos COM ou COM+ não puderem acessar os arquivos de catálogo COM+. O aplicativo não pode acessar os arquivos de catálogo COM+, porque as permissões padrão no diretório e nos arquivos de catálogo COM+ tiveram suas configurações padrão alteradas. Antes do Boletim de segurança da Microsoft MS05-051, as permissões explícitas para o catálogo COM+ não eram exigidas. Os arquivos de catálogo COM+ são .clb e estão localizados na pasta %windir%\registration. Por padrão, o diretório e os arquivos de catálogo COM+ têm as seguintes permissões:
Recolher esta tabelaExpandir esta tabela
AdministradoresSistemaTodosUsuários autenticadosOperadores do servidor
Não controlador de domínio do Windows 2000Controle TotalControle TotalLeitura
Controlador de domínio do Windows 2000Controle TotalControle TotalModificarLer e executar
Não controlador de domínio do Windows Server 2003Controle TotalControle TotalLeitura
Controlador de domínio do Windows Server 2003Controle TotalControle TotalLer e executar

Resolução

Com base nas alterações de segurança implementadas no MS05-051, a permissão do sistema de arquivo NTFS no nível de Leitura é necessária na pasta %windir%\registration. As permissões padrão incluem acesso de Leitura para o grupo Todos. Se esta configuração for alterada, os aplicativos e os serviços poderão exibir um comportamento inesperado. As organizações que escolheram implementar permissões de segurança NTFS mais restritivas devem recomendar a concessão das permissões no nível de Leitura por meio dos membros do grupo para usuários, aplicativos e serviços que exijam o acesso à funcionalidade COM. É aconselhável que as configurações padrão para a pasta sejam usadas para evitar uma possível compatibilidade do aplicativo. Extensos testes de compatibilidade de aplicativo são aconselháveis para os administradores que desejam implementar configurações que sejam diferentes das configurações padrão. Para obter mais informações sobre os problemas que podem ocorrer pela modificação das permissões em pastas do sistema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
885409 Suporte para as diretrizes de configuração de segurança
Além das permissões NTFS, a permissão Bypass Traversal é exigida. Por padrão, essa permissão é atribuída ao grupo Todos. Conforme indicado nas permissões NFTS, os usuários, os aplicativos e os serviços devem receber essa permissão por meio de membros do grupo. Para obter mais informações sobre o direito do usuário Bypass Traversal, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
823659 Incompatibilidades de cliente, de serviço e de programa que podem ocorrer ao modificar as configurações de segurança e as atribuições dos direitos de usuário
Para resolver este problema, restaure as permissões padrão do catálogo COM+.

Para um computador executando Windows 2000 ou Windows Server 2003 e, que não está executando como um controlador de domínio, siga as seguintes etapas:
  1. Na pasta %windir%/registration, verifique se o grupo Todos tenha as permissões de Leitura.
  2. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permissões Controle Total.
  3. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permissões Controle Total.
  4. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que as entradas de auditoria herdáveis do pai sejam propagadas a este objeto e a todos os objetos filho. Incluí-las nas entradas explicitamente definidas aqui está selecionada.
  5. Verifique se o grupo Todos tem uma das seguintes permissões:
    • Permissões de traverse (?Listar conteúdo de pastas?) em todos os diretórios pai, incluindo %systemdrive%, %windir% e %windir%\registration
    • O Bypass traverse verifica o direito do usuário
    Para atribuir o Bypass traverse para verificar o direito do usuário para o grupo Todos, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
    2. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurança, expanda Diretivas locais e expanda Atribuição de direitos de usuário.
    3. Clique com o botão direito do mouse em Ignorar a verificação completa e clique em Propriedades.
    4. Clique em Adicionar usuário ou grupo.
    5. Digite Todos e clique em OK.

      Observação Se uma mensagem afirmando que um objeto chamado "Usuários" não pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleção Grupos e clique em OK duas vezes.
Para um controlador de domínio executando o Windows 2000, execute as seguintes etapas:
  1. Na pasta %windir%/registration, verifique se o grupo Usuários autenticados tenha as permissões Ler & Executar.
  2. Na pasta %windir%/registration, verifique se o grupo Operadores de servidor tenha as permissões de Modificar.
  3. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permissões Controle Total.
  4. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permissões Controle Total.
  5. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que permissões herdadas do pai se propaguem para este objeto esteja selecionada.
Para um controlador de domínio executando o Windows Server 2003, execute as seguintes etapas:
  1. Na pasta %windir%/registration, verifique se o grupo Todos tem as permissões de Ler & Executar.
  2. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permissões Controle Total.
  3. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permissões Controle Total.
  4. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que as entradas de auditoria herdáveis do pai sejam propagadas a este objeto e a todos os objetos filho. Incluí-las nas entradas explicitamente definidas aqui está selecionada.
  5. Verifique se o grupo Todos tem uma das seguintes permissões:
    • Permissões de traverse (?Listar conteúdo de pastas?) em todos os diretórios pai, incluindo %systemdrive%, %windir% e %windir%\registration
    • O Bypass traverse verifica o direito do usuário
    Para atribuir o Bypass traverse para verificar o direito do usuário para o grupo Todos, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
    2. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurança, expanda Diretivas locais e expanda Atribuição de direitos de usuário.
    3. Clique com o botão direito do mouse em Ignorar a verificação completa e clique em Propriedades.
    4. Clique em Adicionar usuário ou grupo.
    5. Digite Todos e clique em OK.

      Observação Se uma mensagem afirmando que um objeto chamado "Usuários" não pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleção Grupos e clique em OK duas vezes.
Observação O sistema pode criar, posteriormente, arquivos .clb adicionais na pasta %windir%/registration. Para verificar se os novos arquivos .clb tenham as permissões apropriadas, conceda as permissões de Leitura para todo o diretório em vez de concedê-las apenas para os arquivos .clb que existem no momento. É possível usar o arquivo Cacls.exe para automatizar estas alterações de permissão no computador afetado ou para distribuir facilmente as alterações para vários computadores.

Para um computador executando Windows 2000 ou Windows Server 2003 e, que não está executando como um controlador de domínio, use os seguintes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Para um controlador de domínio executando o Windows 2000,use estes comandos:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Para um controlador de domínio executando o Windows 2003,use estes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Observação Verifique se não existe espaço entre o caractere y e o caractere de pipe (|). Se houver um espaço entre eles, os comandos não serão executados corretamente.

Mais Informações

Quando este problema ocorre, um ou mais dos seguintes eventos podem ser exibidos no log de eventos:
  • O seguinte evento EventSystem pode ser registrado no log de eventos, se a conta Serviço de rede não tiver as permissões corretas:

    Tipo de evento: Erro
    Fonte do evento: EventSystem
    Categoria do evento: (50)
    Identificação do evento: 4609
    Data: <Data>
    Hora: <Hora>
    Usuário: N/A
    Computador: Servidor
    Descrição: O Sistema de Eventos COM+ detectou um código de retorno incorreto durante o processamento interno. HRESULT era 80070005 da linha xx de d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contate o Atendimento Microsoft para relatar este erro.

  • O seguinte evento COM+ pode ser registrado no log de eventos se a conta Serviço de rede não tiver as permissões corretas:

    Tipo de evento: informações
    Fonte do evento: COM+
    Categoria do evento: (117)
    Identificação do evento: 778
    Data: <Data>
    Hora: <Hora>
    Usuário: N/A
    Computador: Servidor
    Descrição: Falha ao despejar imagem do aplicativo.
    Identificação do aplicativo para servidor: <GUID>
    Identificação de instância de aplicativo do servidor: <GUID>
    Nome do aplicativo para servidor: COM+ Explorer
    Código de erro = 0x80004005: Erro não especificado
    Informações internas de serviços COM+: Arquivo: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, linha: 1259 versão do arquivo Comsvcs.dll: ENU 2001.12.4414.308 shp
    Para obter mais informações, consulte a Ajuda e o Atendimento no site http://support.microsoft.com.

  • O seguinte evento COM+ pode ser registrado no log de eventos se a conta Serviço de rede não tiver as permissões corretas:

    Tipo de evento: Erro
    Fonte do evento: COM+
    Categoria do evento: Desconhecido
    Identificação do evento: 4689
    Data: <Data>
    Hora: <Hora>
    Usuário: N/A
    Computador: Servidor
    Descrição: O ambiente de tempo de execução detectou uma inconsistência no estado interno. Isso indica uma possível instabilidade no processo que pode ter sido causada por componentes personalizados em execução no aplicativo COM+, componentes dos quais fizeram uso ou outros fatores. Erro em d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: falha no InitEventCollector
    Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

  • Quando você tenta navegar em uma página ASP em execução em um serviço IIS e a opção Mostrar mensagens de erro http amigáveis não está selecionada no Internet Explorer, a seguinte mensagem de erro pode ser exibida:
    Erro no aplicativo do servidor.
    O servidor encontrou um erro enquanto carregava o aplicativo durante o processamento da solicitação. Consulte o log de eventos para obter informações mais detalhadas. Entre em contato com o administrador para obter ajuda.
    HTTP 500 - Erro interno do servidor Internet Explorer
    Um evento semelhante ao seguinte também pode ser registrado no log de eventos:

    Tipo de evento: Erro
    Fonte do evento: DCOM
    Categoria do evento: Nenhuma
    Identificação do evento: 10010
    Data: <Data>
    Hora: <Hora>
    Usuário: SISTEMA/AUTORIDADE NT
    Computador: Servidor
    Descrição: A <GUID> do servidor não se registrou com o DCOM dentro do tempo limite requerido.

  • Ao tentar iniciar manualmente os aplicativos COM+ nos Serviços de componente, a seguinte mensagem de erro pode ser exibida:
    Erro de catálogo: Erro ao processar a última operação. Código de erro 80080005 - Falha na execução do servidor. Talvez o log de eventos contenha informações adicionais de resolução de problemas.
    Um evento semelhante ao seguinte também pode ser registrado no log de eventos:

    Tipo de evento: Erro
    Fonte do evento: DCOM
    Categoria do evento: Nenhuma
    Identificação do evento: 10010
    Data: <Data>
    Hora: <Hora>
    Usuário: SISTEMA/AUTORIDADE NT
    Computador: Servidor
    Descrição: A <GUID> do servidor não se registrou com o DCOM dentro do tempo limite requerido.
    Tipo de evento: Aviso
    Fonte do evento: W3SVC
    Categoria do evento: Nenhuma
    Identificação do evento: 36
    Data: <Data>
    Hora: <Hora>
    Usuário: N/A
    Computador: Servidor
    Descrição: O servidor falhou ao carregar o aplicativo '/LM/W3SVC/1/ROOT'. Erro: "Falha na execução do servidor".
    Para obter mais informações específicas dessa mensagem, visite o site do Suporte Online da Microsoft no endereço: http://search.support.microsoft.com/search/?adv=1.

    Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

  • Ao tentar instalar um aplicativo ou iniciar manualmente o serviço do Windows Installer, a seguinte mensagem de erro pode ser exibida:
    O serviço Windows Installer não pôde ser acessado. Isso pode ocorrer se você estiver executando o Windows em modo de segurança, ou se o serviço Windows Installer não tiver sido devidamente instalado. Entre com contato com a equipe de suporte para obter ajuda.
  • O serviço Firewall do Windows pode não iniciar com o seguinte código de erro:
    Resultado do erro: 0x80070005 ( -2147024891 ) Identificação definida como: E_ACCESSDENIED Texto da mensagem: Acesso negado.

Etapas para reproduzir o problema

Remova a conta do sistema e a conta Todos, das permissões de arquivo para os arquivos *.clb. Para fazer isto, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite Explorer.exe c:\winnt\registration e clique em OK.
  2. No Windows Explorer, clique com o botão direito do mouse em Propriedades e clique na guia Segurança.
  3. Na caixa de diálogo Propriedades de registro, clique em SYSTEM em Nomes de grupo ou de usuário e em Avançado.
  4. Na caixa de diálogo Configurações de segurança avançadas para registro, clique em Remover e em OK.
  5. Repita as etapas 3 e 4 para interromper o acesso da conta Todos aos arquivos .clb.

Propriedades

ID do artigo: 909444 - Última revisão: segunda-feira, 18 de agosto de 2008 - Revisão: 15.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbresolve kbtshoot kbprb KB909444

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com