После установки обновлений, описанных в бюллетене по безопасности Microsoft MS05-051 для COM+ и MS DTC, могут возникать различные проблемы

Код статьи: 909444 - Список продуктов, к которым относится данная статья.
Развернуть все | Свернуть все

На этой странице

Проблема

На компьютерах, работающих под управлением Microsoft Windows XP, Microsoft Windows 2000 или Windows Server 2003, после установки критического обновления, описанного в бюллетене Майкрософт по безопасности MS05-051, могут возникать следующие проблемы.
  • Не запускается служба установки Windows.
  • Не запускается служба брандмауэра Windows.
  • Папка «Сетевые подключения» пуста.
  • На веб-узле Windows Update можно получить неправильную рекомендацию изменить настройку Устойчивость данных пользователя в параметрах обозревателя Microsoft Internet Explorer.
  • Страницы ASP (Active Server Pages), используемые в службах Microsoft Internet Information Services (IIS), возвращают сообщение об ошибке «HTTP 500 – Внутренняя ошибка сервера».
  • Не запускается служба Microsoft COM+ EventSystem.
  • Не запускаются приложения COM+.
  • Не разворачивается узел компьютеры дерева консоли управления Microsoft (MMC) службы компонентов Microsoft.
  • Зарегистрированные пользователи не могут войти в систему, а после установки октябрьских обновлений для системы безопасности отображается пустой экран.
  • Не запускается служба кластеров при использовании кластера серверов. В журнале кластера регистрируется следующее событие.

    ОШИБКА [NM] Не удалось установить точку соединения с диспетчером сетевых подключений; код 80070005. ПРЕДУПРЕЖДЕНИЕ [NM] Не удалось инициализировать приемник уведомлений диспетчера сетевых подключений; код 80070005 ОШИБКА [NM] Ошибка при инициализации -2147024891

  • В журнале системных событий может регистрироваться следующее событие.

    Код события: 512
    Источник: CryptSvc
    Описание:
    Службам криптографии не удалось инициализировать объект «System Writer» резервной копии, созданной службой точного копирования томов (VSS).

    Подробности:
    Объекту «System Writer» не удалось подписаться на службу VSS.

    Системная ошибка:
    Разрушительный сбой

  • При попытке подключения к инструментарию управления Windows (WMI), используя сценарий, программу WBEMTest.exe или другие служебные программы, может появиться ошибка доступа. В случае сбоя в журнале «%windir%\system32\wbem\logs\wbemprox.log» регистрируются следующие ошибки:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • При создании пустого приложения COM+ может выводиться следующее сообщение об ошибке каталога COM+ 1.0:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)
Перейти к началу страницы | Отправить отзыв

Причина

Эта проблема может возникнуть в том случае, если приложения COM или COM+ не имеют доступа к файлам каталога COM+. Причина заключается в изменении стандартных разрешений доступа к папке и файлам каталога COM+. До выпуска бюллетеня Майкрософт по безопасности MS05-051 явные разрешения для доступа к каталогу COM+ не требовались. Файлами каталога COM+ являются файлы с расширением .clb, которые хранятся в папке «%windir%\registration». По умолчанию папке и файлам каталога COM+ назначены следующие разрешения:
Свернуть эту таблицуРазвернуть эту таблицу
АдминистраторыСистемаВсеПрошедшие проверкуОператоры сервера
Компьютер под управлением Windows 2000, не являющийся контроллером доменаПолный доступПолный доступЧтение
Контроллер домена под управлением Windows 2000Полный доступПолный доступИзменениеЧтение и выполнение
Компьютер под управлением Windows Server 2003, не являющийся контроллером доменаПолный доступПолный доступЧтение
Контроллер домена под управлением Windows Server 2003Полный доступПолный доступЧтение и выполнение
Перейти к началу страницы | Отправить отзыв

Решение

Исходя из изменений безопасности, реализованных в бюллетене по безопасности MS05-051, для доступа к папке «%windir%\registration» требуется доступ к файловой системе NTFS уровня «Чтение». По умолчанию установлен доступ на «Чтение» для группы «Все». При изменении этой настройки в программах и службах может наблюдаться непредвиденное поведение. В учреждениях, в которых реализованы более жесткие ограничения доступа к файловой системе NTFS, необходимо предоставить права на чтение группам пользователей, приложениям и службам, требующим доступ к функциям COM. Во избежание возможной несовместимости приложений рекомендуется использовать стандартные настройки для этой папки. Администраторам рекомендуется провести всестороннее тестирование на совместимость с приложениями перед заменой стандартных настроек. Дополнительные сведения о проблемах, которые могут возникать из-за изменения прав доступа к системным папкам, см. в следующей статье базы знаний Майкрософт:
885409
(http://support.microsoft.com/kb/885409/ )
Поддержка руководств по обеспечению безопасности
Помимо прав доступа к файловой системе NTFS требуется право на «Обход перекрестной проверки». По умолчанию это право предоставляется группе «Все». Это право следует предоставить пользователям, программам и службам посредством групповой политики, как определено правами доступа к NFTS. Дополнительные сведения о праве пользователя на обход перекрестной проверки см. в следующей статье базы знаний Майкрософт:
823659
(http://support.microsoft.com/kb/823659/ )
Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей
Чтобы устранить проблему, необходимо восстановить стандартные разрешения доступа к каталогу COM+.

Для компьютера, который работает под управлением Windows 2000 или Windows Server 2003, но не является контроллером домена, выполните следующие действия.
  1. В папке «%windir%/registration» проверьте, чтобы группа «Все» имела разрешения на «Чтение».
  2. В папке «%windir%/registration» проверьте, чтобы учетная запись СИСТЕМА имела разрешения на «Полный доступ».
  3. В папке «%windir%/registration» проверьте, чтобы группа «Администраторы» имела разрешения на «Полный доступ».
  4. В разделе дополнительных свойств безопасности файлов .clb в папке «%windir%/registration» установите флажок Переносить наследуемые от родительского объекта элементы аудита на этот объект и все объекты, добавляя их к явно заданным в этом окне.
  5. Для группы «Все» задайте одно из следующих разрешений:
    • Разрешение на обзор («Список содержимого папки») всех родительских каталогов, включая «%systemdrive%», «%windir%» и «%windir%\registration»
    • Право пользователя «Обход перекрестной проверки»
    Для предоставления права «Обход перекрестной проверки» группе «Все» выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
    2. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем выберите раздел Назначение прав пользователя.
    3. Правым щелчком мыши щелкните элемент Обход перекрестной проверки и выберите пункт Свойства.
    4. Нажмите кнопку Добавление пользователя или группы.
    5. Введите группу Все и нажмите кнопку ОК.

      Примечание. При получении сообщения об ошибке «объект Пользователи не найден» щелкните раздел Типы объектов, поставьте флажок Группы и дважды щелкните кнопку OK.
Для контроллера домена под управлением Windows 2000 выполните следующие действия.
  1. В папке «%windir%/registration» проверьте, чтобы группа «Прошедшие проверку» имела разрешения на «Чтение и выполнение».
  2. В папке «%windir%/registration» проверьте, чтобы группа «Операторы сервера» имела разрешения на «Изменение».
  3. В папке «%windir%/registration» проверьте, чтобы учетная запись СИСТЕМА имела разрешения на «Полный доступ».
  4. В папке «%windir%/registration» проверьте, чтобы группа «Администраторы» имела разрешения на «Полный доступ».
  5. В разделе дополнительных свойств безопасности файлов .clb в папке «%windir%/registration» установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект.
Для контроллера домена под управлением Windows Server 2003 выполните следующие действия.
  1. В папке «%windir%/registration» проверьте, чтобы группа «Все» имела разрешения на «Чтение и выполнение».
  2. В папке «%windir%/registration» проверьте, чтобы учетная запись СИСТЕМА имела разрешения на «Полный доступ».
  3. В папке «%windir%/registration» проверьте, чтобы группа «Администраторы» имела разрешения на «Полный доступ».
  4. В разделе дополнительных свойств безопасности файлов .clb в папке «%windir%/registration» установите флажок Переносить наследуемые от родительского объекта элементы аудита на этот объект и все объекты, добавляя их к явно заданным в этом окне.
  5. Для группы «Все» задайте одно из следующих разрешений:
    • Разрешение на обзор («Список содержимого папки») всех родительских каталогов, включая «%systemdrive%», «%windir%» и «%windir%\registration»
    • Право пользователя «Обход перекрестной проверки»
    Для предоставления права «Обход перекрестной проверки» группе «Все» выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
    2. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем выберите раздел Назначение прав пользователя.
    3. Правым щелчком мыши щелкните элемент Обход перекрестной проверки и выберите пункт Свойства.
    4. Нажмите кнопку Добавление пользователя или группы.
    5. Введите группу Все и нажмите кнопку ОК.

      Примечание. При получении сообщения об ошибке «объект Пользователи не найден» щелкните раздел Типы объектов, поставьте флажок Группы и дважды щелкните кнопку OK.
Примечание. Позже система может создавать дополнительные файлы .clb в папке «%windir%/registration». Чтобы новые файлы .clb имели необходимые разрешения, присвойте разрешения на «Чтение» полностью всей папке, а не только имеющимся файлам .clb. Для автоматического изменения разрешений на проблемном компьютере или для легкого развертывания изменений на нескольких компьютерах можно использовать файл Cacls.exe.

Для компьютера, который работает под управлением Windows 2000 или Windows Server 2003, но не является контроллером домена, выполните следующие команды:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Для контроллера домена под управлением Windows 2000 выполните следующие команды:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Для контроллера домена под управлением Windows 2003 выполните следующие команды:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Примечание. Проверьте, чтобы между символом «y» и символом «|» не было пробела. Если между ними стоит пробел, то команда будет выполняться неправильно.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

При возникновении этой проблемы в журнале событий могут регистрироваться следующие события:
  • Если учетная запись сетевой службы не имеет надлежащих разрешений, в журнале событий может регистрироваться следующее событие EventSystem:

    Тип события: Ошибка
    Источник события: EventSystem
    Категория события: (50)
    Код события: 4609
    Дата: <дата>
    Время: <время>
    Пользователь: Н/Д
    Компьютер: имя_сервера
    Описание: Система событий COM+ обнаружила неверный код возврата во время его внутренней обработки. HRESULT was 80070005 from line xx of d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Сообщите об этой ошибке в службу поддержки продуктов Майкрософт.

  • Если учетная запись сетевой службы не имеет надлежащих разрешений, в журнале событий может регистрироваться следующее событие COM+:

    Тип события: Сведения
    Источник события: COM+
    Категория события: (117)
    Код события: 778
    Дата: <дата>
    Время: <время>
    Пользователь: Н/Д
    Компьютер: имя_сервера
    Описание: Дамп образа приложения не удался.
    Код серверного приложения: <GUID>
    Код экземпляра серверного приложения: <GUID>
    Имя серверного приложения: COM+ Explorer
    Код ошибки = 0x80004005: Неизвестная ошибка
    Сведения о свойствах служб COM+: Файл: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp. Строка: Версия файла 1259 Comsvcs.dll: ENU 2001.12.4414.308 shp
    Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.

  • Если учетная запись сетевой службы не имеет надлежащих разрешений, в журнале событий может регистрироваться следующее событие COM+:

    Тип события: Ошибка
    Источник события: COM+
    Категория события: Неизвестна
    Код события: 4689
    Дата: <дата>
    Время: <время>
    Пользователь: Н/Д
    Компьютер: имя_сервера
    Описание: Среда выполнения программ обнаружила непостоянство своего внутреннего состояния. Это указывает на потенциальную нестабильность процессов, которая может быть вызвана специальными компонентами, используемыми в приложении COM+, компонентами, используемыми специальными компонентами, а также другими факторами. Ошибка в d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: Ошибка InitEventCollector
    Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.

  • Если в параметрах обозревателя Internet Explorer снят флажок Выводить подробные сообщения об ошибках http, то при попытке просмотреть страницу ASP, поддерживаемую службами IIS, может появиться следующее сообщение об ошибке:
    Ошибка серверного приложения.
    Сервер обнаружил ошибку при загрузке приложения в процессе обработки вашего запроса. Дополнительные сведения см. в журнале событий. За помощью обращайтесь к администратору сервера. 
    HTTP 500 - Внутренняя ошибка сервера Internet Explorer
    В журнале событий может регистрироваться следующее сообщение:

    Тип события: Ошибка
    Источник события: DCOM
    Категория события: Отсутствует
    Код события: 10010
    Дата: <дата>
    Время: <время>
    Пользователь: NT AUTHORITY\SYSTEM
    Компьютер: имя_сервера
    Описание: Регистрация сервера <GUID> DCOM не прошла за отведенное время ожидания.

  • При попытке запустить приложения COM+ в службах компонентов вручную может появиться следующее сообщение об ошибке:
    Ошибка каталога: Произошла ошибка во время выполнения последней операции. Код ошибки 80080005 – Ошибка при выполнении приложения сервера. Журнал событий может содержать дополнительные сведения об устранении проблемы.
    В журнале событий может регистрироваться следующее сообщение:

    Тип события: Ошибка
    Источник события: DCOM
    Категория события: Отсутствует
    Код события: 10010
    Дата: <дата>
    Время: <время>
    Пользователь: NT AUTHORITY\SYSTEM
    Компьютер: имя_сервера
    Описание: Регистрация сервера <GUID> DCOM не прошла за отведенное время ожидания.
    Тип события: Предупреждение
    Источник события: W3SVC
    Категория события: Отсутствует
    Код события: 36
    Дата: <дата>
    Время: <время>
    Пользователь: Н/Д
    Компьютер: имя_сервера
    Описание: Серверу не удалось загрузить приложение '/LM/W3SVC/1/ROOT'. Произошла ошибка при выполнении приложения сервера.
    Чтобы получить дополнительные сведения об этом сообщении, обратитесь на веб-страницу «Поиск на веб-узлах справки и поддержки» по адресу: http://search.support.microsoft.com/search/?adv=1.

    Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.

  • При попытке установить приложение или вручную запустить службу установки Windows может появиться следующее сообщение об ошибке:
    Нет доступа к службе установки Windows. Возможно, система запущена в безопасном режиме или установщик Windows установлен неправильно. Обратитесь в службу поддержки.
  • Служба брандмауэра Windows может не запуститься, выдавая следующую ошибку:
    Ошибка: 0x80070005 ( -2147024891 ); код ошибки: E_ACCESSDENIED; текст сообщения: Отказано в доступе.

Действия по воспроизведению проблемы

Удалите разрешения на доступ к файлам *.clb для системной учетной записи и учетной записи «Все». Для этого выполните следующие действия:
  1. Нажмите кнопку Пуск, выберите Выполнить, в командную строку введите Explorer.exe c:\winnt\registration и нажмите кнопку OK.
  2. В проводнике Windows щелкните правой кнопкой мыши Свойства и откройте вкладку Безопасность.
  3. В диалоговом окне Свойства регистрации выберите Система в разделе Имя группы и пользователя и нажмите кнопку Дополнительно.
  4. В диалоговом окне Дополнительные параметры безопасности при регистрации нажмите кнопку Удалить, а затем OK.
  5. Повторите шаги 3 и 4, чтобы запретить учетной записи «Все» доступ к файлам .clb.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 909444 - Последнее изменение :: 13 августа 2008 г. - Редакция: 15.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Ключевые слова: 
kbresolve kbtshoot kbprb KB909444
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы