Teď jste offline a čekáte, až se znova připojí internet.

Různé problémy pro instalaci bulletinu zabezpečení MS05-051 pro služby COM+ a MS DTC

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Příznaky
V počítači se systémem Microsoft Windows XP, Microsoft Windows 2000 nebo Windows Server 2003 se po instalaci důležité aktualizace probírané v bulletinu zabezpečení MS05-051 může objevit jeden nebo více problémů, mezi něž patří:
  • Instalační služba systému Windows se nemusí spustit.
  • Služba Brána firewall systému Windows se nemusí spustit.
  • Složka Síťová připojení je prázdná.
  • Na webu Windows Update může být nesprávně doporučeno, abyste změnili nastavení Trvalost uživatelských dat v aplikaci Microsoft Internet Explorer.
  • Stránky ASP (Active Server Pages) spuštěné v Internetové informační službě (IIS) vracejí chybovou zprávu HTTP 500 – Vnitřní chyba serveru.
  • Službu Microsoft COM+ EventSystem nelze spustit.
  • Aplikace modelu COM+ nelze spustit.
  • Uzel počítače ve stromu konzoly MMC Služby komponent nelze rozbalit.
  • Ověření uživatelé se nemohou přihlásit a po použití říjnových aktualizací zabezpečení se objeví prázdná obrazovka.
  • Při konfiguraci se serverovým clusterem nelze spustit službu clusteru. V souboru protokolu clusteru je zaznamenána následující událost:

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Do protokolu systému může být zaznamenána událost podobná následující:

    ID události: 512
    Zdroj: CryptSvc
    Popis:
    Služba Šifrování neinicializovala záložní objekt System Writer systému VSS

    Podrobnosti:
    System Writer object failed to subscribe to VSS. (Odběr služby VSS pro objekt System Writer se nezdařil.)

    Chyba systému:
    Katastrofální selhání

  • Pokusíte-li se připojit ke službě WMI (Windows Management Instrumentation) pomocí skriptu, nástroje WBEMTest.exe nebo jiných nástrojů, může dojít k odepření přístupu. Do souboru protokolu %windir%\system32\wbem\logs\wbemprox.log jsou v době selhání zaznamenány chyby, které se podobají následující chybě:
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Při vytvoření prázdné aplikace COM+ se může zobrazit následující chybová zpráva katalogu COM+ 1.0:
    XACT_E_RECOVERYINPROGRESS (0x8004d082)
Příčina
K tomuto problému může dojít, pokud aplikace modelu COM nebo COM+ nemají přístup k souborům katalogu modelu COM+. Aplikace k těmto souborům nemá přístup, protože výchozí oprávnění pro soubory a adresář katalogu modelu COM+ byla z výchozího nastavení změněna. Před bulletinem zabezpečení MS05-051 nebyla explicitní oprávnění ke katalogu modelu COM+ vyžadována. Soubory katalogu COM+ jsou soubory CLB a jsou umístěny ve složce %windir%\registration. Ve výchozím nastavení mají soubory a adresář katalogu COM+ následující oprávnění:
AdministratorsSystemEveryoneAuthenticated usersServer operators
Windows 2000 – jiný než řadič doményÚplné řízeníÚplné řízeníČíst
Windows 2000 – řadič doményÚplné řízeníÚplné řízeníUpravitČíst a spustit
Windows Server 2003 – jiný než řadič doményÚplné řízeníÚplné řízeníČíst
Windows Server 2003 – řadič doményÚplné řízeníÚplné řízeníČíst a spustit
Řešení
Na základě změn zabezpečení zavedených v bulletinu MS05-051 je ke složce %windir%\registration vyžadováno oprávnění pro systém souborů NTFS na úrovni Číst. Výchozí oprávnění zahrnují přístup ke čtení pro skupinu Everyone. Pokud se tato konfigurace změní, může dojít k neočekávanému chování aplikací a služeb. V organizacích, kde se pro zabezpečení systému souborů NTFS uplatňují oprávnění přísněji, je třeba zvážit, zda uživatelům, aplikacím a službám vyžadujícím přístup k funkcím modelu COM neudělíte oprávnění na úrovni Číst prostřednictvím členství ve skupinách. Doporučujeme použít pro složku výchozí nastavení, protože se tak vyhnete možným problémům s kompatibilitou aplikací. Správcům, kteří chtějí zavést nastavení odlišné od výchozího, doporučujeme důkladné testování kompatibility aplikací. Další informace o problémech, ke kterým může dojít při změně oprávnění k systémovým složkám, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
885409 Odborná pomoc k pokynům ke konfiguraci zabezpečení
Kromě oprávnění systému souborů NTFS je požadováno oprávnění Obejít křížovou kontrolu. Ve výchozím nastavení je toto oprávnění uděleno skupině Everyone. Stejně jako v případě oprávnění pro systém souborů NTFS by mělo být toto oprávnění uděleno uživatelům, aplikacím a službám prostřednictvím členství ve skupinách. Další informace o uživatelském oprávnění Obejít křížovou kontrolu naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823659 Nekompatibility klienta, služby nebo aplikace, které mohou nastat po úpravě nastavení zabezpečení a přiřazení uživatelských práv
Tento problém vyřešíte obnovením výchozích oprávnění pro katalog COM+.

U počítače se systémem Windows 2000 nebo Windows Server 2003, který nemá funkci řadiče domény, postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Everyone oprávnění Číst.
  2. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  3. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  4. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit přenesení dědičných položek auditu z nadřazeného objektu na tento objekt a všechny podřízené objekty a sloučit je s položkami, které jsou zde explicitně definovány.
  5. Je nutné, aby skupina Everyone měla následující oprávnění:
    • Oprávnění Procházet (Zobrazovat obsah složky) ke všem nadřazeným adresářům, včetně %systemdrive%, %windir% a %windir%\registration
    • Uživatelská práva Obejít křížovou kontrolu
    Chcete-li přidělit uživatelská práva Obejít křížovou kontrolu skupině Everyone, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a pak klepněte na tlačítko OK.
    2. Rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásady a pak rozbalte položku Přiřazení uživatelských práv.
    3. Klepněte pravým tlačítkem myši na položku Obejít křížovou kontrolu a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na tlačítko Přidat uživatele nebo skupinu.
    5. Zadejte hodnotu Everyone a klepněte na tlačítko OK.

      Poznámka: Pokud se zobrazí zpráva s informací, že objekt s názvem Users nelze nalézt, klepněte na možnost Typy objektů, zaškrtněte políčko Skupiny a dvakrát klepněte na tlačítko OK.
U řadiče domény se systémem Windows 2000 postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Authenticated Users oprávnění Číst a spustit.
  2. Ve složce %windir%/registration ověřte, zda má skupina Server Operators oprávnění Upravit.
  3. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  4. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  5. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit šíření dědičných oprávnění z nadřazeného objektu na tento.
U řadiče domény se systémem Windows Server 2003 postupujte následujícím způsobem:
  1. Ve složce %windir%/registration ověřte, zda má skupina Everyone oprávnění Číst a spustit.
  2. Ve složce %windir%/registration ověřte, zda má účet SYSTEM oprávnění Úplné řízení.
  3. Ve složce %windir%/registration ověřte, zda má skupina Administrators oprávnění Úplné řízení.
  4. V rozšířených vlastnostech zabezpečení souborů CLB ve složce %windir%/registration ověřte, zda je zaškrtnuto políčko Povolit přenesení dědičných položek auditu z nadřazeného objektu na tento objekt a všechny podřízené objekty a sloučit je s položkami, které jsou zde explicitně definovány.
  5. Je nutné, aby skupina Everyone měla následující oprávnění:
    • Oprávnění Procházet (Zobrazovat obsah složky) ke všem nadřazeným adresářům, včetně %systemdrive%, %windir% a %windir%\registration
    • Uživatelská práva Obejít křížovou kontrolu
    Chcete-li přidělit uživatelská práva Obejít křížovou kontrolu skupině Everyone, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a pak klepněte na tlačítko OK.
    2. Rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásady a pak rozbalte položku Přiřazení uživatelských práv.
    3. Klepněte pravým tlačítkem myši na položku Obejít křížovou kontrolu a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na tlačítko Přidat uživatele nebo skupinu.
    5. Zadejte hodnotu Everyone a klepněte na tlačítko OK.

      Poznámka: Pokud se zobrazí zpráva s informací, že objekt s názvem Users nelze nalézt, klepněte na možnost Typy objektů, zaškrtněte políčko Skupiny a dvakrát klepněte na tlačítko OK.
Poznámka: Systém může později ve složce %windir%/registration vytvořit další soubory CLB. Pokud chcete zajistit, aby nové soubory CLB měly příslušná oprávnění, udělte oprávnění Číst celému adresáři, ne jen přímo souborům CLB, které se v něm aktuálně nacházejí. Pomocí souboru Cacls.exe můžete zautomatizovat tyto změny oprávnění v příslušném počítači nebo snadno změny použít ve více počítačích.

U počítače se systémem Windows 2000 nebo Windows Server 2003, který nemá funkci řadiče domény, použijte následující příkazy:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:Fecho y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
U řadiče domény se systémem Windows 2000 použijte následující příkazy:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
U řadiče domény se systémem Windows 2003 použijte následující příkazy:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:Fecho y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Poznámka: Mezi znakem y a znakem | nesmí být mezera. Pokud tam bude, příkazy se neprovedou správně.
Další informace
Pokud k tomuto problému dojde, může se v protokolu událostí objevit jedna nebo více následujících událostí:
  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost EventSystem:

    Typ události: Chyba
    Zdroj události: EventSystem
    Kategorie události: (50)
    ID události: 4609
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: The COM+ Event System detected a bad return code during its internal processing. HRESULT was 80070005 from line xx of d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Please contact Microsoft Product Support Services to report this error. (Služba COM+ Event System zjistila při interním zpracování chybný návratový kód. Hodnota HRESULT byla 80070005 od řádku xx ze souboru d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Obraťte se na služby technické podpory k produktům společnosti Microsoft a chybu ohlaste.)

  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost COM+:

    Typ události: Informace
    Zdroj události: Model COM+
    Kategorie události: (117)
    ID události: 778
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: Application image dump failed. (Výpis bitové kopie aplikace se nezdařil.)
    ID serverové aplikace: <GUID>
    ID instance serverové aplikace: <GUID>
    Název serverové aplikace: COM+ Explorer
    Kód chyby = 0x80004005 : Nespecifikovaná chyba
    Vnitřní informace služby COM+: Soubor: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, řádka: 1259 Comsvcs.dll verze souboru: ENU 2001.12.4414.308 shp
    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Pokud účet Síťová služba nebude mít správná oprávnění, může se do protokolu událostí zaznamenat následující událost COM+:

    Typ události: Chyba
    Zdroj události: Model COM+
    Kategorie události: Neznámá
    ID události: 4689
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: The run-time environment has detected an inconsistency in its internal state. This indicates a potential instability in the process that could be caused by the custom components running in the COM+ application, the components they make use of, or other factors. Error in d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: InitEventCollector failed (Prostředí runtime zjistilo ve svém interním stavu nekonzistenci. To může znamenat nestabilitu v procesu, která může být způsobena vlastními součástmi se spuštěnou aplikací modelu COM+, součástmi, které využívají, nebo jinými faktory. Chyba v souboru d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: Funkce InitEventCollector selhala.)
    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Jestliže se pokusíte procházet stránku ASP, na níž je spuštěna služba IIS, a možnost Zobrazovat podrobné chybové zprávy protokolu HTTP v aplikaci Internet Explorer není vybrána, může se zobrazit následující chybová zpráva:
    Chyba serverové aplikace
    Při načítání aplikace během zpracování požadavku server zjistil chybu. Podrobnější informace získáte z protokolu událostí. Obraťte se o pomoc na správce serveru.
    HTTP 500 – Vnitřní chyba serveru – Internet Explorer
    V protokolu událostí může být také zaznamenána událost podobná následující:

    Typ události: Chyba
    Zdroj události: DCOM
    Kategorie události: Není k dispozici
    ID události: 10010
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: NT AUTHORITY\SYSTEM
    Počítač: Server
    Popis: Server <GUID> se v daném časovém limitu neregistroval u služby DCOM.

  • Jestliže se pokusíte ručně spustit aplikace modelu COM+ ve Službě komponent, může se zobrazit následující chybová zpráva:
    Catalog Error: An error occurred while processing the last operation. Error code 80080005 - Server execution failed. The event log may contain additional troubleshooting information. (Chyba katalogu: Při zpracování poslední operace došlo k chybě. Kód chyby 80080005 – Provádění serveru selhalo. Další informace o řešení problémů pravděpodobně obsahuje protokol událostí.)
    V protokolu událostí může být také zaznamenána událost podobná následující:

    Typ události: Chyba
    Zdroj události: DCOM
    Kategorie události: Není k dispozici
    ID události: 10010
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: NT AUTHORITY\SYSTEM
    Počítač: Server
    Popis: Server <GUID> se v daném časovém limitu neregistroval u služby DCOM.
    Typ události: Upozornění
    Zdroj události: W3SVC
    Kategorie události: Není k dispozici
    ID události: 36
    Datum: <Datum>
    Čas: <Čas>
    Uživatel: Není k dispozici
    Počítač: Server
    Popis: Serveru se nezdařilo načíst aplikaci /LM/W3SVC/1/ROOT. Došlo k chybě: Provádění serveru selhalo.
    Další konkrétní informace k této zprávě najdete na webu podpory online společnosti Microsoft na této adrese: http://search.support.microsoft.com/search/?adv=1.

    Další informace získáte v Centru pro nápovědu a pomoc na http://support.microsoft.com.

  • Při pokusu o instalaci aplikace nebo o ruční spuštění Instalační služby systému Windows se může zobrazit následující chybová zpráva:
    Instalační služba není přístupná. Tato situace může nastat, pokud je systém Windows spuštěn v nouzovém režimu nebo pokud nebyla instalační služba správně nainstalována. Obraťte se na pracovníky odborné pomoci.
  • Služba Brána firewall systému Windows se nemusí spustit a zobrazí se následující kód chyby:
    Výsledek chyby: 0x80070005 ( -2147024891 ) ID definováno jako : E_ACCESSDENIED Text zprávy: Přístup byl odepřen.

Kroky pro reprodukci tohoto problému

Odeberte účet System a účet Everyone z oprávnění k souborům CLB. Postupujte následujícím způsobem:
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte Explorer.exe c:\Windows\registration a klepněte na tlačítko OK.
  2. V Průzkumníkovi Windows klepněte pravým tlačítkem, klepněte na příkaz Vlastnosti a potom klepněte na kartu Zabezpečení.
  3. V dialogovém okně Registration – vlastnosti klepněte ve skupinovém rámečku Název skupiny nebo jméno uživatele na položku System a potom na tlačítko Upřesnit.
  4. V dialogovém okně Upřesnit nastavení zabezpečení Registration klepněte na tlačítko Odebrat a potom na tlačítko OK.
  5. Opakováním kroků 3 a 4 zakažte přístup účtu Everyone k souborům CLB.
902400 Q902400 KB902400
Vlastnosti

ID článku: 909444 - Poslední kontrola: 08/08/2008 15:28:57 - Revize: 15.2

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional SP1, Microsoft Windows XP Professional SP2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4

  • kbresolve kbtshoot kbprb KB909444
Váš názor
/html>g style="display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">p;t=">=">