Po zainstalowaniu aktualizacji opisanej w biuletynie zabezpieczeń MS05-051 dla modelu COM+ i usługi MS DTC mogą wystąpić różne problemy

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Symptomy
Na komputerze, na którym jest uruchomiony system Microsoft Windows XP, Microsoft Windows 2000 lub Windows Server 2003, mogą występować problemy po zainstalowaniu aktualizacji krytycznej omówionej w biuletynie MS05-051 firmy Microsoft dotyczącym zabezpieczeń. Przykładem mogą być następujące problemy:
 • Nie można uruchomić usługi Instalator Windows.
 • Nie można uruchomić usługi Zapora systemu Windows.
 • Folder Połączenia sieciowe jest pusty.
 • Witryna sieci Web Windows Update może niepoprawnie zalecać zmianę ustawienia Trwałość danych użytkownika w programie Microsoft Internet Explorer.
 • Dla stron ASP (Active Server Pages) uruchamianych w środowisku Internetowych usług informacyjnych (IIS) firmy Microsoft zwracany jest komunikat o błędzie „HTTP 500 – Wewnętrzny błąd serwera”.
 • Nie można uruchomić usługi COM+ EventSystem firmy Microsoft.
 • Nie można uruchomić aplikacji COM+.
 • Nie można rozwinąć węzła Komputery w drzewie usług składowych firmy Microsoft w programie MMC (Microsoft Management Console).
 • Uwierzytelnieni użytkownicy nie mogą się zalogować, a czarny ekran jest wyświetlany po zastosowaniu przez użytkowników aktualizacji zabezpieczeń wydanych w październiku.
 • W konfiguracji klastra serwerów nie można uruchomić usługi klastrowania. W pliku dzienniku klastra rejestrowane jest następujące zdarzenie:

  ERR [NM] Nie można ustanowić punktu połączenia z Menedżerem połączeń sieciowych; stan 80070005. WARN [NM] Nie można zainicjować obiektu sink funkcji Advise Menedżera połączeń sieciowych; stan 80070005 ERR [NM] Inicjowanie nie powiodło się -2147024891

 • W dzienniku systemu może zostać zarejestrowane następujące lub podobne zdarzenie:

  Identyfikator zdarzenia: 512
  Źródło: CryptSvc
  Opis:
  Zainicjowanie przez Usługi kryptograficzne obiektu „System Writer” kopii zapasowej usługi VSS nie powiodło się.

  Szczegóły:
  Obiekt System Writer nie może zasubskrybować usługi VSS.

  Błąd systemu:
  Katastrofalny błąd

 • Podczas próby połączenia się z usługą Instrumentacja zarządzania Windows (WMI) za pomocą skryptu, narzędzia WBEMTest.exe lub innych narzędzi może występować błąd odmowy dostępu. W pliku %windir%\system32\wbem\logs\wbemprox.log znajdują się błędy podobne do następującego komunikatu wyświetlanego w czasie wystąpienia błędu:
  ConnectViaDCOM, CoCreateInstanceEx wynik hr = 0x80070005
 • Podczas tworzenia pustej aplikacji modelu COM+ może zostać wyświetlony następujący komunikat o błędzie wykazu modelu COM+ 1.0:
  XACT_E_RECOVERYINPROGRESS (0x8004d082)
Przyczyna
Ten problem może występować, jeżeli aplikacje COM lub COM+ nie mogą uzyskać dostępu do plików wykazu COM+. Aplikacja nie może uzyskać dostępu do plików wykazu COM+, ponieważ zmieniono domyślne ustawienia uprawnień dotyczących katalogu i plików wykazu COM+. Przed wydaniem biuletynu MS05-051 firmy Microsoft dotyczącego zabezpieczeń, jawne uprawnienia w odniesieniu do wykazu COM+ nie były wymagane. Pliki wykazu COM+ (.clb) znajdują się w folderze %windir%\registration. Domyślne uprawnienia dotyczące katalogu i plików wykazu COM+ są następujące:
AdministratorzySystem WszyscyUżytkownicy uwierzytelnieniOperatorzy serwera
Kontroler działający poza domeną z systemem Windows 2000Pełna kontrolaPełna kontrolaOdczyt
Kontroler domeny z systemem Windows 2000Pełna kontrolaPełna kontrolaModyfikacjaOdczyt i wykonywanie
Kontroler działający poza domeną z systemem Windows 2003Pełna kontrolaPełna kontrolaOdczyt
Kontroler domeny z systemem Windows Server 2003Pełna kontrolaPełna kontrolaOdczyt i wykonywanie
Rozwiązanie
Z powodu zmian zabezpieczeń zaimplementowanych w MS05-051, wymagane jest uprawnienie odczytu systemu plików NTFS do folderu %windir%\registration. Domyślne uprawnienia obejmują uprawnienia Odczyt dla grupy Wszyscy. Jeśli konfiguracja zostanie zmieniona, aplikacje i usługi mogą działać w nieoczekiwany sposób. Organizacje które zdecydowały się na bardziej restrykcyjne uprawnienia zabezpieczeń NTFS powinny rozważyć przyznanie uprawnień odczytu w ramach członkostwa grupy dla użytkowników, aplikacji i usług, wymagających dostępu do funkcji COM. Zalecane jest zastosowanie ustawień domyślnych dla folderu, aby uniknąć potencjalnej zgodności aplikacji. Administratorzy, którzy chcą zaimplementować ustawienia inne niż domyślne, powinni przeprowadzić rozszerzone testy zgodności aplikacji. Aby uzyskać więcej informacji dotyczących problemów, które mogą wystąpić po zmodyfikowaniu uprawnień do folderów systemowych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
885409 Wskazówki dotyczące konfiguracji zabezpieczeń
Poza uprawnieniami NTFS, wymagane jest uprawnienie Bypass Traversal. To uprawnienie jest przyznawane domyślnie grupie Wszyscy. Zgodnie z informacjami dotyczącymi uprawnień systemu NTFS użytkownicy, aplikacje i usługi powinny otrzymywać to uprawnienie przez członkostwo w grupie. Aby uzyskać więcej informacji dotyczących prawa użytkownika Bypass Traversal, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823659 Niezgodności programów, usług i klientów, które mogą wystąpić wskutek zmodyfikowania ustawień zabezpieczeń i przypisań praw użytkownika
Aby rozwiązać ten problem, należy przywrócić domyślne uprawnienia dotyczące wykazu COM+.

Na komputerze z systemem Windows 2000 lub Windows Server 2003, który nie jest kontrolerem domeny, wykonaj następujące kroki:
 1. Upewnij się, czy w folderze %windir%/registration dla grupy Wszyscy skonfigurowano uprawnienia Odczyt.
 2. Upewnij się, czy w folderze %windir%/registration dla konta SYSTEM skonfigurowano uprawnienia Pełna kontrola.
 3. Upewnij się, czy w folderze %windir%/registration dla grupy Administratorzy skonfigurowano uprawnienia Pełna kontrola.
 4. Upewnij się, czy w zaawansowanych właściwościach zabezpieczeń plików .clb w folderze %windir%/registration zaznaczono opcję Zezwalaj na propagowanie dziedziczonych wpisów inspekcji z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.
 5. Upewnij się, czy dla grupy Wszyscy skonfigurowano jedno z następujących uprawnień:
  • Uprawnienia przechodzenia („Wyświetlanie zawartości folderu”) dotyczące wszystkich katalogów nadrzędnych, z katalogami %systemdrive%, %windir% i %windir%\registration włącznie.
  • Prawo użytkownika Obejdź sprawdzanie przy przechodzeniu
  Aby przypisać grupie Wszyscy prawo użytkownika Obejdź sprawdzanie przy przechodzeniu, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie gpedit.msc, a następnie kliknij przycisk OK.
  2. Rozwiń węzeł Konfiguracja komputera, rozwiń kolejno pozycje Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady lokalne, a następnie rozwiń węzeł Przypisywanie praw użytkownika.
  3. Kliknij prawym przyciskiem myszy pozycję Pomijanie sprawdzania przebiegu, a następnie kliknij polecenie Właściwości.
  4. Kliknij przycisk Dodaj użytkownika lub grupę.
  5. Wpisz nazwę Wszyscy, a następnie kliknij przycisk OK.

   Uwaga: Jeśli zostanie wyświetlony komunikat informujący, że nie można odnaleźć obiektu o nazwie Użytkownicy, kliknij przycisk Typy obiektów, zaznacz pole wyboru Grupy, a następnie dwa razy kliknij przycisk OK.
Na kontrolerze domeny z systemem Windows 2000 wykonaj następujące kroki:
 1. Upewnij się, czy w folderze %windir%/registration dla grupy Użytkownicy uwierzytelnieni skonfigurowano uprawnienia Odczyt i Wykonywanie.
 2. Upewnij się, czy w folderze %windir%/registration dla grupy Operatorzy serwera skonfigurowano uprawnienia Modyfikowanie.
 3. Upewnij się, czy w folderze %windir%/registration dla konta SYSTEM skonfigurowano uprawnienia Pełna kontrola.
 4. Upewnij się, czy w folderze %windir%/registration dla grupy Administratorzy skonfigurowano uprawnienia Pełna kontrola.
 5. Upewnij się, czy w zaawansowanych właściwościach zabezpieczeń plików .clb w folderze %windir%/registration zaznaczono opcję Zezwalaj na propagowanie uprawnień dziedziczonych obiektu nadrzędnego do tego obiektu.
Na kontrolerze domeny z systemem Windows Server 2003 wykonaj następujące kroki:
 1. Upewnij się, czy w folderze %windir%/registration dla grupy Wszyscy skonfigurowano uprawnienia Odczyt i Wykonywanie.
 2. Upewnij się, czy w folderze %windir%/registration dla konta SYSTEM skonfigurowano uprawnienia Pełna kontrola.
 3. Upewnij się, czy w folderze %windir%/registration dla grupy Administratorzy skonfigurowano uprawnienia Pełna kontrola.
 4. Upewnij się, czy w zaawansowanych właściwościach zabezpieczeń plików .clb w folderze %windir%/registration zaznaczono opcję Zezwalaj na propagowanie dziedziczonych wpisów inspekcji z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.
 5. Upewnij się, czy dla grupy Wszyscy skonfigurowano jedno z następujących uprawnień:
  • Uprawnienia przechodzenia („Wyświetlanie zawartości folderu”) dotyczące wszystkich katalogów nadrzędnych, z katalogami %systemdrive%, %windir% i %windir%\registration włącznie.
  • Prawo użytkownika Obejdź sprawdzanie przy przechodzeniu
  Aby przypisać grupie Wszyscy prawo użytkownika Obejdź sprawdzanie przy przechodzeniu, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie gpedit.msc, a następnie kliknij przycisk OK.
  2. Rozwiń węzeł Konfiguracja komputera, rozwiń kolejno pozycje Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady lokalne, a następnie rozwiń węzeł Przypisywanie praw użytkownika.
  3. Kliknij prawym przyciskiem myszy pozycję Pomijanie sprawdzania przebiegu, a następnie kliknij polecenie Właściwości.
  4. Kliknij przycisk Dodaj użytkownika lub grupę.
  5. Wpisz nazwę Wszyscy, a następnie kliknij przycisk OK.

   Uwaga: Jeśli zostanie wyświetlony komunikat informujący, że nie można odnaleźć obiektu o nazwie Użytkownicy, kliknij przycisk Typy obiektów, zaznacz pole wyboru Grupy, a następnie dwa razy kliknij przycisk OK.
Uwaga: System może później utworzyć dodatkowe pliki .clb w folderze %windir%/registration. Aby upewnić się, że dla nowych plików .clb skonfigurowano odpowiednie uprawnienia, należy udzielić uprawnień Odczyt w odniesieniu do całego katalogu, a nie tylko bezpośrednio w odniesieniu do istniejących plików .clb. Korzystając z pliku Cacls.exe, można automatyzować zmiany tego uprawnienia na danym komputerze lub w łatwy sposób wprowadzać te zmiany na wielu komputerach.

Na komputerze z systemem operacyjnym Windows 2000 lub Windows Server 2003, który nie jest kontrolerem domeny, użyj następujących poleceń:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:Fecho y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Na kontrolerze domeny z systemem Windows 2000 użyj następujących poleceń:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F 
Na kontrolerze domeny z systemem Windows 2003 użyj następujących poleceń:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:Fecho y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Uwaga Upewnij się, że między znakiem y a symbolem potoku (|) nie ma spacji. Jeżeli spacja została umieszczona między tymi znakami, polecenia nie zostaną wykonane poprawnie.
Więcej informacji
Po wystąpieniu tego problemu w dzienniku zdarzeń może zostać zarejestrowane jedno lub kilka z następujących zdarzeń:
 • Następujące zdarzenie EventSystem może zostać zarejestrowane w dzienniku zdarzeń, jeżeli dla konta Usługa sieciowa nie skonfigurowano poprawnych uprawnień:

  Typ zdarzenia: Błąd
  Źródło zdarzenia: EventSystem
  Kategoria zdarzenia: (50)
  Identyfikator zdarzenia: 4609
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: Brak
  Komputer: Serwer
  Opis: Podczas wewnętrznego przetwarzania system zdarzeń modelu COM+ wykrył zły kod powrotu. HRESULT to 80070005 w wierszu xx z d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Skontaktuj się z Pomocą techniczną firmy Microsoft i zgłoś ten błąd.

 • Następujące zdarzenie COM+ może zostać zarejestrowane w dzienniku zdarzeń, jeżeli dla konta Usługa sieciowa nie skonfigurowano poprawnych uprawnień:

  Typ zdarzenia: Informacje
  Źródło zdarzenia: COM+
  Kategoria zdarzenia: (117)
  Identyfikator zdarzenia: 778
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: Brak
  Komputer: Serwer
  Opis: Nie można wykonać zrzutu obrazu aplikacji.
  Identyfikator aplikacji serwera: <identyfikator GUID>
  Identyfikator wystąpienia aplikacji serwera: <identyfikator GUID>
  Nazwa aplikacji serwera: Eksplorator COM+
  Kod błędu = 0x80004005: Unspecified error
  Informacje wewnętrzne usług modelu COM+: Plik: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Wiersz: wersja pliku 1259 Comsvcs.dll: ENU 2001.12.4414.308 shp
  Aby uzyskać więcej informacji, skorzystaj z Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com.

 • Następujące zdarzenie COM+ może zostać zarejestrowane w dzienniku zdarzeń, jeżeli dla konta Usługa sieciowa nie skonfigurowano poprawnych uprawnień:

  Typ zdarzenia: Błąd
  Źródło zdarzenia: COM+
  Kategoria zdarzenia: Nieznany
  Identyfikator zdarzenia: 4689
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: Brak
  Komputer: Serwer
  Opis: Środowisko czasu wykonania wykryło niespójność swego stanu wewnętrznego. Wskazuje to na potencjalną niestabilność procesu, która mogła zostać spowodowana przez działające w aplikacji COM+ składniki użytkownika, używane przez nie składniki lub inne czynniki. Błąd w pliku d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: niepowodzenie procedury InitEventCollector
  Aby uzyskać więcej informacji, skorzystaj z Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com.

 • Jeżeli podczas próby przeglądania strony ASP, uruchomionej w środowisku usług IIS, w programie Internet Explorer nie jest zaznaczona opcja Pokaż przyjazne komunikaty o błędach http, może zostać wyświetlony następujący komunikat o błędzie:
  Błąd aplikacji serwera.
  Serwer napotkał błąd podczas ładowania aplikacji w trakcie przetwarzania żądania. Więcej szczegółowych informacji można znaleźć w dzienniku zdarzeń. Skontaktuj się z administratorem serwera, aby uzyskać pomoc.
  HTTP 500 — Wewnętrzny błąd serwera w programie Internet Explorer
  W dzienniku zdarzeń może zostać zarejestrowane również zdarzenie podobne do następującego:

  Typ zdarzenia: Błąd
  Źródło zdarzenia: DCOM
  Kategoria zdarzenia: Brak
  Identyfikator zdarzenia: 10010
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: ZARZĄDZANIE NT\SYSTEM
  Komputer: Serwer
  Opis: Serwer <GUID> nie zarejestrował się w modelu DCOM w wymaganym czasie.

 • Podczas próby ręcznego uruchomienia aplikacji COM+ w środowisku usług składowych może zostać wyświetlony następujący komunikat o błędzie:
  Błąd wykazu: Wystąpił błąd podczas przetwarzania ostatniej operacji. Kod błędu 80080005 - Wykonanie serwera nie powiodło się. Dziennik zdarzeń może zawierać dodatkowe informacje dotyczące rozwiązywania problemów.
  W dzienniku zdarzeń może zostać zarejestrowane również zdarzenie podobne do następującego:

  Typ zdarzenia: Błąd
  Źródło zdarzenia: DCOM
  Kategoria zdarzenia: Brak
  Identyfikator zdarzenia: 10010
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: ZARZĄDZANIE NT\SYSTEM
  Komputer: Serwer
  Opis: Serwer <GUID> nie zarejestrował się w modelu DCOM w wymaganym czasie.
  Typ zdarzenia: Ostrzeżenie
  Źródło zdarzenia: W3SVC
  Kategoria zdarzenia: Brak
  Identyfikator zdarzenia: 36
  Data: <Data>
  Godzina: <Godzina>
  Użytkownik: Brak
  Komputer: Serwer
  Opis: Serwer nie może załadować aplikacji '/LM/W3SVC/1/ROOT'. Błąd Wykonanie serwera nie powiodło się.
  Aby uzyskać dodatkowe informacje dotyczące tego komunikatu, odwiedź witrynę Pomocy technicznej online firmy Microsoft pod adresem: http://search.support.microsoft.com/search/?adv=1.

  Aby uzyskać więcej informacji, odwiedź Centrum pomocy i obsługi technicznej pod adresem http://support.microsoft.com.

 • Podczas próby zainstalowania aplikacji lub ręcznego uruchomienia usługi Instalator Windows może zostać wyświetlony następujący komunikat o błędzie:
  Nie można uzyskać dostępu do usługi Instalator Windows. Ten problem może występować wówczas, gdy system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej, aby uzyskać pomoc.
 • Nie można uruchomić usługi Zapora systemu Windows i wyświetlany jest następujący kod błędu:
  Wynik: 0x80070005 ( -2147024891 ) Identyfikator zdefiniowany jako: E_ACCESSDENIED Tekst komunikatu : Brak dostępu.

Kroki prowadzące do odtworzenia problemu

Usuń konto systemowe i konto wszystkich użytkowników z uprawnień plików dotyczących plików *.clb. Aby to zrobić, wykonaj następujące kroki:
 1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Explorer.exe c:\winnt\registration, a następnie kliknij przycisk OK.
 2. W Eksploratorze Windows kliknij prawym przyciskiem myszy, w menu skrótów kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
 3. W oknie dialogowym Właściwości: Registration kliknij pozycję System w obszarze Nazwa grupy i użytkownika, a następnie kliknij przycisk Zaawansowane.
 4. W oknie dialogowym Zaawansowane ustawienia zabezpieczeń dla Registration kliknij opcję Usuń, a następnie kliknij przycisk OK.
 5. Powtórz krok 3 i krok 4, aby uniemożliwić kontu Wszyscy dostęp do plików .clb.
902400 Q902400 KB902400
Właściwości

Identyfikator artykułu: 909444 — ostatni przegląd: 08/12/2008 12:24:42 — zmiana: 15.2

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional SP1, Microsoft Windows XP Professional SP2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4

 • kbresolve kbtshoot kbprb KB909444
Opinia