ms installer

Sistemas que alteraram as permissões padrão da Lista de controle de acesso no diretório %windir%\registration podem ter vários problemas após a instalação do Boletim de segurança da Microsoft MS05-051 para COM+ e MS DTC

Nesta página ID do artigo : 909444Última revisão : segunda- feira, 30 de outubro de 2006Revisão : 14.0

Sintomas

Causa

Resolução

Mais Informações

Etapas para reproduzir o problema

Sintomas Em um computador executando o Microsoft Windows XP, Microsoft Windows 2000 ou Windows Server 2003, um ou mais problemas podem ocorrer após a instalação da atualização crítica descrita no Boletim de segurança da Microsoft MS05-051. Esses problemas incluem o seguinte:

O serviço do Windows Installer pode não ser iniciado.

O serviço do Firewall do Windows pode não ser iniciado.

A pasta de Conexões de rede está vazia.

O site Windows Update pode, incorretamente, aconselhar a alteração da configuração Persistência de dados do usuário no Microsoft Internet Explorer.

As páginas ASP (Active Server Pages) que estão em execução no IIS (Serviços de informações da Internet) da Microsoft retornam uma mensagem de erro HTTP 500

Erro interno do servidor .

O serviço EventSystem do Microsoft COM+ não será iniciado.

Os aplicativos COM+ não serão iniciados.

O nó computadores na árvore do MMC (Console de Gerenciamento Microsoft) dos Serviços de Componente da Microsoft não expandirá.

Os usuários autenticados não podem fazer logon e uma tela em branco aparece após aplicarem as atualizações de segurança de outubro.

Em uma configuração de cluster de servidores, o serviço de cluster não pode ser iniciado. O seguinte evento é registrado no arquivo de log de cluster:

ERR [NM] Não foi possível estabelecer um ponto de conexão com o Gerenciador de conexão de Internet, status 80070005. WARN [NM] Não foi possível inicializar coletor aconselhado do Gerenciador de conexão de rede, status 80070005 ERR [NM] Falha de inicialização -2147024891

Um evento semelhante ao seguinte pode ser registrado no log do Sistema:

Identificação do evento: 512 Origem: CryptSvc Descrição: Os serviços de criptografia não inicializaram o objeto de backup VSS "Gravador do sistema".

Detalhes: O objeto System Writer falhou ao inscrever-se no VSS.

Página 1 de 7Sistemas que alteraram as permissões padrão da Lista de controle de acesso no diretório %windir%\registration podem ter vários problemas após a instal...

12/01/2007http://support.microsoft.com/kb/909444/pt-br

http://support.microsoft.com/kb/909444/pt-br

Causa Este problema pode ocorrer se os aplicativos COM ou COM+ não puderem acessar os arquivos de catálogo COM+. O aplicativo não pode acessar os arquivos de catálogo COM+, porque as permissões padrão no diretório e nos arquivos de catálogo COM+ tiveram suas configurações padrão alteradas. Antes do Boletim de segurança da Microsoft MS05-051, as permissões explícitas para o catálogo COM+ não eram exigidas. Os arquivos de catálogo COM+ são .clb e estão localizados na pasta %windir%\registration. Por padrão, o diretório e os arquivos de catálogo COM+ têm as seguintes permissões:

Resolução Com base nas alterações de segurança implementadas no MS05-051, a permissão do sistema de arquivo NTFS no nível de Leitura é necessária na pasta %windir%\registration. As permissões padrão incluem acesso de Leitura para o grupo Todos. Se esta configuração for alterada, os aplicativos e os serviços poderão exibir um comportamento inesperado. As organizações que escolheram implementar permissões de segurança NTFS mais restritivas devem recomendar a concessão das permissões no nível de Leitura por meio dos membros do grupo para usuários, aplicativos e serviços que exijam o acesso à funcionalidade COM. É aconselhável que as configurações padrão para a pasta sejam usadas para evitar uma possível compatibilidade de aplicativo. Extensos testes de compatibilidade de aplicativo são aconselháveis para os administradores que desejam implementar configurações que sejam diferentes das configurações padrão. Para obter mais informações sobre os problemas que podem ocorrer pela modificação das permissões em pastas do sistema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

885409 (http://support.microsoft.com/kb/885409/) Suporte para as diretrizes de configuração de segurança

Além das permissões NTFS, a permissão Bypass Traversal é exigida. Por padrão, essa permissão é atribuída ao grupo Todos. Conforme indicado nas permissões NFTS, os usuários, os aplicativos e os serviços devem receber essa permissão por meio de associações de grupo. Para obter mais informações sobre o direito do usuário Bypass Traversal, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

823659 (http://support.microsoft.com/kb/823659/) Incompatibilidades de cliente, de serviço e de programa que podem ocorrer ao modificar as configurações de segurança e as atribuições dos direitos do usuário

Para resolver este problema, restaure as permissões padrão do catálogo COM+.

Erro do sistema: Falha catastrófica

Um erro de acesso negado pode ocorrer ao tentar se conectar ao WMI (Instrumentação de gerenciamento do Windows) usando o script, o utilitário WBEMTest.exe ou outros utilitários. O arquivo %windir%\system32\wbem\logs\wbemprox.log contém erros semelhantes ao seguinte erro no momento da falha:

ConnectViaDCOM, CoCreateInstanceEx resultou em hr = 0x80070005

A seguinte mensagem de erro de catálogo COM+ 1.0 pode ser exibida ao criar um aplicativo COM+ vazio:

XACT_E_RECOVERYINPROGRESS (0x8004d082)

Administradores Sistema Todos Usuários autenticados Operadores do servidor

Não controlador de domínio do Windows 2000 Controle total Controle total Leitura

Controlador de domínio do Windows 2000 Controle total Controle total Modificar Ler & Executar

Não controlador de domínio do Windows Server 2003 Controle total Controle total Leitura

Controlador de domínio do Windows Server 2003 Controle total Controle total Ler & Executar



http://support.microsoft.com/kb/885409/

http://support.microsoft.com/kb/823659/


Para um computador executando Windows 2000 ou Windows Server 2003 e, que não está executando como um controlador de domínio, siga as seguintes etapas:

Para um controlador de domínio executando o Windows 2000, execute as seguintes etapas:

Para um controlador de domínio executando o Windows Server 2003, execute as seguintes etapas:

1. Na pasta %windir%/registration, verifique se o grupo Todos tem as permissões de Leitura.

2. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permissões Controle Total.

3. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permissões Controle Total.

4. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que as entradas de auditoria herdáveis do pai sejam propagadas a este objeto e a todos os objetos filho. Incluí- las nas entradas explicitamente definidas aqui está selecionada.

5. Verifique se o grupo Todos tem uma das seguintes permissões:

Para atribuir o Bypass traverse para verificar o direito do usuário para o grupo Todos, execute as seguintes etapas:

Permissões de traverse ( Listar conteúdo de pastas ) em todos os diretórios pai, incluindo %systemdrive%, %windir% e %windir%\registration

O Bypass traverse verifica o direito do usuário

1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.

2. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurança, expanda Diretivas locais e expanda Atribuição de direitos do usuário.

3. Clique com o botão direito do mouse em Ignorar a verificação completa e clique em Propriedades.

4. Clique em Adicionar usuário ou grupo.

5. Digite Todos e clique em OK.

Observação Se uma mensagem afirmando que um objeto chamado "Usuários" não pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleção Grupos e clique em OK duas vezes.

1. Na pasta %windir%/registration, verifique se o grupo Usuários autenticados tenha as permissões Ler & Executar.

2. Na pasta %windir%/registration, verifique se o grupo Operadores de servidor tenha as permissões de Modificar.



5. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que permissões herdadas do pai se propaguem para este objeto esteja selecionada.

1. Na pasta %windir%/registration, verifique se o grupo Todos tem as permissões de Ler & Executar.



4. Nas propriedades de segurança avançada dos arquivos .clb na pasta %windir%/registration, verifique se a opção Permitir que as entradas de auditoria herdáveis do pai sejam propagadas a este objeto e a todos os objetos filho. Incluí- las nas entradas explicitamente definidas aqui está selecionada.

5. Verifique se o grupo Todos tem uma das seguintes permissões:

Permissões de traverse ( Listar conteúdo de pastas ) em todos os diretórios pai, incluindo %systemdrive%, %windir% e %windir%\registration

O Bypass traverse verifica o direito do usuário




Observação O sistema pode criar, posteriormente, arquivos .clb adicionais na pasta %windir%/registration. Para verificar se os novos arquivos .clb tenham as permissões apropriadas, conceda as permissões de Leitura para todo o diretório em vez de concedê- las apenas para os arquivos .clb que existem no momento. É possível usar o arquivo Cacls.exe para automatizar estas alterações de permissão no computador afetado ou para distribuir facilmente as alterações para vários computadores.

Para um computador executando o Windows 2000 ou o Windows Server 2003 e que não está em execução como um controlador de domínio, use os seguintes comandos:

Para um controlador de domínio executando o Windows 2000, use os seguintes comandos:

Para um controlador de domínio executando o Windows 2003, use os seguintes comandos:

Observação Verifique se não existe um espaço entre o caractere y e o caractere de pipe (|). Se houver um espaço entre eles, os comandos não serão executados corretamente.

Mais Informações Quando este problema ocorre, um ou mais dos seguintes eventos podem ser exibidos no log de eventos:

Para atribuir o Bypass traverse para verificar o direito do usuário para o grupo Todos, execute as seguintes etapas:

1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.

2. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurança, expanda Diretivas locais e expanda Atribuição de direitos do usuário.

3. Clique com o botão direito do mouse em Ignorar a verificação completa e clique em Propriedades.

4. Clique em Adicionar usuário ou grupo.

5. Digite Todos e clique em OK.

Observação Se uma mensagem afirmando que um objeto chamado "Usuários" não pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleção Grupos e clique em OK duas vezes.

echo y| cacls %windir%\registration /G everyone:R system:F administrators:F echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F

echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F

echo y| cacls %windir%\registration /G everyone:R system:F administrators:F echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F

O seguinte evento EventSystem pode ser registrado no log de eventos, se a conta Serviço de rede não tiver as permissões corretas:

Tipo de evento: Erro Origem do evento: EventSystem Categoria: (50) Identificação do evento: 4609 Data: <Data> Hora: <Hora> Usuário: N/A Computador: Servidor Descrição: O Sistema de Eventos COM+ detectou um código de retorno incorreto durante o processamento interno. HRESULT era 80070005 da linha xx de d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contate o Atendimento Microsoft para relatar este erro.

O seguinte evento COM+ pode ser registrado no log de eventos se a conta Serviço de rede não tiver as permissões corretas:

Tipo de evento: Informações




Origem do evento: COM+ Categoria: (117) Identificação do evento: 778 Data: <Data> Hora: <Hora> Usuário: N/A Computador: Servidor Descrição: Falha ao despejar imagem do aplicativo. Identificação do aplicativo para servidor: <GUID> Identificação de instância de aplicativo do servidor: <GUID> Nome do aplicativo para servidor: COM+ Explorer Código de erro = 0x80004005: Erro não especificado Informações internas de serviços COM+: Arquivo: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, linha: 1259 versão do arquivo Comsvcs.dll: ENU 2001.12.4414.308 shp Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

O seguinte evento COM+ pode ser registrado no log de eventos se a conta Serviço de rede não tiver as permissões corretas:

Tipo de evento: Erro Origem do evento: COM+ Categoria: Desconhecido Identificação do evento: 4689 Data: <Data> Hora: <Hora> Usuário: N/A Computador: Servidor Descrição: O ambiente de tempo de execução detectou uma inconsistência no estado interno. Isso indica uma possível instabilidade no processo que pode ter sido causada por componentes personalizados em execução no aplicativo COM+, componentes, dos quais fizeram uso ou outros fatores. Erro em d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: falha no InitEventCollector Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

Quando você tenta navegar em uma página ASP em execução em um serviço IIS e a opção Mostrar mensagens de erro http amigáveis não está selecionada no Internet Explorer, a seguinte mensagem de erro pode ser exibida:

Erro no aplicativo do servidor.

O servidor encontrou um erro ao carregar um aplicativo durante o processamento de sua solicitação. Consulte o log de eventos para obter informações mais detalhadas. Contate o administrador do servidor para obter assistência.

Um evento semelhante ao seguinte também pode ser registrado no log de eventos:

Tipo de evento: Erro Origem do evento: DCOM Categoria: Nenhuma Identificação do evento: 10010 Data: <Data>

HTTP 500 - Erro interno do servidor Internet Explorer



http://support.microsoft.com



Etapas para reproduzir o problema Remova a conta do sistema e a conta Todos, das permissões de arquivo para os arquivos *.clb. Para fazer isto, execute as seguintes etapas:

Hora: <Hora> Usuário: NT AUTHORITY\SYSTEM Computador: Servidor Descrição: O servidor <GUID> não se registrou com o DCOM dentro do tempo limite requerido.

Ao tentar iniciar manualmente os aplicativos COM+ nos Serviços de componente, a seguinte mensagem de erro pode ser exibida:

Erro de catálogo: Erro ao processar a última operação. Código de erro 80080005 - Falha na execução do servidor. Talvez o log de eventos contenha informações adicionais de resolução de problemas.

Um evento semelhante ao seguinte também pode ser registrado no log de eventos:

Tipo de evento: Erro Origem do evento: DCOM Categoria: Nenhuma Identificação do evento: 10010 Data: <Data> Hora: <Hora> Usuário: NT AUTHORITY\SYSTEM Computador: Servidor Descrição: O servidor <GUID> não se registrou com o DCOM dentro do tempo limite requerido. Tipo de evento: Aviso Origem do evento: W3SVC Categoria: Nenhuma Identificação do evento: 36 Data: <Data> Hora: <Hora> Usuário: N/A Computador: Servidor Descrição: O servidor não pôde carregar o aplicativo '/LM/W3SVC/1/ROOT'. Erro: "Falha na execução do servidor". Para obter informações adicionais específicas a esta mensagem, visite o seguinte site do Suporte online da Microsoft, localizado em: http://search.support.microsoft.com/search/?adv=1.

Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

Ao tentar instalar um aplicativo ou iniciar manualmente o serviço do Windows Installer, a seguinte mensagem de erro pode ser exibida:

Não foi possível acessar o serviço do Windows Installer. Isso pode ocorrer se você estiver executando o Windows no modo de segurança ou se o Windows Installer não estiver corretamente instalado. Contate a equipe de suporte técnico para obter ajuda.

O serviço Firewall do Windows pode não iniciar com o seguinte código de erro:

Resultado do erro: 0x80070005 ( -2147024891 ) Identificação definida como: E_ACCESSDENIED Texto da mensagem: Acesso negado.



http://search.support.microsoft.com/search/?



A informação contida neste artigo aplica-se a:

1. Clique em Iniciar, em Executar, digite Explorer.exe c:\winnt\registration e clique em OK.

2. No Windows Explorer, clique com o botão direito do mouse em Propriedades e clique na guia Segurança.

3. Na caixa de diálogo Propriedades de registro, clique em SYSTEM em Nomes de grupo ou do usuário e em Avançado.

4. Na caixa de diálogo Configurações de segurança avançadas para registro, clique em Remover e em OK.

5. Repita as etapas 3 e 4 para interromper o acesso da conta Todos aos arquivos .clb.

Microsoft Windows Server 2003 Datacenter Edition

Microsoft Windows Server 2003 Enterprise Edition

Microsoft Windows Server 2003 Standard Edition

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows XP Professional Edition

Microsoft Windows XP Professional Edition

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Datacenter Server

Microsoft Windows 2000 Professional Edition

Microsoft Windows 2000 Service Pack 4

Palavras- chave: kbtshoot kbprb KB909444

© 2007 Microsoft Corporation. Todos os direitos reservados.




This document was created with Win2PDF available at http://www.daneprairie.com.The unregistered version of Win2PDF is for evaluation or non-commercial use only.

http://www.daneprairie.com

ms installer

Documents