DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 909444 - Dernière mise à jour: jeudi 14 août 2008 - Version: 15.2

Sommaire

Symptômes

Sur un ordinateur Microsoft Windows XP, Microsoft Windows 2000 ou Windows Server 2003, un ou plusieurs problèmes peuvent apparaître après que vous avez installé la mise à jour critique décrite dans le bulletin de sécurité Microsoft MS05-051. Ces problèmes sont notamment :
  • Le service Windows Installer peut ne pas démarrer.
  • Le service Windows Firewall peut ne pas démarrer.
  • Le dossier Connexions réseau est vide.
  • Le site Web Windows Update peut vous recommander de façon erronée de modifier le paramètre Permanence des données utilisateur dans Microsoft Internet Explorer.
  • Les pages ASP (Active Server Pages) fonctionnant sous Microsoft Internet Information Services (IIS) renvoient un message d'erreur « HTTP 500 – Erreur interne au serveur ».
  • Le service Microsoft COM+ EventSystem ne démarre pas.
  • Les applications COM+ ne démarrent pas.
  • Le noeud ordinateurs de l'arborescence de la console MMC de Microsoft Component Services ne se développe pas.
  • Les utilisateurs authentifiés ne peuvent pas se connecter et un écran vide s'affiche après que les utilisateurs ont appliqué les mises à jour de sécurité du mois d'octobre.
  • Dans une configuration de cluster de serveurs, le service de cluster peut ne pas démarrer. L'événement suivant est enregistré dans le fichier journal du cluster :

    ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891

  • Un événement semblable au suivant peut être enregistré dans le journal système :

    ID de l'événement : 512
    Source : CryptSvc
    Description :
    Le service Services de cryptographie n'a pas pu initialiser l'objet sauvegarde VSS backup "System Writer".

    Détails :
    L'objet System Writer n'a pas pu s'abonner à VSS.

    Erreur système :
    Défaillance irrémédiable

  • Une erreur d'accès refusé peut se produire lorsque vous essayez de vous connecter à WMI (Windows Management Instrumentation) à l'aide d'un script, de l'utilitaire WBEMTest.exe ou d'autres utilitaires. Le fichier %windir%\system32\wbem\logs\wbemprox.log contient des erreurs similaires à la suivante au moment de l'erreur :
    ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005
  • Le message d'erreur suivant se rapportant au catalogue COM+ 1.0 peut s'afficher lorsque vous créez une application COM+ vide :
    XACT_E_RECOVERYINPROGRESS (0x8004d082)

Cause

Ce problème survient si des applications COM ou COM+ ne peuvent pas accéder aux fichiers de catalogue COM+. Cette application ne peut pas accéder aux fichiers de catalogue COM+ parce que les autorisations par défaut du répertoire de catalogue et des fichiers COM+ n'ont plus leurs paramètres par défaut. Avant le bulletin de sécurité Microsoft MS05-051, aucunes autorisations explicites sur le catalogue COM+ n'étaient nécessaires. Les fichiers de catalogue COM+ sont des fichiers .clb situés dans le dossier %windir%\registration. Par défaut, le répertoire de catalogue et les fichiers COM+ possèdent les autorisations suivantes :
Réduire ce tableauAgrandir ce tableau
AdministrateursSystèmeTout le mondeUtilisateurs authentifiésOpérateurs de serveur
Ordinateur Windows 2000 non-contrôleur de domaineContrôle totalContrôle totalLecture
Contrôleur de domaine Windows 2000Contrôle totalContrôle totalModifierLecture et exécution
Ordinateur Windows Server 2003 non-contrôleur de domaineContrôle totalContrôle totalLecture
Contrôleur de domaine Windows Server 2003Contrôle totalContrôle totalLecture et exécution

Résolution

En raison des changements de sécurité implémentés dans MS05-051, l'autorisation du système de fichiers NTFS de niveau Lecture est requise sur le dossier %windir%\registration. Les autorisations par défaut comprennent l'accès en Lecture pour le groupe Tout le monde. Si cette configuration est modifiée, les applications et services peuvent présenter un comportement inattendu. Les entreprises qui ont choisi d'implémenter des autorisations de sécurité NTFS plus restrictives doivent envisager d'accorder les autorisations de niveau Lecture en fonction d'appartenances à des groupes pour les utilisateurs, applications et services qui nécessitent l'accès aux fonctionnalités COM. Nous préconisons l'utilisation des paramètres par défaut pour le dossier afin d'éviter d'éventuels problèmes de compatibilité des applications. Des tests approfondis de compatibilité des applications sont recommandés pour les administrateurs désireux d'implémenter des paramètres autres que ceux par défaut. Pour plus d'informations sur les problèmes susceptibles de se présenter suite à la modification des autorisations sur les dossiers système, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
885409  (http://support.microsoft.com/kb/885409/ ) Prise en charge des guides de configuration de la sécurité
Outre les autorisations NTFS, l'autorisation Outrepasser le contrôle de défilement est requise. Par défaut, cette autorisation est accordée au groupe Tout le monde. Comme indiqué avec les autorisations NTFS, les utilisateurs, applications et services doivent recevoir cette autorisation en fonction de leur appartenance à des groupes. Pour plus d'informations sur le droit d'utilisateur Outrepasser le contrôle de défilement, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823659  (http://support.microsoft.com/kb/823659/ ) Incompatibilités entre les clients, les services et les programmes lorsque vous modifiez des paramètres de sécurité et des attributions des droits utilisateur
Pour résoudre ce problème, restaurez les autorisations par défaut sur le catalogue COM+.

Pour un ordinateur Windows 2000 ou Windows Server 2003 ne fonctionnant pas en tant que contrôleur de domaine, procédez comme suit :
  1. Dans le dossier %windir%/registration, assurez-vous que le groupe Tout le monde possède des autorisations de Lecture.
  2. Dans le dossier %windir%/registration, assurez-vous que le compte SYSTÈME possède des autorisations de Contrôle total.
  3. Dans le dossier %windir%/registration, assurez-vous que le groupe Administrateurs possède des autorisations de Contrôle total.
  4. Dans les propriétés de sécurité avancées des fichiers .clb du dossier %windir%/registration, veillez à ce que la case à cocher Permettre aux entrées d'audit héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici soit activée.
  5. Assurez-vous que le groupe Tout le monde possède l'une des autorisations suivantes :
    • les autorisations Parcourir (« Affichage du contenu du dossier ») sur tous les répertoires parents, y compris %systemdrive%, %windir% et %windir%\registration
    • le droit d'utilisateur Outrepasser le contrôle de défilement
    Pour attribuer le droit d'utilisateur Outrepasser le contrôle de défilement au groupe Tout le monde, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
    2. Développez Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis Attribution des droits utilisateur.
    3. Cliquez avec le bouton droit sur Contourner la vérification de parcours, puis cliquez sur Propriétés.
    4. Cliquez sur Ajouter un utilisateur ou un groupe.
    5. Tapez Tout le monde, puis cliquez sur OK.

      Remarque Si un message s'affiche indiquant qu'un objet nommé « Utilisateurs » est introuvable, cliquez sur Types d'objet, activez la case à cocher Groupes, puis cliquez deux fois sur OK.
Pour un contrôleur de domaine exécutant Windows 2000, procédez comme suit :
  1. Dans le dossier %windir%/registration, assurez-vous que le groupe Utilisateurs authentifiés possède des autorisations de Lecture et exécution.
  2. Dans le dossier %windir%/registration, assurez-vous que le groupe Opérateurs de serveur possède des autorisations Modifier.
  3. Dans le dossier %windir%/registration, assurez-vous que le compte SYSTÈME possède des autorisations de Contrôle total.
  4. Dans le dossier %windir%/registration, assurez-vous que le groupe Administrateurs possède des autorisations de Contrôle total.
  5. Dans les propriétés de sécurité avancées des fichiers .clb du dossier %windir%/registration, veillez à ce que la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet soit activée.
Pour un contrôleur de domaine exécutant Windows Server 2003, procédez comme suit :
  1. Dans le dossier %windir%/registration, assurez-vous que le groupe Tout le monde possède des autorisations de Lecture et exécution.
  2. Dans le dossier %windir%/registration, assurez-vous que le compte SYSTÈME possède des autorisations de Contrôle total.
  3. Dans le dossier %windir%/registration, assurez-vous que le groupe Administrateurs possède des autorisations de Contrôle total.
  4. Dans les propriétés de sécurité avancées des fichiers .clb du dossier %windir%/registration, veillez à ce que la case à cocher Permettre aux entrées d'audit héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici soit activée.
  5. Assurez-vous que le groupe Tout le monde possède l'une des autorisations suivantes :
    • les autorisations Parcourir (« Affichage du contenu du dossier ») sur tous les répertoires parents, y compris %systemdrive%, %windir% et %windir%\registration ;
    • le droit d'utilisateur Outrepasser le contrôle de défilement
    Pour attribuer le droit d'utilisateur Outrepasser le contrôle de défilement au groupe Tout le monde, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
    2. Développez Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis Attribution des droits utilisateur.
    3. Cliquez avec le bouton droit sur Contourner la vérification de parcours, puis cliquez sur Propriétés.
    4. Cliquez sur Ajouter un utilisateur ou un groupe.
    5. Tapez Tout le monde, puis cliquez sur OK.

      Remarque Si un message s'affiche indiquant qu'un objet nommé « Utilisateurs » est introuvable, cliquez sur Types d'objet, activez la case à cocher Groupes, puis cliquez deux fois sur OK.
Remarque Le système peut créer ultérieurement des fichiers .clb supplémentaires dans le dossier %windir%/registration. Pour garantir que les nouveaux fichiers .clb possèdent les autorisations appropriées, octroyez l'autorisation de Lecture sur l'ensemble du répertoire au lieu de l'accorder directement sur les fichiers .clb existants. Vous pouvez utiliser le fichier Cacls.exe pour automatiser ces modifications d'autorisations sur l'ordinateur concerné ou pour les répercuter facilement sur plusieurs ordinateurs.

Pour un ordinateur Windows 2000 ou Windows Server 2003 ne fonctionnant pas en tant que contrôleur de domaine, utilisez les commandes suivantes :
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Pour un contrôleur de domaine exécutant Windows 2000, utilisez les commandes suivantes :
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Pour un contrôleur de domaine exécutant Windows 2003, utilisez les commandes suivantes :
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Remarque Assurez-vous qu'il n'y a pas d'espace entre le caractère y et la barre verticale (|). S'il y a un espace entre ces caractères, les commandes ne s'exécuteront pas correctement.

Plus d'informations

Quand ce problème se produit, l'un des événements suivants ou plus peut apparaître dans le journal d'événements :
  • L'événement EventSystem suivant peut être enregistré dans le journal d'événements si le compte Service réseau ne possède pas les autorisations correctes :

    Type d'événement : Erreur
    Source de l'événement : EventSystem
    Catégorie de l'événement : (50)
    ID évén. : 4609
    Date : <Date>
    Heure : <Heure>
    Utilisateur : N/D
    Ordinateur : Serveur
    Description : Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 80070005 à partir de la ligne xx de d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

  • L'événement COM+ suivant peut être enregistré dans le journal d'événements si le compte Service réseau ne possède pas les autorisations correctes :

    Type d'événement : Informations
    Source de l'événement : COM+
    Catégorie de l'événement : (117)
    ID évén. : 778
    Date : <Date>
    Heure : <Heure>
    Utilisateur : N/D
    Ordinateur : Serveur
    Description : Échec du vidage de l'image d'application.
    ID d'application serveur : <GUID>
    ID d'instance d'application serveur : <GUID>
    Nom de l'application serveur : COM+ Explorer
    Code d'erreur = 0x80004005 : Erreur non spécifiée
    Informations internes au service COM+ : Fichier : d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Ligne : 1259 Comsvcs.dll Version de fichier : ENU 2001.12.4414.308 shp
    Pour plus d'informations, reportez-vous au centre Aide et support à l'adresse http://support.microsoft.com.

  • L'événement COM+ suivant peut être enregistré dans le journal d'événements si le compte Service réseau ne possède pas les autorisations correctes :

    Type d'événement : Erreur
    Source de l'événement : COM+
    Catégorie de l'événement : Inconnu
    ID évén. : 4689
    Date : <Date>
    Heure : <Heure>
    Utilisateur : N/D
    Ordinateur : Serveur
    Description : L'environnement d'exécution a détecté une incohérence dans son état interne. C'est le signe d'une instabilité potentielle du processus pouvant être provoquée par les composants personnalisés exécutés dans l'application COM+, les composants qu'ils utilisent ou d'autres facteurs. Erreur dans d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005 : Échec de InitEventCollector
    Pour plus d'informations, reportez-vous au centre Aide et support à l'adresse http://support.microsoft.com.

  • Lorsque vous essayez de parcourir une page ASP s'exécutant sur un service IIS et que l'option Afficher des messages d'erreur HTTP simplifiés n'est pas sélectionnée dans Internet Explorer, vous pouvez recevoir le message d'erreur suivant :
    Erreur d'une application du serveur.
    Le serveur a rencontré une erreur en chargeant une application lors du traitement de votre requête. Consultez le journal des événements pour obtenir plus d'informations. Contactez l'administrateur du serveur pour obtenir de l'assistance.
    HTTP 500 - Erreur interne du serveur Internet Explorer
    Un événement semblable à celui-ci peut également être enregistré dans le journal des événements :

    Type d'événement : Erreur
    Source de l'événement : DCOM
    Catégorie de l'événement : Aucun
    ID évén. : 10010
    Date : <Date>
    Heure : <Heure>
    Utilisateur : NT AUTHORITY\SYSTEM
    Ordinateur : Serveur
    Description : Le serveur <GUID> ne s'est pas enregistré sur DCOM avant la fin du temps imparti.

  • Lorsque vous tentez de démarrer manuellement des applications COM+ dans les services de composants, le message d'erreur suivant peut s'afficher :
    Erreur catalogue : Une erreur s'est produite lors du traitement de la dernière opération. Code d'erreur 80080005 - Échec de l'exécution du serveur. Le journal d'événements contient peut-être des informations de dépannage supplémentaires.
    Un événement semblable à celui-ci peut également être enregistré dans le journal des événements :

    Type d'événement : Erreur
    Source de l'événement : DCOM
    Catégorie de l'événement : Aucun
    ID évén. : 10010
    Date : <Date>
    Heure : <Heure>
    Utilisateur : NT AUTHORITY\SYSTEM
    Ordinateur : Serveur
    Description : Le serveur <GUID> ne s'est pas enregistré sur DCOM avant la fin du temps imparti.
    Type d'événement : Avertissement
    Source de l'événement : W3SVC
    Catégorie de l'événement : Aucun
    ID évén. : 36
    Date : <Date>
    Heure : <Heure>
    Utilisateur : N/D
    Ordinateur : Serveur
    Description : Échec de chargement de l'application '/LM/W3SVC/1/ROOT'. L'erreur est 'Échec de l'exécution du serveur'.
    Pour plus d'informations sur ce message, reportez-vous au site du support technique en ligne Microsoft à l'adresse suivante : http://search.support.microsoft.com/search/?adv=1.

    Pour plus d'informations, reportez-vous au centre Aide et support à l'adresse http://support.microsoft.com.

  • Lorsque vous essayez d'installer une application ou que vous essayez de démarrer manuellement le service Windows Installer, le message d'erreur suivant peut s'afficher :
    Impossible d'accéder au service Windows Installer. Ce problème peut se produire lorsque vous exécutez Windows en mode sans échec ou si Windows Installer n'est pas correctement installé. Contactez votre support technique pour assistance.
  • Le service Windows Firewall peut ne pas démarrer et renvoie le code d'erreur suivant :
    Résultat de l'erreur : 0x80070005 ( -2147024891 ) ID défini en tant que : E_ACCESSDENIED Texte du message : Accès refusé.

Procédure pour reproduire le problème

Supprimez le compte Système et le compte Tout le monde des autorisations des fichiers *.clb. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez Explorer.exe c:\winnt\registration, puis cliquez sur OK.
  2. Dans l'Explorateur Windows, cliquez avec le bouton droit sur Propriétés, puis sur l'onglet Sécurité.
  3. Dans la boîte de dialogue Propriétés de l'enregistrement, cliquez sur l'onglet Système sous Noms d'utilisateur ou de groupe, puis cliquez sur Avancé.
  4. Dans la boîte de dialogue Paramètres de sécurité avancés pour l'enregistrement, cliquez sur Supprimer, puis sur OK.
  5. Répétez les étapes 3 et 4 pour empêcher le compte Tout le monde d'accéder aux fichiers .clb.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbresolve kbtshoot kbprb KB909444
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store