Po vypnutí služby pracovní stanice nebo Server na řadič domény je podepisování paketů SMB nelze otevřít sdílené soubory nebo Zásady skupiny moduly snap in

Překlady článku Překlady článku
ID článku: 839499 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak vyřešit následující dva scénáře potíže, které mohou nastat v systému Microsoft Windows Server 2003 nebo Microsoft Windows 2000 Server:
  • Server message block (SMB) podepisování služby pracovní stanice v řadiči domény zakázána, ale je požadováno pro službu serveru na stejném řadiči domény podepisování SMB.
  • Podepisování paketů SMB je zakázána pro službu serveru na řadič domény, ale je požadováno pro službu pracovní stanice na stejném řadiči domény podepisování SMB.

Příznaky

Scénář 1 - podepisování paketů SMB služby pracovní stanice v řadiči domény zakázána, ale je požadováno pro službu serveru na stejném řadiči domény podepisování SMB.

Systém Windows Server 2003

Při pokusu o otevření Zásady skupiny moduly snap in v řadiči domény, zobrazí se chybová zpráva podobná následující:
Nemáte oprávnění k provedení této operace.

Přístup byl odepřen.
Server protokoluje následující události do protokolu událostí aplikace každých pět minut:
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
ID události: 1058
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat přístup k souboru gpt.ini pro objekt zásad skupiny CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =Název_doményDC = com. Soubor se musí nacházet na místě<>Název_domény.com\sysvol\Název_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Přístup byl odepřen.) Zásady skupiny zpracování bylo přerušeno.
Další informace naleznete v tématu nápovědy a odborné pomoci na adrese http://support.microsoft.com.
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
ID události: 1030
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat seznam objektů Zásady skupiny. Možné zprávy zaznamenané dříve modulem zásad, popisující důvod tohoto v protokolu událostí. Další informace naleznete v tématu nápovědy a odborné pomoci na adrese http://support.microsoft.com.


Při přihlášení k místně na serveru a zkuste otevřít sdílené složky na serveru, obdržíte heslo opakovaných výzev a sdílené položky nelze otevřít.

Systém Windows 2000 Server

Při pokusu o otevření Zásady skupiny moduly snap in v řadiči domény, zobrazí se chybová zpráva podobná následující:
Nemáte oprávnění k provedení této operace.

Přístup byl odepřen.
Řadič domény zaznamenává následující událost v protokolu událostí aplikace:
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
Čas: 4:07:30 odp.
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat přístup k informaci registru v \\Název_domény.com\sysvol\Název_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (5).
Při přihlášení k místně na serveru a zkuste otevřít sdílené složky na serveru, obdržíte heslo opakovaných výzev a sdílené položky nelze otevřít.

Scénář 2 - podepisování paketů SMB je zakázána pro službu serveru na řadič domény, ale je požadováno pro službu pracovní stanice na stejném řadiči domény podepisování SMB.

Systém Windows Server 2003

Při pokusu o otevření Zásady skupiny moduly snap in v řadiči domény, zobrazí se chybová zpráva podobná následující:
Nepodařilo se otevřít objekt Zásady skupiny. Pravděpodobně nemáte příslušná práva.

Účet nemá povoleno přihlásit se z této stanice.
V trasování v síti, pokud je podepisování bloků SMB povoleno a požadováno u klienta a je zakázáno na serveru, řádně připojení k relaci protokolu TCP po Dialect Negotiation uzavřeno a klientovi se zobrazí následující chybová zpráva:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Řadič domény zaznamenává následující události v protokolu událostí aplikace každých pět minut:
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
ID události: 1058
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat přístup k souboru gpt.ini pro objekt zásad skupiny CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =Název_doményDC = com. Soubor se musí nacházet na místě<>název_domény.com\sysvol\Název_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Cesta v síti nebyla nalezena.) Zásady skupiny zpracování bylo přerušeno. Další informace naleznete v tématu nápovědy a odborné pomoci na adrese http://support.microsoft.com.
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
ID události: 1030
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat seznam objektů Zásady skupiny. Možné zprávy zaznamenané dříve modulem zásad, popisující důvod tohoto v protokolu událostí. Další informace naleznete v tématu nápovědy a odborné pomoci na adrese http://support.microsoft.com.


Při přihlášení k místně na serveru a zkuste otevřít sdílených souborů na serveru, zobrazí se chybová zpráva podobná následující:
\\Název_serveru\Název_sdílené_položky není k dispozici. Pravděpodobně nemáte oprávnění používat tento prostředek sítě. Obraťte se na správce tohoto serveru a zjistěte, pokud máte oprávnění k přístupu.

Účet nemá povoleno přihlásit se z této stanice.


Poznámka: V trasování v síti Pokud je povoleno podepisování SMB a podepisování paketů SMB, je nutné v klientském počítači a je zakázáno na serveru, bude připojení k relaci protokolu TCP uzavřeno po dialect negotiation. Klient obdrží také následující chybová zpráva:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Systém Windows 2000 Server

Při pokusu o otevření Zásady skupiny moduly snap in v řadiči domény, zobrazí se chybová zpráva podobná následující:
Nepodařilo se otevřít objekt Zásady skupiny. Pravděpodobně nemáte příslušná práva.

Účet nemá povoleno přihlásit se z této stanice.
Řadič domény zaznamenává následující událost v protokolu událostí aplikace každých pět minut:
Typ události: Chyba
Zdroj události: Userenv
Kategorie události: žádný
ID události: 1000
Uživatele: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemůže získat přístup k informaci registru v \\Název_domény.com\sysvol\Název_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol s (1240).
Při přihlášení k místně na serveru a zkuste otevřít sdílených souborů na serveru, zobrazí se chybová zpráva podobná následující:
\\Název_serveru\Název_sdílené_položky není k dispozici.

Účet nemá povoleno přihlásit se z této stanice.


Poznámka: V trasování v síti Pokud je povoleno podepisování SMB a podepisování paketů SMB, je nutné v klientském počítači a je zakázáno na serveru, bude připojení k relaci protokolu TCP uzavřeno po dialect negotiation. Klient obdrží také následující chybová zpráva:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Příčina

K tomuto chování dochází, pokud nastavení podepisování SMB pro službu pracovní stanice a služba Server si vzájemně odporují. Při konfiguraci řadiče domény tak, službu pracovní stanice v řadiči domény se nemůže připojit ke sdílené položce Sysvol řadiče domény. Proto nelze spustit moduly snap in Zásady skupiny. Také pokud zásady podepisování paketů SMB ve výchozích zásad zabezpečení řadiče domény, se tento problém týká všech řadičů domény v síti. Proto se nezdaří replikace Zásady skupiny v adresáři služby Active Directory a nebudete moci upravit Zásady skupiny vrácení těchto nastavení.

Řešení

Chcete-li tento problém vyřešit, postupujte takto.

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
  1. V řadiči domény klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ regedita klepněte na tlačítko OK.
  2. Vyhledejte a klepněte na následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. V pravém podokně poklepejte na položku enablesecuritysignature, typ 1 v Hodnota dat pole a pak klepněte na tlačítko OK.
  4. Poklepejte na položku RequireSecuritySignature, typ 1 v Hodnota dat pole a pak klepněte na tlačítko OK.
  5. Vyhledejte a klepněte na následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  6. V pravém podokně poklepejte na položku enablesecuritysignature, typ 1 v Hodnota dat pole a pak klepněte na tlačítko OK.
  7. Poklepejte na položku RequireSecuritySignature, typ 0 v Hodnota dat pole a pak klepněte na tlačítko OK.
  8. Po změně těchto hodnot registru restartujte služby Server a pracovní stanice. Nerestartuje řadiče domény, protože tato akce může způsobit Zásady skupiny změna hodnot registru zpět na předchozí hodnoty.
  9. Otevřete sdílené položky Sysvol řadiče domény. Chcete-li to provést, klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ \\Název_serveru\SysVol, a pak stiskněte klávesu ENTER. Pokud nelze otevřít sdílené položky Sysvol, opakujte kroky 1 až 8.
  10. Opakujte kroky 1 až 9 na každém řadiči domény, zda každý řadič domény přístup k vlastní sdílené položky Sysvol.
  11. Po připojení ke sdílené položce Sysvol v každém řadiči domény, otevřete modul snap-in Zásady zabezpečení řadiče domény a potom nakonfigurovat nastavení zásady podepisování SMB. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit, přejděte na příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Zásady zabezpečení řadiče domény.
    2. V levém podokně rozbalte položku Místní zásadya klepněte na tlačítko Možnosti zabezpečení.
    3. V pravém podokně poklepejte na položku Server sítě Microsoft: digitálně podepsat komunikaci (vždy).

      Poznámka: V systému Windows 2000 Server je ekvivalentní nastavení Digitálně podepsat komunikaci se serverem (vždy).

      Důležité Máte-li klientských počítačů v síti, které nepodporují podepisování paketů SMB, nesmíte povolit Server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zásad. Pokud toto nastavení povolíte, vyžadovat podepisování veškeré komunikace klient SMB a klientské počítače, které nepodporují podepisování paketů SMB, nebude možné se připojit k ostatním počítačům. Například klienty se systémem Apple Macintosh OS X nebo Microsoft Windows 95 nepodporují podepisování paketů SMB. Pokud vaše síť obsahuje klienty, kteří nepodporují podepisování paketů SMB, nastavte tuto zásadu zakázáno.
    4. Klepnutím vyberte Definovat toto nastavení zásad Zaškrtněte políčko, klepněte na tlačítko Povolenoa klepněte na tlačítko OK.
    5. Poklepejte na položku Server sítě Microsoft: digitálně podepsat komunikaci (Pokud klient souhlasí).

      Poznámka: V systému Windows 2000 Server je ekvivalentní nastavení Digitálně podepsat komunikaci se serverem (Pokud je to možné).
    6. Klepnutím vyberte Definovat toto nastavení zásad Zaškrtněte políčko a klepněte na tlačítko Povoleno.
    7. Klepněte na tlačítko OK.
    8. Poklepejte na položku Klient sítě Microsoft: digitálně podepsat komunikaci (vždy).
    9. Zrušte zaškrtnutí políčka Definovat toto nastavení zásad Zaškrtněte políčko a klepněte na tlačítko OK.
    10. Poklepejte na položku Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí).
    11. Zrušte zaškrtnutí políčka Definovat toto nastavení zásad Zaškrtněte políčko a klepněte na tlačítko OK.
  12. Spusťte nástroj Zásady skupiny aktualizace (Gpupdate.exe) s síla přepnete. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmda klepněte na tlačítko OK.
    2. Na příkazovém řádku zadejte následující příkaz: gpupdate/force, a pak stiskněte klávesu ENTER.
    Další informace o nástroji Zásady skupiny aktualizace klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    298444Popis nástroje pro aktualizaci Zásady skupiny
    Poznámka: Nástroj pro Zásady skupiny aktualizace v systému Windows 2000 Server neexistuje. V systému Windows 2000 je ekvivalentní příkaz secedit/refreshpolicy machine_policy / enforce.

    Další informace o použití příkazu Secedit v systému Windows 2000 získáte článku znalostní báze Microsoft Knowledge Base:
    227302Vynutit aktualizaci Zásady skupiny okamžitě pomocí příkazu SECEDIT
  13. Po spuštění nástroje Zásady skupiny aktualizace protokolu aplikací událostí a ujistěte se, že nastavení Zásady skupiny byly úspěšně aktualizovány. Po úspěšné aktualizaci Zásady skupiny řadič domény zaznamenává události ID 1704. Tato událost se zobrazí v protokolu aplikace v prohlížeči událostí. Zdroj události je SceCli.
  14. Zkontrolujte hodnoty registru, které jste změnili v krocích 1 až 7, a ujistěte se, že hodnoty registru nebyly změněny.

    Poznámka: Tento krok zajistí, že nebude použito konfliktní nastavení zásad skupiny nebo organizační jednotky (OU) úrovni. Například pokud Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí) zásada nakonfigurována jako "Není definováno" v zásady zabezpečení řadiče domény, ale tato stejná zásada nakonfigurována jako zakázané v zásadách zabezpečení domény, podepisování paketů SMB budou zakázány služby pracovní stanice.
  15. Změně hodnot registru po spuštění nástroje Zásady skupiny aktualizace, otevřete modul snap-in Výsledná sada zásad (RSoP) v systému Windows Server 2003. Chcete-li spustit modul snap-in Výsledná sada zásad, klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ RSoP.msc v Otevřít pole a pak klepněte na tlačítko OK.

    V modulu snap-in RSoP jsou nastavení podepisování SMB umístěny v následující cestě:
    Počítač konfigurace systému Windows nastavení zabezpečení/Nastavení/místní zásady/Možnosti zabezpečení
    Poznámka: Pokud používáte systém Windows 2000 Server, nainstalujte nástroj Zásady skupiny aktualizace Windows 2000 Resource Kit a do příkazového řádku zadejte následující:
    gpresult/scope počítače /v
    Po spuštění tohoto příkazu Použité objekty Zásady skupiny Zobrazí se seznam. Tento seznam zobrazuje všechny objekty Zásady skupiny, které jsou použity pro účet počítače. Zkontrolujte nastavení zásad pro tyto objekty Zásady skupiny podepisování SMB.

Další informace

Pokud jste scénář 1 spustit diagnostický nástroj řadiče domény (DcDiag.exe), obdržíte chyby, které jsou podobné následujícím pro systém Windows 2000 a Windows Server 2003:
Spuštění testu: MachineAccount
Nelze otevřít kanál s [název_serveru]: Nepodařilo se 5: přístup byl odepřen.
NetBIOSDomainName se nepodařilo získat.
Selhání lze testování SPN hostitel
Selhání lze testování SPN hostitel
* Chybějící SPN: (null)
* Chybějící SPN: (null)
......................... Selhal test název_serveru MachineAccount
Spuštění testu: služby
Nelze otevřít vzdálený ipc [název_serveru]: Nepodařilo se 5: přístup byl odepřen.
......................... Selhal test název_serveru služby
Spuštění testu: ObjectsReplicated
......................... Název_serveru předán test ObjectsReplicated
Spustit test: frssysvol
[NÁZEV_SERVERU] Net use nebo operace LsaPolicy aplikace se nezdařilo s chybou 5, je odepřen přístup...
......................... Název_serveru test frssysvol se nezdařilo.
Spuštění testu: frsevent
......................... Frsevent test název_serveru se nezdařilo.
Spuštění testu: kccevent
Nepodařilo se vytvořit výčet záznamů protokolu událostí došlo k chybě přístup byl odepřen.
......................... Kccevent test název_serveru se nezdařilo.
Spuštění testu: systemlog
Nepodařilo se vytvořit výčet záznamů protokolu událostí došlo k chybě přístup byl odepřen.
......................... Systemlog test název_serveru se nezdařilo.
Pokud jste scénář 2 spustit diagnostický nástroj řadiče domény, zobrazí chyby, které jsou podobné následujícím pro systém Windows 2000 a Windows Server 2003:
Testování serveru: výchozí první síť Name\SERVERNAME
Spuštění testu: replikace
......................... Test název_serveru předán replikace
Spuštění testu: NCSecDesc
......................... Název_serveru předán test NCSecDesc
Spuštění testu: NetLogons
[NÁZEV_SERVERU] Příkazu net use nebo operace LsaPolicy chyba 1240, účet nemá povoleno přihlásit se z této stanice...
......................... Selhal test název_serveru NetLogons
Spuštění testu: reklama
......................... Název_serveru předán testování reklamy
Spuštění testu: KnowsOfRoleHolders
......................... Název_serveru předán test KnowsOfRoleHolders
Spuštění testu: RidManager
......................... Název_serveru předán test RidManager
Spuštění testu: MachineAccount
Nelze otevřít kanál s [název_serveru]: Nepodařilo se 1240: účet nemá povoleno přihlásit se z této stanice.
NetBIOSDomainName se nepodařilo získat.
Selhání lze testování SPN hostitel
Selhání lze testování SPN hostitel
* Chybějící SPN: (null)
* Chybějící SPN: (null)
......................... Selhal test název_serveru MachineAccount
Spuštění testu: služby
Nelze otevřít vzdálený ipc [název_serveru]: Nepodařilo se 1240: účet nemá povoleno přihlásit se z této stanice.
......................... Selhal test název_serveru služby
Spuštění testu: ObjectsReplicated
......................... Název_serveru předán test ObjectsReplicated
Spustit test: frssysvol
[NÁZEV_SERVERU] Příkazu net use nebo operace LsaPolicy chyba 1240, účet nemá povoleno přihlásit se z této stanice...
......................... Název_serveru test frssysvol se nezdařilo.
Spuštění testu: frsevent
......................... Frsevent test název_serveru se nezdařilo.
Spuštění testu: kccevent
Nepodařilo se vytvořit výčet záznamy v protokolu událostí, chyba účet není oprávněn se přihlásit z této stanice. ......................... Kccevent test název_serveru se nezdařilo.
Spuštění testu: systemlog
Nepodařilo se vytvořit výčet záznamy v protokolu událostí, chyba účet není oprávněn se přihlásit z této stanice. ......................... Systemlog test název_serveru se nezdařilo.


Produkty třetích stran popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, předpokládanou ani týkající se výkonu nebo spolehlivosti těchto produktů.

Vlastnosti

ID článku: 839499 - Poslední aktualizace: 22. května 2011 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Klíčová slova: 
kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbmt KB839499 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:839499

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com