Sie können keine Dateifreigaben oder Gruppenrichtlinie-Snap-Ins auf einem Domänencontroller öffnen.

  • Artikel

In diesem Artikel wird beschrieben, wie Sie ein Problem beheben, das auftritt, wenn die SMB-Signatur für den Arbeitsstations- oder Serverdienst auf einem Domänencontroller deaktiviert ist.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 839499

Zusammenfassung

Sie können keine Dateifreigaben oder die Gruppenrichtlinie-Snap-Ins auf einem Windows Server 2003-Domänencontroller oder auf einem Windows 2000 Server-Domänencontroller öffnen. Wenn Sie sich lokal am Domänencontroller anmelden und dann versuchen, Freigaben auf dem Domänencontroller zu öffnen, erhalten Sie wiederholte Kennwortaufforderungen, und Sie können die Freigaben nicht öffnen. Sie können dieses Problem beheben, indem Sie die Registrierung ändern.

Warnung

Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.

Symptome

Szenario 1: Die SMB-Signatur (Server Message Block) ist für den Arbeitsstationsdienst auf einem Domänencontroller deaktiviert, aber für den Serverdienst auf demselben Domänencontroller ist eine SMB-Signatur erforderlich.

Windows Server 2003

Wenn Sie versuchen, Gruppenrichtlinie-Snap-Ins auf dem Domänencontroller zu öffnen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Sie sind nicht berechtigt, diesen Vorgang auszuführen. Der Zugriff wurde verweigert.

Der Domänencontroller protokolliert alle fünf Minuten die folgenden Ereignisse im Anwendungsereignisprotokoll:

Windows 2000 Server

Wenn Sie versuchen, Gruppenrichtlinie-Snap-Ins auf dem Domänencontroller zu öffnen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Sie sind nicht berechtigt, diesen Vorgang auszuführen.

Der Zugriff wurde verweigert. Der Domänencontroller protokolliert das folgende Ereignis im Anwendungsereignisprotokoll:

Wenn Sie sich lokal am Domänencontroller anmelden und dann versuchen, Freigaben auf dem Domänencontroller zu öffnen, erhalten Sie wiederholte Kennwortaufforderungen, und Sie können die Freigaben nicht öffnen.

Szenario 2: SMB-Signierung ist für den Serverdienst auf einem Domänencontroller deaktiviert, aber SMB-Signierung ist für den Arbeitsstationsdienst auf demselben Domänencontroller erforderlich.

Windows Server 2003

Fehler beim Öffnen des Gruppenrichtlinie Object. Möglicherweise verfügen Sie nicht über die entsprechenden Rechte.

Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

Wenn in einer Netzwerkablaufverfolgung SMB-Signierung aktiviert und auf dem Client erforderlich und auf dem Server deaktiviert ist, wird die Verbindung mit der TCP-Sitzung nach der Dialektverhandlung ordnungsgemäß geschlossen, und der Client erhält den folgenden Fehler:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Der Domänencontroller protokolliert alle fünf Minuten die folgenden Ereignisse im Anwendungsereignisprotokoll: Wenn Sie sich lokal beim Domänencontroller anmelden und dann versuchen, Dateifreigaben auf dem Domänencontroller zu öffnen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

\\Server_name\Share_Name ist nicht zugänglich. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Setzen Sie sich mit dem Administrator dieses Servers in Verbindung, um herauszufinden, ob Sie über Berechtigungen verfügen.

Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

Hinweis

Wenn in einer Netzwerkablaufverfolgung die SMB-Signatur aktiviert ist und die SMB-Signatur auf dem Client erforderlich ist und auf dem Server deaktiviert ist, wird die Verbindung mit der TCP-Sitzung nach der Dialektverhandlung ordnungsgemäß geschlossen. Außerdem erhält der Client die folgende Fehlermeldung: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Wenn Sie versuchen, Gruppenrichtlinie-Snap-Ins auf dem Domänencontroller zu öffnen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Fehler beim Öffnen des Gruppenrichtlinie Object. Möglicherweise verfügen Sie nicht über die entsprechenden Rechte.

Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

Der Domänencontroller protokolliert das folgende Ereignis im Anwendungsereignisprotokoll: Wenn Sie sich lokal am Domänencontroller anmelden und dann versuchen, Dateifreigaben auf dem Domänencontroller zu öffnen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

\\Server_name\Share_Name ist nicht zugänglich.

Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

Hinweis

Wenn in einer Netzwerkablaufverfolgung die SMB-Signatur aktiviert ist und die SMB-Signatur auf dem Client erforderlich ist und auf dem Server deaktiviert ist, wird die Verbindung mit der TCP-Sitzung nach der Dialektverhandlung ordnungsgemäß geschlossen. Außerdem erhält der Client die folgende Fehlermeldung: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Lösung

Führen Sie die folgenden Schritte aus, um dieses Verhalten zu beheben:

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows XP.

Schritt 1: Ändern der Registrierung

Ändern Sie den Wert des Registrierungseintrags enablesecuritysignature. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf dem Domänencontroller auf Start und dann auf Ausführen.

  2. Kopieren Sie den Befehl regedit, fügen Sie ihn in das Feld Öffnen ein, fügen Sie ihn ein (oder geben Sie ihn ein), und drücken Sie dann die EINGABETASTE.

    Screenshot des Fensters

  3. Finden und klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Doppelklicken Sie im rechten Bereich auf Enablesecuritysignature, geben Sie 1 in das Feld Wert ein , und klicken Sie dann auf OK.

  5. Doppelklicken Sie auf requiresecuritysignature, geben Sie 1 in das Feld Wert ein , und klicken Sie dann auf OK.

  6. Finden und klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Doppelklicken Sie im rechten Bereich auf Enablesecuritysignature, geben Sie 1 in das Feld Wert ein , und klicken Sie dann auf OK.

  8. Doppelklicken Sie auf requiresecuritysignature, geben Sie 0 in das Feld Wert ein , und klicken Sie dann auf OK.

Schritt 2: Starten Sie den Serverdienst und den Arbeitsstationsdienst neu. Nachdem Sie die Registrierungswerte geändert haben, starten Sie den Serverdienst und den Arbeitsstationsdienst neu.

Wichtig

Starten Sie den Domänencontroller nicht neu, da diese Aktion dazu führen kann, dass Gruppenrichtlinie die Registrierungswerte wieder auf die früheren Werte ändern.

Führen Sie die folgenden Schritte aus, um den Serverdienst und den Arbeitsstationsdienst neu zu starten:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste.

  2. Klicken Sie mit der rechten Maustaste auf Server, und klicken Sie dann auf Neu starten.

    Screenshot des Fensters

  3. Klicken Sie mit der rechten Maustaste auf Arbeitsstation, und klicken Sie dann auf Neu starten.

Hinweis

Wenn Sie aufgefordert werden, andere Dienste neu zu starten, klicken Sie auf Ja.

Schritt 3: Aktualisieren der Sysvol-Freigabe

Aktualisieren Sie die Sysvol-Freigabe des Domänencontrollers. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie die Sysvol-Freigabe des Domänencontrollers. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie \\Server_Name\Sysvol in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.
  2. Wenn die Sysvol-Freigabe nicht geöffnet wird, wiederholen Sie Schritt 1 – Ändern der Registrierung und Schritt 2 – Neustarten der Server- und Arbeitsstationsdienste .
  3. Wiederholen Sie Schritt 1 – Ändern der Registrierung und Schritt 2 – Starten Sie die Server- und Arbeitsstationsdienste auf jedem betroffenen Domänencontroller neu, um sicherzustellen, dass jeder Domänencontroller auf seine eigene Sysvol-Freigabe zugreifen kann.

Schritt 4: Einrichten der SMB-Richtlinieneinstellungen

Nachdem Sie auf jedem Domänencontroller eine Verbindung mit der Sysvol-Freigabe hergestellt haben, öffnen Sie das Snap-In "Domänencontrollersicherheitsrichtlinie", und richten Sie dann die Einstellungen für die SMB-Signaturrichtlinie ein. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Domänencontrollersicherheitsrichtlinie.

  2. Erweitern Sie im linken Bereich Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.

  3. Doppelklicken Sie im rechten Bereich auf Microsoft-Netzwerkserver: Kommunikation digital signieren (immer).

    Hinweis

    In Windows 2000 Server lautet die entsprechende Richtlinieneinstellung Serverkommunikation digital signieren (immer).

    Wichtig

    Wenn Sie über Clientcomputer im Netzwerk verfügen, die keine SMB-Signatur unterstützen, dürfen Sie die Richtlinieneinstellung Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) nicht aktivieren. Wenn Sie diese Einstellung aktivieren, müssen Sie über die SMB-Signatur für die gesamte Clientkommunikation verfügen, und Clientcomputer, die keine SMB-Signatur unterstützen, können keine Verbindung mit anderen Computern herstellen. Beispielsweise unterstützen Clients, auf denen Apple Macintosh OS X oder Microsoft Windows 95 ausgeführt wird, keine SMB-Signierung. Wenn Ihr Netzwerk Clients enthält, die keine SMB-Signatur unterstützen, legen Sie diese Richtlinie auf deaktiviert fest.

    Screenshot des Fensters

  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren , klicken Sie auf Aktiviert, und klicken Sie dann auf OK.

    Screenshot des Fensters

  5. Doppelklicken Sie auf Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt).

    Hinweis

    Für Windows 2000 Server lautet die entsprechende Richtlinieneinstellung Serverkommunikation digital signieren (sofern möglich).

  6. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren , und klicken Sie dann auf Aktiviert.

  7. Klicken Sie auf OK.

  8. Doppelklicken Sie auf Microsoft-Netzwerkclient: Kommunikation digital signieren (immer).

  9. Deaktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren , und klicken Sie dann auf OK.

    Screenshot des Fensters

  10. Doppelklicken Sie auf Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt).

  11. Deaktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren , und klicken Sie dann auf OK.

Schritt 5: Ausführen des Gruppenrichtlinie Update-Hilfsprogramms

Führen Sie das Gruppenrichtlinie Update-Hilfsprogramm (Gpupdate.exe) mit dem Force-Schalter aus. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Kopieren Sie den Befehl cmd, und fügen Sie ihn in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

    Screenshot des Fensters

  3. Geben Sie an der Eingabeaufforderung gpupdate /force ein, und drücken Sie die Eingabetaste.

    Hinweis

    Das Hilfsprogramm Gruppenrichtlinie Update ist in Windows 2000 Server nicht vorhanden. In Windows 2000 Server lautet secedit /refreshpolicy machine_policy /enforceder entsprechende Befehl .

Schritt 6: Überprüfen des Anwendungsereignisprotokolls

Nachdem Sie das Hilfsprogramm Gruppenrichtlinie Update ausgeführt haben, überprüfen Sie das Anwendungsereignisprotokoll, um sicherzustellen, dass die Gruppenrichtlinie Einstellungen erfolgreich aktualisiert wurden. Nach einem erfolgreichen Gruppenrichtlinie Update protokolliert der Domänencontroller die Ereignis-ID 1704. Führen Sie die folgenden Schritte aus, um das Anwendungsprotokoll in Ereignisanzeige zu öffnen:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Ereignisanzeige.

  2. Klicken Sie im linken Bereich auf Anwendung.

    Screenshot des fensters

  3. Doppelklicken Sie auf die Ereignis-ID 1704, und vergewissern Sie sich, dass die einstellung Gruppenrichtlinie erfolgreich angewendet wurde.

    Hinweis

    Die Quelle des Ereignisses ist SceCli.

    Screenshot der ereignisbasierten Eigenschaftenfenster für die Ereignis-ID 1704.

Schritt 7: Überprüfen der Registrierungswerte

Überprüfen Sie die Registrierungswerte, die Sie in Schritt 1 – Ändern der Registrierung geändert haben, um sicherzustellen, dass die Registrierungswerte nicht geändert wurden.

Hinweis

Dieser Schritt stellt sicher, dass eine in Konflikt stehende Richtlinieneinstellung nicht auf der Ebene einer anderen Gruppe oder Organisationseinheit (OE) angewendet wird. Wenn beispielsweise die Richtlinie Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) in der Domänencontroller-Sicherheitsrichtlinie als "Nicht definiert" konfiguriert ist, aber dieselbe Richtlinie in der Domänensicherheitsrichtlinie als deaktiviert konfiguriert ist, wird die SMB-Signatur für den Arbeitsstationsdienst deaktiviert.

Schritt 8: Überprüfen der Einstellungen für die SMB-Signaturrichtlinie mithilfe des RSoP-Snap-Ins (Resultant Set of Policy)

Wenn sich die Registrierungswerte geändert haben, nachdem Sie das Hilfsprogramm Gruppenrichtlinie Update ausgeführt haben, überprüfen Sie die Einstellungen der SMB-Signaturrichtlinie mithilfe des RSoP-Snap-Ins in Windows Server 2003. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie rsop.msc in das Feld Öffnen ein, und klicken Sie dann auf OK.

    Screenshot des Fensters

  2. Im RSoP-Snap-In befinden sich die SMB-Signatureinstellungen im folgenden Pfad: Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen

    Hinweis

    Wenn Sie Windows 2000 Server ausführen, installieren Sie das Hilfsprogramm Gruppenrichtlinie Update aus dem Windows 2000 Server Resource Kit, und geben Sie dann Folgendes an der Eingabeaufforderung ein:gpresult /scope computer /v

  3. Nachdem Sie diesen Befehl ausgeführt haben, wird die Liste Angewendete Gruppenrichtlinie Objekte angezeigt. In dieser Liste werden alle Gruppenrichtlinie Objekte angezeigt, die auf das Computerkonto angewendet werden. Überprüfen Sie die Einstellungen der SMB-Signaturrichtlinie für alle diese Gruppenrichtlinie Objects.

Zusätzliche Ressourcen

Dieses Verhalten tritt auf, wenn die SMB-Signatureinstellungen für den Arbeitsstationsdienst und für den Serverdienst einander widersprechen. Wenn Sie den Domänencontroller auf diese Weise konfigurieren, kann der Arbeitsstationsdienst auf dem Domänencontroller keine Verbindung mit der Sysvol-Freigabe des Domänencontrollers herstellen. Daher können Sie Gruppenrichtlinie-Snap-Ins nicht starten. Wenn SMB-Signaturrichtlinien durch die Standardsicherheitsrichtlinie für Domänencontroller festgelegt werden, wirkt sich das Problem auch auf alle Domänencontroller im Netzwerk aus. Daher schlägt Gruppenrichtlinie Replikation im Active Directory-Verzeichnisdienst fehl, und Sie können Gruppenrichtlinie nicht bearbeiten, um diese Einstellungen rückgängig zu machen.

Szenario 1: Wenn Sie das Domänencontrollerdiagnosetool (DcDiag.exe) ausführen, erhalten Sie Fehler, die den folgenden für Windows 2000 Server und windows Server 2003 ähneln.

Test wird gestartet: MachineAccount
Die Pipe konnte nicht mit [SERVERNAME]:failed with 5: Access is denied geöffnet werden.
NetBIOSDomainName konnte nicht abgerufen werden
Fehler kann nicht auf HOST-SPN getestet werden
Fehler kann nicht auf HOST-SPN getestet werden
* Fehlender SPN :(null)
* Fehlender SPN :(null)
......................... SERVERNAME– Test "MachineAccount" fehlgeschlagen
Test wird gestartet: Dienste
Remote-IPC konnte nicht mit [SERVERNAME]:failed with 5: Access is denied geöffnet werden.
......................... SERVERNAME– Testdienste fehlgeschlagen
Test wird gestartet: ObjectsReplicated
......................... SERVERNAME bestandener Test ObjectsReplicated
Test wird gestartet: frssysvol
[SERVERNAME] Fehler bei einem Net Use- oder LsaPolicy-Vorgang mit Fehler 5, Zugriff verweigert.
......................... FEHLER BEI SERVERNAME– Test frssysvol
Test wird gestartet: frsevent
......................... SERVERNAME– test frsevent fehlgeschlagen
Test wird gestartet: kccevent
Fehler beim Aufzählen von Ereignisprotokolldatensätzen, Fehler Zugriff verweigert.
......................... SERVERNAME – Test kccevent fehlgeschlagen
Test wird gestartet: systemlog
Fehler beim Aufzählen von Ereignisprotokolldatensätzen, Fehler Zugriff verweigert.
......................... SERVERNAME– Testsystemprotokoll fehlgeschlagen

Szenario 2: Wenn Sie das Domänencontroller-Diagnosetool ausführen, erhalten Sie Fehler, die den folgenden für Windows 2000 Server und windows Server 2003 ähneln.

Testserver: Default-First-Site-Name\SERVERNAME
Test wird gestartet: Replikationen
......................... SERVERNAME bestandene Testreplikationen
Test wird gestartet: NCSecDesc
......................... SERVERNAME bestandener NcSecDesc-Test
Test wird gestartet: NetLogons
[SERVERNAME] Ein Net Use- oder LsaPolicy-Vorgang ist mit dem Fehler 1240 fehlgeschlagen. Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden.
......................... SERVERNAME – NetLogons-Test fehlgeschlagen
Test wird gestartet: Werbung
......................... SERVERNAME bestanden test Advertising
Test wird gestartet: KnowsOfRoleHolders
......................... SERVERNAME hat den Test "KnowsOfRoleHolders" bestanden.
Test wird gestartet: RidManager
......................... SERVERNAME bestandener RidManager-Test
Test wird gestartet: MachineAccount
Pipe konnte nicht mit [SERVERNAME]:fehler mit 1240 geöffnet werden: Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden.
NetBIOSDomainName konnte nicht abgerufen werden
Fehler kann nicht auf HOST-SPN getestet werden
Fehler kann nicht auf HOST-SPN getestet werden
* Fehlender SPN :(null)
* Fehlender SPN :(null)
......................... SERVERNAME– Test "MachineAccount" fehlgeschlagen
Test wird gestartet: Dienste
Remote-IPC für [SERVERNAME]:Fehler mit 1240: Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden.
......................... SERVERNAME– Testdienste fehlgeschlagen
Test wird gestartet: ObjectsReplicated
......................... SERVERNAME bestandener Test ObjectsReplicated
Test wird gestartet: frssysvol
[SERVERNAME] Ein Net Use- oder LsaPolicy-Vorgang ist mit dem Fehler 1240 fehlgeschlagen. Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden.
......................... FEHLER BEI SERVERNAME– Test frssysvol
Test wird gestartet: frsevent
......................... SERVERNAME– test frsevent fehlgeschlagen
Test wird gestartet: kccevent
Fehler beim Aufzählen von Ereignisprotokolldatensätzen. Fehler: Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden. ......................... SERVERNAME – Test kccevent fehlgeschlagen
Test wird gestartet: systemlog
Fehler beim Aufzählen von Ereignisprotokolldatensätzen. Fehler: Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden. ......................... SERVERNAME– Testsystemprotokoll fehlgeschlagen