U kunt geen bestandsshares openen of modules groepsbeleid op een domeincontroller

  • Artikel

In dit artikel wordt beschreven hoe u een probleem oplost dat optreedt wanneer SMB-ondertekening is uitgeschakeld voor de werkstation- of serverservice op een domeincontroller.

Van toepassing op: Windows Server 2003
Origineel KB-nummer: 839499

Samenvatting

U kunt geen bestandsshares of de groepsbeleid modules openen op een Windows Server 2003-domeincontroller of op een Windows 2000 Server-domeincontroller. Wanneer u zich lokaal aanmeldt bij de domeincontroller en vervolgens shares probeert te openen op de domeincontroller, ontvangt u herhaalde wachtwoordprompts en kunt u de shares niet openen. U kunt dit probleem oplossen door het register te wijzigen.

Waarschuwing

Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Het wijzigen van het register is op eigen risico.

Symptomen

Scenario 1: SMB-ondertekening (Server Message Block) is uitgeschakeld voor de Workstation-service op een domeincontroller, maar SMB-ondertekening is vereist voor de serverservice op dezelfde domeincontroller

Windows Server 2003

Wanneer u groepsbeleid-modules op de domeincontroller probeert te openen, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

U bent niet gemachtigd om deze bewerking uit te voeren. De toegang wordt geweigerd.

De domeincontroller registreert de volgende gebeurtenissen elke vijf minuten in het toepassingslogboek:

Windows 2000 Server

Wanneer u groepsbeleid-modules op de domeincontroller probeert te openen, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

U bent niet gemachtigd om deze bewerking uit te voeren.

De toegang wordt geweigerd. De domeincontroller registreert de volgende gebeurtenis in het gebeurtenislogboek van de toepassing:

Wanneer u zich lokaal aanmeldt bij de domeincontroller en vervolgens shares probeert te openen op de domeincontroller, ontvangt u herhaalde wachtwoordprompts en kunt u de shares niet openen.

Scenario 2: SMB-ondertekening is uitgeschakeld voor de Server-service op een domeincontroller, maar SMB-ondertekening is vereist voor de Workstation-service op dezelfde domeincontroller

Windows Server 2003

Kan het groepsbeleid-object niet openen. Mogelijk hebt u niet de juiste rechten.

Het account is niet gemachtigd om in te loggen vanaf dit station.

Als in een netwerktracering SMB-ondertekening is ingeschakeld en vereist op de client en is uitgeschakeld op de server, wordt de verbinding met de TCP-sessie na dialectonderhandelingen correct gesloten en ontvangt de client de volgende fout:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

De domeincontroller registreert de volgende gebeurtenissen elke vijf minuten in het toepassingslogboek: wanneer u zich lokaal aanmeldt bij de domeincontroller en vervolgens probeert bestandsshares op de domeincontroller te openen, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

\\Servernaam\Share_Name is niet toegankelijk. Mogelijk bent u niet gemachtigd om deze netwerkresource te gebruiken. Neem contact op met de beheerder van deze server om na te gaan of u toegangsmachtigingen heeft.

Het account is niet gemachtigd om in te loggen vanaf dit station.

Opmerking

Als in een netwerktracering SMB-ondertekening is ingeschakeld en als SMB-ondertekening is vereist bij de client en is uitgeschakeld op de server, wordt de verbinding met de TCP-sessie na de dialectonderhandeling correct gesloten. De client ontvangt ook het volgende foutbericht: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Wanneer u groepsbeleid-modules op de domeincontroller probeert te openen, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

Kan het groepsbeleid-object niet openen. Mogelijk hebt u niet de juiste rechten.

Het account is niet gemachtigd om in te loggen vanaf dit station.

De domeincontroller registreert de volgende gebeurtenis in het gebeurtenislogboek van de toepassing: wanneer u zich lokaal aanmeldt bij de domeincontroller en vervolgens probeert bestandsshares op de domeincontroller te openen, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

\\Servernaam\Share_Name is niet toegankelijk.

Het account is niet gemachtigd om in te loggen vanaf dit station.

Opmerking

Als in een netwerktracering SMB-ondertekening is ingeschakeld en als SMB-ondertekening is vereist bij de client en is uitgeschakeld op de server, wordt de verbinding met de TCP-sessie na de dialectonderhandeling correct gesloten. De client ontvangt ook het volgende foutbericht: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Oplossing

Voer de volgende stappen uit om dit gedrag op te lossen:

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up van het register maken en herstellen in Windows XP voor meer informatie over het maken van een back-up van het register en het herstellen van het register.

Stap 1: het register wijzigen

Wijzig de waarde van de registervermelding enablesecuritysignature. Ga hiervoor als volgt te werk:

  1. Klik op de domeincontroller op Start en klik vervolgens op Uitvoeren.

  2. Kopieer en plak (of typ) de opdracht regedit in het vak Openen en druk op Enter.

    Schermopname van het venster Uitvoeren met regedit getypt in het vak Openen.

  3. Zoek en klik op de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Dubbelklik in het rechterdeelvenster op enablesecuritysignature, typ 1 in het vak Waardegegevens en klik vervolgens op OK.

  5. Dubbelklik op requiresecuritysignature, typ 1 in het vak Waardegegevens en klik vervolgens op OK.

  6. Zoek en klik op de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Dubbelklik in het rechterdeelvenster op enablesecuritysignature, typ 1 in het vak Waardegegevens en klik vervolgens op OK.

  8. Dubbelklik op requiresecuritysignature, typ 0 in het vak Waardegegevens en klik vervolgens op OK.

Stap 2: start de serverservice en de werkstationservice opnieuw nadat u de registerwaarden hebt gewijzigd, de serverservice en de werkstationservice opnieuw.

Belangrijk

Start de domeincontroller niet opnieuw op, omdat deze actie ertoe kan leiden dat groepsbeleid de registerwaarden weer wijzigt in de eerdere waarden.

Voer de volgende stappen uit om de Server-service en de Workstation-service opnieuw te starten:

  1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Services.

  2. Klik met de rechtermuisknop op Server en klik vervolgens op Opnieuw opstarten.

    Schermopname van het venster Services met Server geselecteerd en een menu met Opnieuw opstarten geselecteerd.

  3. Klik met de rechtermuisknop op Werkstation en klik vervolgens op Opnieuw opstarten.

Opmerking

Als u wordt gevraagd andere services opnieuw te starten, klikt u op Ja.

Stap 3: De Sysvol-share bijwerken

Werk de Sysvol-share van de domeincontroller bij. Ga hiervoor als volgt te werk:

  1. Open de Sysvol-share van de domeincontroller. Klik hiervoor op Start, klik op Uitvoeren, typ \\Server_Name\Sysvol in het vak Openen en druk op Enter.
  2. Als de Sysvol-share niet wordt geopend, herhaalt u stap 1 : het register wijzigen en stap 2: start u de server- en werkstationservices opnieuw op.
  3. Herhaal stap 1: wijzig het register en stap 2: start de server- en werkstationservices opnieuw op elke betrokken domeincontroller om ervoor te zorgen dat elke domeincontroller toegang heeft tot een eigen Sysvol-share.

Stap 4: de SMB-beleidsinstellingen instellen

Nadat u verbinding hebt gemaakt met de Sysvol-share op elke domeincontroller, opent u de module Domeincontrollerbeveiligingsbeleid en stelt u vervolgens de instellingen voor het SMB-ondertekeningsbeleid in. Ga hiervoor als volgt te werk:

  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik vervolgens op Beveiligingsbeleid voor domeincontrollers.

  2. Vouw in het linkerdeelvenster Lokaal beleid uit en klik vervolgens op Beveiligingsopties.

  3. Dubbelklik in het rechterdeelvenster op Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd).

    Opmerking

    In Windows 2000 Server is de equivalente beleidsinstelling Servercommunicatie digitaal ondertekenen (altijd).

    Belangrijk

    Als u clientcomputers in het netwerk hebt die geen ondersteuning bieden voor SMB-ondertekening, moet u de beleidsinstelling Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) niet inschakelen. Als u deze instelling inschakelt, moet u SMB-ondertekening hebben voor alle clientcommunicatie en clientcomputers die geen ondersteuning bieden voor SMB-ondertekening, kunnen geen verbinding maken met andere computers. Clients met Apple Macintosh OS X of Microsoft Windows 95 bieden bijvoorbeeld geen ondersteuning voor SMB-ondertekening. Als uw netwerk clients bevat die geen ondersteuning bieden voor SMB-ondertekening, stelt u dit beleid in op Uitgeschakeld.

    Schermopname van het venster Standaardbeveiligingsinstellingen voor domeincontroller met Beveiligingsopties geselecteerd.

  4. Klik om het selectievakje Deze beleidsinstelling definiëren in te schakelen, klik op Ingeschakeld en klik vervolgens op OK.

    Schermopname van het microsoft-netwerkservervenster met de instelling Deze beleidsinstelling definiëren geselecteerd en ingeschakeld.

  5. Dubbelklik op Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client hiermee akkoord gaat).

    Opmerking

    Voor Windows 2000 Server is de equivalente beleidsinstelling Servercommunicatie digitaal ondertekenen (indien mogelijk).

  6. Schakel het selectievakje Deze beleidsinstelling definiëren in en klik vervolgens op Ingeschakeld.

  7. Klik op OK.

  8. Dubbelklik op Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd).

  9. Schakel het selectievakje Deze beleidsinstelling definiëren uit en klik vervolgens op OK.

    Schermopname van het microsoft-netwerkservervenster met het selectievakje Deze beleidsinstelling definiëren uitgeschakeld.

  10. Dubbelklik op Microsoft-netwerkclient: Communicatie digitaal ondertekenen (als de server hiermee akkoord gaat).

  11. Schakel het selectievakje Deze beleidsinstelling definiëren uit en klik vervolgens op OK.

Stap 5: het hulpprogramma groepsbeleid Bijwerken uitvoeren

Voer het hulpprogramma groepsbeleid Update (Gpupdate.exe) uit met de force-schakelaar. Ga hiervoor als volgt te werk:

  1. Klik op Start en vervolgens op Uitvoeren.

  2. Kopieer en plak (of typ) de opdracht cmd in het vak Openen en druk op Enter.

    Schermopname van het venster Uitvoeren met cmd getypt in het vak Openen.

  3. Typ gpupdate /force bij de opdrachtprompt en druk vervolgens op Enter.

    Opmerking

    Het hulpprogramma groepsbeleid Update bestaat niet in Windows 2000 Server. In Windows 2000 Server is secedit /refreshpolicy machine_policy /enforcede equivalente opdracht .

Stap 6: het toepassingsgebeurtenislogboek controleren

Nadat u het hulpprogramma groepsbeleid Update hebt uitgevoerd, controleert u het gebeurtenislogboek van de toepassing om ervoor te zorgen dat de groepsbeleid-instellingen zijn bijgewerkt. Na een geslaagde groepsbeleid update registreert de domeincontroller gebeurtenis-id 1704. Voer de volgende stappen uit om het toepassingslogboek in Logboeken te openen:

  1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Logboeken.

  2. Klik in het linkerdeelvenster op Toepassing.

    Schermopname van het Logboeken venster met Toepassing geselecteerd.

  3. Dubbelklik op gebeurtenis-id 1704 en controleer of de instelling groepsbeleid is toegepast.

    Opmerking

    De bron van de gebeurtenis is SceCli.

    Schermopname van de gebeurtenis-venster Eigenschappen voor gebeurtenis-id 1704.

Stap 7: de registerwaarden controleren

Controleer de registerwaarden die u hebt gewijzigd in Stap 1: wijzig het register om ervoor te zorgen dat de registerwaarden niet zijn gewijzigd.

Opmerking

Deze stap zorgt ervoor dat een conflicterende beleidsinstelling niet wordt toegepast op een ander niveau van een groep of organisatie-eenheid (OE). Als de Microsoft-netwerkclient: Communicatie digitaal ondertekenen (als de server hiermee akkoord gaat) bijvoorbeeld is geconfigureerd als 'Niet gedefinieerd' in beveiligingsbeleid voor domeincontrollers, maar dit beleid is geconfigureerd als uitgeschakeld in Domeinbeveiligingsbeleid, wordt SMB-ondertekening uitgeschakeld voor de Workstation-service.

Stap 8: controleer de instellingen van het SMB-handtekeningbeleid met behulp van de module Resultant Set of Policy (RSoP)

Als de registerwaarden zijn gewijzigd nadat u het hulpprogramma groepsbeleid Bijwerken hebt uitgevoerd, controleert u de beleidsinstellingen voor SMB-ondertekening met behulp van de RSoP-module in Windows Server 2003. Ga hiervoor als volgt te werk:

  1. Klik op Start, klik op Uitvoeren, typ rsop.msc in het vak Openen en klik vervolgens op OK.

    Schermopname van het venster Uitvoeren met rsop.msc getypt in het vak Openen.

  2. In de RSoP-module bevinden de instellingen voor SMB-ondertekening zich in het volgende pad: Computerconfiguratie/Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties

    Opmerking

    Als u Windows 2000 Server gebruikt, installeert u het hulpprogramma groepsbeleid Update vanuit de Windows 2000 Server Resource Kit en typt u het volgende bij de opdrachtprompt:gpresult /scope computer /v

  3. Nadat u deze opdracht hebt uitgevoerd, wordt de lijst Toegepaste groepsbeleid objecten weergegeven. In deze lijst worden alle groepsbeleid objecten weergegeven die zijn toegepast op het computeraccount. Controleer de instellingen voor het SMB-ondertekeningsbeleid voor al deze groepsbeleid-objecten.

Aanvullende bronnen

Dit gedrag treedt op als de instellingen voor SMB-ondertekening voor de Workstation-service en voor de Server-service elkaar tegenspreken. Wanneer u de domeincontroller op deze manier configureert, kan de Workstation-service op de domeincontroller geen verbinding maken met de Sysvol-share van de domeincontroller. Daarom kunt u groepsbeleid modules niet starten. Als SMB-ondertekeningsbeleid wordt ingesteld door het standaardbeveiligingsbeleid voor domeincontrollers, is het probleem ook van invloed op alle domeincontrollers in het netwerk. Daarom mislukt groepsbeleid replicatie in de Active Directory-adreslijstservice en kunt u groepsbeleid niet bewerken om deze instellingen ongedaan te maken.

Scenario 1: als u het diagnostische hulpprogramma voor domeincontrollers (DcDiag.exe) uitvoert, ontvangt u fouten die vergelijkbaar zijn met de volgende voor Windows 2000 Server en Voor Windows Server 2003

Test starten: MachineAccount
Kan de pijp niet openen met [SERVERNAME]:failed with 5: Access is denied.
Kan NetBIOSDomainName niet ophalen
Mislukt kan niet testen op HOST SPN
Mislukt kan niet testen op HOST SPN
* Ontbrekende SPN :(null)
* Ontbrekende SPN :(null)
......................... SERVERNAME mislukte testmachineAccount
Test starten: Services
Kan remote ipc niet openen naar [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME mislukte testservices
Test starten: ObjectenGerepliceerd
......................... SERVERNAME geslaagd voor testobjectenReplicated
Test starten: frssysvol
[SERVERNAAM] Een net use- of LsaPolicy-bewerking is mislukt met fout 5, Toegang wordt geweigerd..
......................... SERVERNAME mislukte test frssysvol
Test starten: frsevent
......................... SERVERNAME mislukte test frsevent
Test starten: kccevent
Kan records voor gebeurtenislogboeken niet opsommen. De fout Toegang wordt geweigerd.
......................... SERVERNAME test kccevent mislukt
Test starten: systemlog
Kan records voor gebeurtenislogboeken niet opsommen. De fout Toegang wordt geweigerd.
......................... SERVERNAME testsysteemlogboek mislukt

Scenario 2: als u het diagnostische hulpprogramma voor de domeincontroller uitvoert, ontvangt u fouten die vergelijkbaar zijn met de volgende voor Windows 2000 Server en Voor Windows Server 2003

Testserver: Default-First-Site-Name\SERVERNAME
Test starten: Replicaties
......................... SERVERNAME geslaagd voor testreplicaties
Test starten: NCSecDesc
......................... SERVERNAME geslaagd voor test NCSecDesc
Test starten: NetLogons
[SERVERNAAM] Een net use- of LsaPolicy-bewerking is mislukt met fout 1240. Het account is niet gemachtigd om zich aan te melden vanaf dit station.
......................... NetLogons testen met SERVERNAME mislukt
Test starten: Reclame
......................... SERVERNAME geslaagd voor testadvertenties
Test starten: KnowsOfRoleHolders
......................... SERVERNAME geslaagd voor test KnowsOfRoleHolders
Test starten: RidManager
......................... SERVERNAME geslaagd voor test RidManager
Test starten: MachineAccount
Kan de pijp niet openen met [SERVERNAME]:failed with 1240: The account is not authorized to login from this station.
Kan NetBIOSDomainName niet ophalen
Mislukt kan niet testen op HOST SPN
Mislukt kan niet testen op HOST SPN
* Ontbrekende SPN :(null)
* Ontbrekende SPN :(null)
......................... SERVERNAME mislukte testmachineAccount
Test starten: Services
Kan remote ipc niet openen naar [SERVERNAME]:failed with 1240: The account is not authorized to login from this station.
......................... SERVERNAME mislukte testservices
Test starten: ObjectenGerepliceerd
......................... SERVERNAME geslaagd voor testobjectenReplicated
Test starten: frssysvol
[SERVERNAAM] Een net use- of LsaPolicy-bewerking is mislukt met fout 1240. Het account is niet gemachtigd om zich aan te melden vanaf dit station.
......................... SERVERNAME mislukte test frssysvol
Test starten: frsevent
......................... SERVERNAME mislukte test frsevent
Test starten: kccevent
Kan gebeurtenislogboekrecords niet opsommen, fout Het account is niet gemachtigd om zich aan te melden vanaf dit station. ......................... SERVERNAME test kccevent mislukt
Test starten: systemlog
Kan gebeurtenislogboekrecords niet opsommen, fout Het account is niet gemachtigd om zich aan te melden vanaf dit station. ......................... SERVERNAME testsysteemlogboek mislukt