U openen bestandsshares of Groepsbeleid-modules niet wanneer u de service Workstation of Server op een domeincontroller voor ondertekenen van SMB uitschakelen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 839499 - Bekijk de producten waarop dit artikel van toepassing is.
Als u een Small Business-klant bent, gaat u naar de site Support for Small Business voor aanvullende probleemoplossing en leerbronnen.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Dit artikel wordt beschreven hoe u de volgende twee scenario probleem's die in Microsoft Windows Server 2003 of Microsoft Windows 2000 Server optreden kunnen kunt oplossen:
  • Server message block (SMB) ondertekenen is uitgeschakeld voor de Workstation-service op een domeincontroller, maar de SMB-ondertekening is vereist voor de Server-service op dezelfde domeincontroller.
  • SMB-ondertekening is uitgeschakeld voor de Server-service op een domeincontroller, maar de SMB-ondertekening is vereist voor de Workstation-service op dezelfde domeincontroller.

Symptomen

Scenario 1 - ondertekenen van SMB is uitgeschakeld voor de Workstation-service op een domeincontroller, maar SMB-ondertekening is vereist voor de Server-service op dezelfde domeincontroller.

Windows Server 2003

Wanneer u Groepsbeleid-modules op de domeincontroller te openen, wordt een foutbericht van de volgende strekking:
U bent niet gemachtigd om deze bewerking.

Toegang is geweigerd.
De server registreert de volgende gebeurtenissen in het toepassingslogboek in vijf minuten:
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Gebeurtenis-ID: 1058
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Geen toegang tot het bestand gpt.ini voor groepsbeleidsobject CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =DomeinnaamDC = com. Het bestand moet aanwezig zijn op de locatie<>Domeinnaam.com\sysvol\Domeinnaam.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Toegang is geweigerd). Verwerking van groepsbeleid afgebroken.
Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Gebeurtenis-ID: 1030
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Windows kan de lijst met groepsbeleidsobjecten niet opvragen. Controleer het gebeurtenislogboek voor mogelijke berichten die eerder door het beleidsprogramma de reden voor dit logboek. Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.


Wanneer u zich aanmeldt bij de lokale server en probeer shares op de server openen, ontvangt u herhaalde wachtwoord wordt gevraagd en u de shares niet openen.

Windows 2000 Server

Wanneer u Groepsbeleid-modules op de domeincontroller te openen, wordt een foutbericht van de volgende strekking:
U bent niet gemachtigd om deze bewerking.

Toegang is geweigerd.
De domeincontroller registreert de volgende gebeurtenis in het logboek voor toepassingsgebeurtenissen:
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Tijd: 4:07:30 PM
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Windows kan geen toegang tot de registergegevens op \\Domeinnaam.com\sysvol\Domeinnaam.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (5).
Wanneer u zich aanmeldt bij de lokale server en probeer shares op de server openen, ontvangt u herhaalde wachtwoord wordt gevraagd en u de shares niet openen.

Scenario 2 - ondertekenen van SMB is uitgeschakeld voor de Server-service op een domeincontroller, maar SMB-ondertekening is vereist voor de Workstation-service op dezelfde domeincontroller.

Windows Server 2003

Wanneer u Groepsbeleid-modules op de domeincontroller te openen, wordt een foutbericht van de volgende strekking:
Kan het groepsbeleidsobject te openen. U hebt niet de juiste rechten.

De account mag zich niet aanmelden vanaf dit station.
In een netwerk-trace als SMB-ondertekening is ingeschakeld en op de client vereist en is uitgeschakeld op de server de verbinding met de TCP-sessie probleemloos gesloten na de onderhandeling Dialect en de client ontvangt de volgende fout:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
De domeincontroller registreert de volgende gebeurtenissen in het toepassingslogboek vijf minuten:
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Gebeurtenis-ID: 1058
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Geen toegang tot het bestand gpt.ini voor groepsbeleidsobject CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =DomeinnaamDC = com. Het bestand moet aanwezig zijn op de locatie<>domeinnaam.com\sysvol\Domeinnaam.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Het netwerkpad niet vinden.) Verwerking van groepsbeleid afgebroken. Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Gebeurtenis-ID: 1030
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Windows kan de lijst met groepsbeleidsobjecten niet opvragen. Controleer het gebeurtenislogboek voor mogelijke berichten die eerder door het beleidsprogramma de reden voor dit logboek. Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.


Wanneer u lokaal bij de server aanmelden en vervolgens probeert te openen bestandsshares op de server, wordt een foutbericht van de volgende strekking:
\\Servernaam\Sharenaamis niet toegankelijk. U bent mogelijk niet gemachtigd om deze netwerkbron. Neem contact op met de beheerder van deze server als u toegangsmachtigingen hebt.

De account mag zich niet aanmelden vanaf dit station.


OpmerkingIn een netwerk-trace is als SMB-ondertekening is ingeschakeld en SMB-ondertekening is vereist op de client en op de server uitgeschakeld TCP-sessie de verbinding probleemloos gesloten na de onderhandeling dialect. De client ontvangt ook het volgende foutbericht weergegeven:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Wanneer u Groepsbeleid-modules op de domeincontroller te openen, wordt een foutbericht van de volgende strekking:
Kan het groepsbeleidsobject te openen. U hebt niet de juiste rechten.

De account mag zich niet aanmelden vanaf dit station.
De domeincontroller registreert de volgende gebeurtenis in het logboek voor toepassingsgebeurtenissen vijf minuten:
Gebeurtenistype: fout
Bron: Userenv
Categorie: geen
Gebeurtenis-ID: 1000
Gebruiker: NT AUTHORITY\SYSTEM
Beschrijving:
Windows kan geen toegang tot de registergegevens op \\Domeinnaam.com\sysvol\Domeinnaam.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol met (1240).
Wanneer u lokaal bij de server aanmelden en vervolgens probeert te openen bestandsshares op de server, wordt een foutbericht van de volgende strekking:
\\Servernaam\Sharenaamis niet toegankelijk.

De account mag zich niet aanmelden vanaf dit station.


OpmerkingIn een netwerk-trace is als SMB-ondertekening is ingeschakeld en SMB-ondertekening is vereist op de client en op de server uitgeschakeld TCP-sessie de verbinding probleemloos gesloten na de onderhandeling dialect. De client ontvangt ook het volgende foutbericht weergegeven:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Oorzaak

Dit probleem treedt op als de SMB-ondertekening instellingen voor de Workstation-service en de service Server oplegt. Wanneer u de domeincontroller op deze manier configureert, is de Workstation-service op de domeincontroller geen verbinding met de Sysvol-share van de domeincontroller. U kunt Groepsbeleid-modules daarom niet starten. Als SMB-ondertekening beleid zijn ingesteld door de beveiliging standaarddomeincontrollerbeleid, geldt het probleem de domeincontrollers op het netwerk. Daarom Groepsbeleid in de Active Directory-replicatie mislukt en u kan niet ongedaan maken van deze instellingen voor Groepsbeleid te bewerken.

Oplossing

Dit probleem oplossen door de volgende stappen uit.

BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigen voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over back-up en terugzetten van het register:
322756Back-up en terugzetten van het register in Windows
  1. Klik op de domeincontrollerStart, klik opUitvoeren, typRegedit, en klik vervolgens opOK.
  2. Zoek en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Dubbelklik in het rechterdeelvenster openablesecuritysignature, typ1in deWaardegegevensvak en klik vervolgens opOK.
  4. Dubbelklik opRequireSecuritySignature, typ1in deWaardegegevensvak en klik vervolgens opOK.
  5. Zoek en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  6. Dubbelklik in het rechterdeelvenster openablesecuritysignature, typ1in deWaardegegevensvak en klik vervolgens opOK.
  7. Dubbelklik opRequireSecuritySignature, typ0in deWaardegegevensvak en klik vervolgens opOK.
  8. Nadat u deze registerwaarden wijzigt, Server en Workstation services opnieuw starten. De domeincontroller niet opnieuw omdat deze actie de registerwaarden wijzigen in de eerdere waarden Groepsbeleid kan veroorzaken.
  9. Open de Sysvol-share van de domeincontroller. Klik hiertoe opStart, klik opUitvoeren, typ\\Servernaam\SysVol, en druk op ENTER. Herhaal stap 1 tot en met 8 als de Sysvol-share niet wordt geopend.
  10. Herhaal stap 1 tot en met 9 voor elke domeincontroller getroffen om ervoor te zorgen dat elke domeincontroller toegang de eigen Sysvol-share tot.
  11. Nadat u verbinding met de share Sysvol op elke domeincontroller, open de module voor beveiligingsbeleid voor domeincontroller en configureert u de beleidsinstellingen voor ondertekenen van SMB. U doet dit als volgt:
    1. Klik opStart, wijsProgramma 's, wijsSysteembeheer, en klik vervolgens opBeveiligingsbeleid voor domeincontroller.
    2. Vouw in het linkerdeelvensterLokaal beleid, en klik vervolgens opBeveiligingsopties.
    3. Dubbelklik in het rechterdeelvenster opMicrosoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd).

      OpmerkingIn Windows 2000 Server is de equivalente instellingDigitally sign server communication (altijd).

      BelangrijkAls u clientcomputers op het netwerk die SMB-ondertekening niet ondersteunen, moet u niet inschakelen deMicrosoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)instelling. Als u deze instelling inschakelt, u vereist dat SMB-ondertekening voor alle clientcommunicatie van en client-computers geen SMB-ondertekening ondersteunen niet zal kunnen verbinding maken met andere computers. Clients waarop Apple Macintosh OS X of Microsoft Windows 95 ondersteunen bijvoorbeeld geen SMB-ondertekening. Als uw netwerk clients ondersteunen SMB-ondertekening niet bevat, moet u dit beleid ingesteld op uitgeschakeld.
    4. Selecteer deDeze instelling definiërenhet selectievakje, klikt u opIngeschakeld, en klik vervolgens opOK.
    5. Dubbelklik opMicrosoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk).

      OpmerkingDe equivalente instelling is voor Windows 2000 ServerDigitally sign server communication (indien mogelijk).
    6. Selecteer deDeze instelling definiërenen klik vervolgens opIngeschakeld.
    7. Klik opOK.
    8. Dubbelklik opMicrosoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd).
    9. Schakel deDeze instelling definiërenen klik vervolgens opOK.
    10. Dubbelklik opMicrosoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk server).
    11. Schakel deDeze instelling definiërenen klik vervolgens opOK.
  12. Het hulpprogramma voor bijwerken van Groepsbeleid (Gpupdate.exe) uitgevoerd met deinwerkingtredingschakelen. U doet dit als volgt:
    1. Klik opStart, klik opUitvoeren, typcmd, en klik vervolgens opOK.
    2. Typ bij de opdrachtpromptgpupdate/force, en druk op ENTER.
    Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het hulpprogramma voor het bijwerken van Groepsbeleid:
    298444Beschrijving van het hulpprogramma voor het bijwerken van Groepsbeleid
    OpmerkingHet hulpprogramma voor het bijwerken van Groepsbeleid bestaat in Windows 2000 Server niet. In Windows 2000 is de equivalente opdrachtsecedit/refreshpolicy machine_policy / enforce.

    Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de opdracht Secedit in Windows 2000:
    227302SECEDIT gebruiken onmiddellijk vernieuwen van groepsbeleid forceren
  13. Controleer het logboek voor toepassingsgebeurtenissen om ervoor te zorgen dat de groepsbeleidsinstellingen zijn bijgewerkt na het uitvoeren van het hulpprogramma voor het bijwerken van Groepsbeleid. Na een geslaagde Groepsbeleid bijwerken meldt de domeincontroller gebeurtenis-ID 1704. Deze gebeurtenis wordt weergegeven in het toepassingslogboek in Logboeken. De bron van de gebeurtenis is SceCli.
  14. Controleer de registerwaarden die u hebt gewijzigd in stap 1 tot en met 7 om de registerwaarden zijn niet gewijzigd.

    OpmerkingDeze stap zorgt u er conflicterende instelling wordt niet toegepast op een andere groep of organisatie-eenheid (OU) niveau. Bijvoorbeeld als deMicrosoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk server)beleid is geconfigureerd als 'Niet gedefinieerd' in het beveiligingsbeleid voor domeincontroller, maar deze hetzelfde beleid wordt geconfigureerd in het beveiligingsbeleid voor domein uitgeschakeld, SMB-ondertekening uitschakelen voor de Workstation-service.
  15. Als de registerwaarden hebt gewijzigd nadat u het hulpprogramma voor het bijwerken van groepsbeleid uitvoeren, opent u de module Resulterende verzameling beleidsregels (RSoP) in Windows Server 2003. U start de module RSoPStart, klik opUitvoeren, typRSoP.mscin deOpenvak en klik vervolgens opOK.

    De instellingen voor het ondertekenen van SMB bevinden zich in de module RSoP in het volgende pad:
    Computerconfiguratie/Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties
    OpmerkingAls u Windows 2000 Server, het hulpprogramma voor het bijwerken van Groepsbeleid van Windows 2000 Resource Kit installeren en typ het volgende achter de opdracht:
    gpresult/scope computer /v
    Nadat u deze opdracht uitvoert deToegepaste groepsbeleidsobjectenEr wordt een lijst weergegeven. Deze lijst toont alle groepsbeleidsobjecten die worden toegepast op de account. Controleer de instellingen voor deze Groepsbeleid objecten ondertekenen van SMB.

Meer informatie

Als u het diagnostisch hulpprogramma voor domeincontrollers (DcDiag.exe) in scenario 1, wordt de fouten die vergelijkbaar met Windows 2000 en Windows Server 2003 zijn:
Test starten: MachineAccount
Pipe met [servernaam] kan niet worden geopend: mislukt met 5: toegang geweigerd.
Kan NetBIOSDomainName niet ophalen
Kan geen HOST SPN kan testen
Kan geen HOST SPN kan testen
* Ontbrekende SPN: (null)
* Ontbrekende SPN: (null)
......................... SERVERNAAM mislukte test MachineAccount
Test starten: Services
Externe ipc naar [servernaam] kan niet worden geopend: mislukt met 5: toegang geweigerd.
......................... SERVERNAAM mislukte test Services
Test starten: ObjectsReplicated
......................... SERVERNAAM doorgegeven test ObjectsReplicated
Test starten: frssysvol
[SERVERNAAM] Een net use of LsaPolicy bewerking mislukt met fout 5 toegang geweigerd...
......................... SERVERNAAM frssysvol test is mislukt
Test starten: frsevent
......................... SERVERNAAM frsevent test is mislukt
Test starten: kccevent
Fout bij het inventariseren van gebeurtenislogboekrecords fout toegang geweigerd.
......................... SERVERNAAM kccevent test is mislukt
Test starten: systemlog
Fout bij het inventariseren van gebeurtenislogboekrecords fout toegang geweigerd.
......................... SERVERNAAM systemlog test is mislukt
Als u het diagnostisch hulpprogramma voor domeincontrollers in scenario 2 uitvoert, wordt de fouten die vergelijkbaar met Windows 2000 en Windows Server 2003 zijn:
Testserver: standaard-eerste-Site-Name\SERVERNAME
Test starten: replicaties
......................... SERVERNAAM doorgegeven test replicaties
Test starten: NCSecDesc
......................... SERVERNAAM doorgegeven test NCSecDesc
Test starten: NetLogons
[SERVERNAAM] Een net use of LsaPolicy mislukt met fout 1240, de account mag zich niet aanmelden vanaf dit station...
......................... SERVERNAAM mislukte test NetLogons
Test starten: reclame
......................... SERVERNAAM doorgegeven reclame testen
Test starten: KnowsOfRoleHolders
......................... SERVERNAAM doorgegeven test KnowsOfRoleHolders
Test starten: RidManager
......................... SERVERNAAM doorgegeven test RidManager
Test starten: MachineAccount
Pipe met [servernaam] kan niet worden geopend: 1240 is mislukt: de account mag zich niet aanmelden vanaf dit station.
Kan NetBIOSDomainName niet ophalen
Kan geen HOST SPN kan testen
Kan geen HOST SPN kan testen
* Ontbrekende SPN: (null)
* Ontbrekende SPN: (null)
......................... SERVERNAAM mislukte test MachineAccount
Test starten: Services
Externe ipc naar [servernaam] kan niet worden geopend: 1240 is mislukt: de account mag zich niet aanmelden vanaf dit station.
......................... SERVERNAAM mislukte test Services
Test starten: ObjectsReplicated
......................... SERVERNAAM doorgegeven test ObjectsReplicated
Test starten: frssysvol
[SERVERNAAM] Een net use of LsaPolicy mislukt met fout 1240, de account mag zich niet aanmelden vanaf dit station...
......................... SERVERNAAM frssysvol test is mislukt
Test starten: frsevent
......................... SERVERNAAM frsevent test is mislukt
Test starten: kccevent
Gebeurtenislogboekrecords inventariseren mislukt, fout de account mag niet aanmelden vanaf dit station. ......................... SERVERNAAM kccevent test is mislukt
Test starten: systemlog
Gebeurtenislogboekrecords inventariseren mislukt, fout de account mag niet aanmelden vanaf dit station. ......................... SERVERNAAM systemlog test is mislukt


De producten die beschreven worden geproduceerd door bedrijven die onafhankelijk van Microsoft zijn. Microsoft biedt geen garantie, impliciet noch anderszins, omtrent de prestaties of betrouwbaarheid van deze producten.
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 839499 - Laatste beoordeling: woensdag 17 april 2013 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows® 2000 Server
Trefwoorden: 
kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbmt KB839499 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 839499

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com