При отключении подписывания SMB для служб рабочей группы или сервера на контроллере домена не удается открыть общие файлы или оснастки групповой политики

Переводы статьи Переводы статьи
Код статьи: 839499 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание!. Эта статья содержит сведения об изменении реестра. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Для получения дополнительных сведений о создании резервной копии, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описывается выход из двух ситуаций, которые могут возникнуть в Microsoft Windows Server 2003 или Microsoft Windows 2000 Server:
  • Подписывание блоков сообщений сервера (SMB) отключено для службы рабочей группы контроллера домена, но подписывание SMB требуется для работы службы сервера того же контроллера.
  • Подписывание блоков сообщений сервера (SMB) отключено для службы сервера контроллера домена, но подписывание SMB требуется для работы службы рабочей группы того же контроллера.

Проблема

Ситуация 1 - Подписывание SMB отключено для службы рабочей группы контроллера домена, но требуется для работы службы сервера того же контроллера.

Windows Server 2003

При попытке открыть оснастки групповой политики на контроллере домена появляется сообщение об ошибке:
Отсутствует разрешение на выполнение данной операции.

Отказано в доступе.
Каждые пять минут сервер регистрирует в журнале событий приложений сообщения о следующих событиях.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Windows не удалось получить доступ к файлу gpt.ini для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Имя_Домена,DC=com. Этот файл должен находиться по адресу <\\домен.com\sysvol\домен.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Отказано в доступе.) Обработка групповой политики прекращена.
Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Не удалось запросить данный список объектов групповой политики. Проверьте наличие в журнале событий сообщений, зарегистрированных модулем политик и содержащих описание причины этой ошибки. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.


При локальном входе на сервер и попытке открыть файлы общего доступа, находящиеся на сервере, появляются запросы на ввод пароля и не удается открыть эти файлы.

Windows 2000 Server

При попытке открыть оснастки групповой политики на контроллере домена появляется сообщение об ошибке:
Отсутствует разрешение на выполнение данной операции.

Отказано в доступе.
Контроллер домена регистрирует следующие события в журнале событий приложений:
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Время: 16:07:30
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Не удалось получить доступ к реестру по адресу \\Имя_Домена.com\sysvol\Имя_Домена.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (5).
При локальном входе на сервер и попытке открыть файлы общего доступа, находящиеся на сервере, появляются запросы на ввод пароля и не удается открыть эти файлы.

Ситуация 2 - Подписывание SMB отключено для службы сервера контроллера домена, но требуется для работы службы рабочей группы того же контроллера.

Windows Server 2003

При попытке открыть на контроллере домена оснастки групповой политики появляется сообщение об ошибке:
Не удалось открыть объект групповой политики. Возможно, вы не имеете достаточных прав.

Вход в систему с данной рабочей станции для текущего пользователя запрещен.
Каждые пять минут контроллер домена регистрирует в журнале событий приложений сообщения о следующих событиях:
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Windows не удалось получить доступ к файлу gpt.ini для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Имя_Домена,DC=com. Этот файл должен находиться по адресу <\\Имя_Домена.com\sysvol\Имя_Домена.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не найден сетевой путь) Обработка групповой политики прекращена. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Windows не удалось запросить данный список объектов групповой политики. Проверьте наличие в журнале событий сообщений, зарегистрированных модулем политик и содержащих описание причины этой ошибки. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.


При локальном входе на сервер и попытке открыть файлы общего доступа, находящиеся на сервере, появляется сообщение об ошибке:
\\Имя_Сервера\Имя_Файла недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Свяжитесь с администратором данного сервера и выясните, есть ли у вас разрешение на доступ.

Вход в систему с данной рабочей станции для текущего пользователя запрещен.

Windows 2000 Server

При попытке открыть оснастки групповой политики на контроллере домена появляется сообщение об ошибке:
Не удалось открыть объект групповой политики. Возможно, вы не имеете достаточных прав.

Вход в систему с данной рабочей станции для текущего пользователя запрещен.
Каждые пять минут контроллер домена регистрирует в журнале событий приложений сообщения о следующих событиях:
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Пользователь: NT AUTHORITY\SYSTEM
Описание:
Windows не удалось получить доступ к реестру пр адресу \\Имя_Домена.com\sysvol\Имя_Домена.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (1240).
При локальном входе на сервер и попытке открыть файлы общего доступа, находящиеся на сервере, появляется сообщение об ошибке:
\\Имя_Сервера\Имя_Файла недоступен.

Вход в систему с данной рабочей станции для текущего пользователя запрещен.

Причина

Такие сообщения появляются, если параметры подписывания SMB служб рабочей станции и сервера противоречат друг другу. Если контроллер домена настроен таким образом, служба рабочей станции контроллера не может установить подключение к общей папке Sysvol контроллера домена. Из-за этого не удается запустить оснастки групповых политик. Итак, если политики подписывания SMB установлены политикой безопасности, установленной по умолчанию для данного контроллера домена, проблема затрагивает все контроллеры доменов сети. Из-за этого невозможны репликация групповой политики в службе каталогов Active Directory и внесение изменений в групповую политику для сброса этих параметров.

Решение

Для решения проблемы выполните следующие действия.

Внимание!. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
  1. На контроллере домена в меню Пуск выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters
  3. В правой части окна дважды щелкните параметр enablesecuritysignature, введите в поле Значение число 1 и нажмите кнопку ОК.
  4. Дважды щелкните параметр requiresecuritysignature, введите в поле Значение число 1 и нажмите кнопку ОК.
  5. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  6. В правой части окна дважды щелкните параметр enablesecuritysignature, введите в поле Значение число 1 и нажмите кнопку ОК.
  7. Дважды щелкните параметр requiresecuritysignature, введите в поле Значение число 0 и нажмите кнопку ОК.
  8. После внесения изменений в записи реестра перезапустите службы сервера и рабочей станции. Не перезапускайте контроллер домена, так как при перезапуске служба групповой политики может записать в реестр старые значения.
  9. Откройте общую папку Sysvol контроллера домена. Для этого в меню Пуск выберите пункт Выполнить, введите команду \\Имя_Сервера\Sysvol и нажмите клавишу ВВОД. Если папка Sysvol не открывается, повторите действия 1-8.
  10. Чтобы убедиться, что все контроллеры доменов имеют доступ к своим папкам Sysvol, повторите действия 1-9 на каждом неисправном контроллере домена.
  11. После подсоединения папок Sysvol на всех контроллерах доменов запустите оснастку Политики безопасности контроллера домена и измените параметры политики подписывания SMB. Для этого выполните следующие действия:
    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Политика безопасности контроллера домена.
    2. Разверните узел Локальные политики и выберите Параметры безопасности.
    3. В правой части окна дважды щелкните пункт Сервер сети Microsoft: Использовать цифровую подпись (всегда).

      Примечание.Соответствующий параметр политики в Windows 2000 Server называетсяИспользовать цифровую подпись при обмене данными между серверами (всегда).

      Внимание! Если в сети есть клиенты, не поддерживающие подписывание SMB, не включайте параметр политики Сервер сети Microsoft: Использовать цифровую подпись(всегда). Если этот параметр включен, подписывание SMB будет требоваться для всех соединений между клиентами и клиенты, не поддерживающие подписывание SMB, не смогут подключиться к другим компьютерам. Например, клиенты, на которых установлены ОС Apple Macintosh OS X или Microsoft Windows 95, не поддерживают подписывание SMB. Если в сети есть клиенты, не поддерживающие подписывание SMB, отключите эту политику.
    4. Установите флажок Определить параметр политики, выберитеВключено и нажмите OK.
    5. Дважды щелкните Сервер сети Microsoft: Использовать цифровую подпись (с согласия клиента).

      Примечание.Соответствующий параметр политики в Windows 2000 Server называетсяИспользовать цифровую подпись при обмене данными между серверами (если возможно).
    6. Установите флажок Определить параметр политики и выберите вариант включен.
    7. Нажмите кнопку ОК.
    8. Дважды щелкните пункт Сервер сети Microsoft: Использовать цифровую подпись (всегда).
    9. Сбросьте флажок Определить параметр политики и нажмите OK.
    10. Дважды щелкните поле Клиент сети Microsoft: Использовать цифровую подпись (с согласия сервера).
    11. Сбросьте флажок Определить параметр политики и нажмите OK.
  12. Запустите средство обновления групповой политики (Gpupdate.exe) с ключом force. Для этого выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
    2. В командной строке введите gpupdate /force и нажмите клавишу ВВОД.
    Для получения дополнительных сведений о средстве обновления групповой политики щелкните следующий номер статьи базы знаний Майкрософт:
    298444 Описание средства обновления групповой политики
    Примечание. В Windows 2000 Server нет средства обновления групповой политики. Эквивалентной командой в Windows 2000 является secedit /refreshpolicy machine_policy /enforce.

    Для получения дополнительных сведений о команде Secedit в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
    227302 Использование команды SECEDIT для немедленного обновления групповой политики (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  13. После запуска средства обновления групповой политики проверьте журнал событий приложений и убедитесь, что настройки групповой политики обновились. После обновления групповой политики контроллер домена регистрирует событие 1704. Это событие появляется в просмотрщике событий журнала событий. Источником события является SceCli.
  14. Проверьте параметры реестра, которые были изменены в действиях 1-7, и убедитесь, что параметры реестра не изменились.

    Примечание. Эти действия производятся для того, чтобы убедиться, что на другом уровне групп или подразделений не был установлен параметр, конфликтующий с параметрами, установленными на предыдущих шагах. Например, если политика Клиент сети Microsoft: Использовать цифровые подписи(с согласия сервера) в политике безопасности контроллера домена не определена, но та же политика отключена в политике безопасности домена, подписывание SMB для службы рабочей станции будет отключено.
  15. Если параметры реестра изменились после запуска средства обновления групповой политики, откройте оснастку «Результирующая политика» (RSoP) в Windows Server 2003. Для запуска оснастки RSoP в меню Пуск выберите пункт Выполнить, введите команду rsop.msc в поле Открыть и нажмите кнопку OK.

    Параметры подписывания SMB для оснастки RSoP находятся в папке
    Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options
    Замечание Если на Вашем компьютере установлена ОС Windows 2000 Server, установите средство обновления групповой политики из набора Windows 2000 Resource Kit и в командной строке введите следующую команду:
    gpresult /scope computer /v
    После выполнения этой команды появится список Примененные объекты групповой политики. Этот список отображает все объекты групповой политики, примененные к данной учетной записи. Проверьте, есть ли эти объекты групповой политики в настройках политики подписывания SMB.

Дополнительная информация

При запуске средства диагностики контроллеров домена (DcDiag.exe) в ситуации 1 в Windows 2000 и Windows Server 2003 появляются следующие сообщения об ошибках:
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 5: Access is denied.
Could not get NetBIOSDomainName
Failed can not test for HOST SPN
Failed can not test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test systemlog
При запуске средства диагностики контроллеров домена в ситуации 2 в Windows 2000 и Windows Server 2003 появляются следующие сообщения об ошибках:
Testing server: Default-First-Site-Name\SERVERNAME
Starting test: Replications
......................... SERVERNAME passed test Replications
Starting test: NCSecDesc
......................... SERVERNAME passed test NCSecDesc
Starting test: NetLogons
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test NetLogons
Starting test: Advertising
......................... SERVERNAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVERNAME passed test RidManager
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
Could not get NetBIOSDomainName
Failed can not test for HOST SPN
Failed can not test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog


В данной статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств по корректной работе или надежности этих продуктов.

Свойства

Код статьи: 839499 - Последний отзыв: 16 июля 2013 г. - Revision: 6.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb KB839499

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com