З вимкнутим підписуванням SMB для служб робочої станції або сервера на контролері домену не вдається відкрити спільні файли або оснащення "Групова політика"

Переклади статей Переклади статей
Номер статті: 839499 - Показ продуктів, яких стосується ця стаття.
Увага! У цій статті містяться відомості про внесення змін до реєстру. Перед внесенням таких змін обов'язково створіть резервну копію реєстру та переконайтесь, що ви будете спроможні відновити реєстр у разі виникнення проблеми. Докладніше про створення резервної копії, відновлення та редагування реєстру див. у статті бази знань Microsoft Knowledge Base:
256986 Опис реєстру Microsoft Windows
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

У цій статті описується вирішення двох наступних ситуацій, які можуть виникнути в Microsoft Windows Server 2003 або в Microsoft Windows 2000 Server.
  • Підписування блоків повідомлень сервера (SMB) вимкнуто для служби робочої станції контролера домену, але воно необхідне для роботи служби сервера того ж контролера.
  • Підписування SMB вимкнуто для служби сервера контролера домену, але воно необхідне для роботи служби робочої станції того ж контролера.

ОЗНАКИ

Ситуація 1. Підписування блоків повідомлень сервера (SMB) вимкнуто для служби робочої станції контролера домену, але воно необхідне для роботи служби сервера того ж контролера.

Windows Server 2003

Під час спроби відкрити оснащення групової політики на контролері домену з’являється повідомлення про помилку:
Відсутній дозвіл на виконання цієї операції.

Немає доступу.
Кожні п’ять хвилин сервер реєструє в журналі повідомлень застосунків повідомлення про помилку:
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Код події: 1058
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не може отримати доступ до файлу gpt.ini для об’єкту групової політики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Ім’я_домену,DC=com. Цей файл має розташовуватися за адресою <\\Ім’я_домену.com\sysvol\Ім’я_домену.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Немає доступу.) Обробку групової політики перервано.
Щоб отримати додаткові відомості, відвідайте веб-сайт центру довідки та підтримки за адресою http://support.microsoft.com.
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Код події: 1030
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не вдалося отримати список об'єктів групової політики. Перевірте наявність в журналі подій повідомлень, зареєстрованих підсистемою політик, які містять опис причин цієї помилки. Щоб отримати додаткові відомості, відвідайте веб-сайт центру довідки та підтримки за адресою http://support.microsoft.com.


Під час локального входу на сервер та спроби відкрити файли спільного доступу, що знаходяться на сервері, з’являються запити на введення пароля і не вдається відкрити файл.

Windows 2000 Server

Під час спроби відкрити оснащення "Групові політики" на контролері домену з’являється повідомлення про помилку:
Відсутній дозвіл на виконання цієї операції.

Немає доступу.
У журналі подій застосунків контролер домену реєструє такі події:
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Час: 16:07:30
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не може отримати доступ до реєстру за адресою \\Ім’я_домену.com\sysvol\Ім’я_домену.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol зі значенням (5).
Під час локального входу на сервер та спроби відкрити файли спільного доступу, що знаходяться на сервері, з’являються запити на введення пароля і не вдається відкрити ці файли.

Ситуація 2. Підписування SMB вимкнуте для служби сервера контролера домену, але воно необхідне для роботи служби робочої станції того ж контролера.

Windows Server 2003

Під час спроби відкрити на контролері домену оснащення "Групові політики" з’являється повідомлення про помилку:
Не вдалося відкрити об’єкт групової політики. Можливо, немає достатніх прав.

Вхід до системи з даної робочої станції для поточного користувача заборонено.
У журналі подій застосунків контролер домену кожні п'ять хвилин реєструє такі події:
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Код події: 1058
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не може отримати доступ до файлу gpt.ini для об’єкту групової політики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Ім’я_домену,DC=com. Цей файл має знаходитися за адресою <\\Ім’я_домену.com\sysvol\Ім’я_домену.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не знайдено мережний шлях.) Обробку групової політики перервано. Щоб отримати додаткові відомості, відвідайте веб-сайт центру довідки та підтримки за адресою http://support.microsoft.com.
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Код події: 1030
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не вдалося отримати список об'єктів групової політики. Перевірте наявність в журналі подій повідомлень, зареєстрованих підсистемою політик, які містять опис причин цієї помилки. Щоб отримати додаткові відомості, відвідайте веб-сайт центру довідки та підтримки за адресою http://support.microsoft.com.


Під час локального входу на сервер та спроби відкрити спільні файли на сервері з’являється повідомлення про помилку:
\\Ім’я_сервера\Ім’я_спільного_файлу недоступний. Можливо, відсутні права на використання цього мережного ресурсу. Зверніться до адміністратора, щоб з'ясувати наявність дозволу на доступ.

Вхід до системи з даної робочої станції для поточного користувача заборонено.

Windows 2000 Server

Під час спроби відкрити оснащення "Групові політики" на контролері домену з’являється повідомлення про помилку:
Не вдалося відкрити об’єкт групової політики. Можливо, немає достатніх прав.

Вхід до системи з даної робочої станції для поточного користувача заборонено.
У журналі подій застосунків контролер домену кожні п'ять хвилин реєструє таку подію:
Тип події: Помилка
Джерело події: Userenv
Категорія події: Немає
Код події: 1000
Користувач: NT AUTHORITY\SYSTEM
Опис:
Windows не може отримати доступ до реєстру за адресою \\Ім’я_домену.com\sysvol\Ім’я_домену.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol зі значенням (1240).
Під час локального входу на сервер та спроби відкрити спільні файли на сервері з’являється повідомлення про помилку:
\\Ім’я_сервера\Ім’я_спільного_файлу недоступний.

Вхід до системи з даної робочої станції для поточного користувача заборонено.

ПРИЧИНА

Така поведінка виникає, якщо параметри підписування SMB служби робочої станції і сервера суперечать один одному. Якщо контролер домену налаштовано таким чином, служба робочої станції контролера не може встановити підключення до спільної папки Sysvol контролера домену. Тому не вдається запустіть оснащення групових політик. Отже якщо політики підписування SMB налаштовані політикою безпеки, призначеною за промовчанням для даного контролера домену, проблема торкається всіх контролерів доменів мережі. Через це неможливі реплікація групової політики в службі каталогів Active Director і внесення змін до групової політики для відміни застосування цих параметрів.

РОЗВ'ЯЗАНН

Для розв'язання цієї проблеми виконайте такі дії.

Попередження. Неправильне використання редактора реєстру може призвести до серйозних проблем, які можуть викликати необхідність переінсталяції операційної системи. Корпорація Майкрософт не може гарантувати вирішення проблем, які виникли внаслідок неправильного використання редактора реєстру. Ви працюєте з редактором реєстру на власний ризик.
  1. На контролері домену натисніть кнопку Пуск, виберіть команду Виконати, введіть regedit та натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. У правій частині вікна двічі клацніть параметр enablesecuritysignature, введіть 1 у поле Значення та натисніть кнопку OK.
  4. Двічі клацніть параметр requiresecuritysignature, введіть 1 у поле Значення та натисніть кнопку OK.
  5. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  6. У правій частині вікна двічі клацніть параметр enablesecuritysignature, введіть 1 у поле Значення та натисніть кнопку OK.
  7. Двічі клацніть параметр requiresecuritysignature, введіть 0 у поле Значення та натисніть кнопку OK.
  8. Після внесення змін до записів реєстру перезавантажте служби сервера і робочої станції. Не перезавантажуйте контролер домену, тому що під час перезавантаження служба групової політики може записати до реєстру колишні значення.
  9. Відкрийте спільну папку Sysvol контролера домену. Для цього в меню Пуск виберіть команду Виконати, введіть \\Ім’я_сервера\Sysvol та натисніть клавішу ENTER. Якщо папка Sysvol не відкривається, повторіть кроки 1-8.
  10. Щоб переконатися, що всі контролери домену мають доступ до своїх папок Sysvol, повторіть кроки 1-9 на кожному несправному контролері домену.
  11. Після підключення папок Sysvol на всіх контролерах домену запустіть оснащення "Політика безпеки контролера домену" та змініть параметри політики підписування SMB. Для цього виконайте такі дії:
    1. Натисніть кнопку Пуск і послідовно виберіть пункти меню Програми, потім Адміністрування та Політика безпеки контролера домену.
    2. На лівій панелі розгорніть вузол Локальні політики та виберіть пункт Параметри безпеки.
    3. У правій частині вікна двічі клацніть пункт Сервер мережі Microsoft: використовувати цифровий підпис (завжди).

      Примітка. Відповідний параметр політики у Windows 2000 Server має назву Використовувати цифровий підпис під час обміну даними між серверами (завжди).

      Увага! Якщо в мережі є клієнти, що не підтримують підписування SMB, не вмикайте параметр політики Сервер мережі Microsoft: використовувати цифровий підпис (завжди). Якщо цей параметр увімкнено, підписування SMB буде потрібно для усіх підключень між клієнтами, і клієнти, які не підтримують SMB, не зможуть підключитися до інших комп’ютерів. Наприклад, клієнти, на яких інстальовано ОС Apple Macintosh OS X або Microsoft Windows 95, не підтримують підписування SMB. Якщо в мережі є клієнти, які не підтримують підписування SMB, вимкніть цю політику.
    4. Встановіть прапорець Визначити параметр політики, виберіть Увімкнено та натисніть кнопку OK.
    5. Клацніть двічі Сервер мережі Microsoft: використовувати цифровий підпис (за згоди клієнта).

      Примітка. Відповідний параметр політики у Windows 2000 Server має назву Використовувати цифровий підпис під час обміну даними між серверами (якщо можливо).
    6. Встановіть прапорець Визначити параметр політики та виберіть пункт Увімкнено.
    7. Натисніть кнопку OK.
    8. Клацніть двічі Сервер мережі Microsoft: використовувати цифровий підпис (завжди).
    9. Зніміть прапорець Визначити параметр політики та натисніть кнопку OK.
    10. Клацніть двічі Сервер мережі Microsoft: використовувати цифровий підпис (за згоди сервера).
    11. Зніміть прапорець Визначити параметр політики та натисніть кнопку OK.
  12. Запустіть засіб поновлення групової політики (Gpupdate.exe) з ключем force. Для цього виконайте такі дії:
    1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть cmd та натисніть кнопку OK.
    2. У командному рядку введіть gpupdate /force і натисніть клавішу ENTER.
    Докладніше про засіб поновлення групової політики див. у статті бази знань Microsoft Knowledge Base:
    298444 Опис засобу поновлення групової політики (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    Примітка. У Windows 2000 Server засобу поновлення групової політики немає. Еквівалентна команда Windows 2000 — secedit /refreshpolicy machine_policy /enforce.

    Докладніше про команду Secedit у Windows 2000 див. у статті бази знань Microsoft Knowledge Base:
    227302 Використання команди SECEDIT для негайного поновлення групової політики (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  13. Після запуску засобу поновлення групової політики перевірте журнал подій застосунків та переконайтеся, що настройки групової політики поновилися. Після поновлення групової політики контролер домену реєструє подію 1704. Ця подія з’являється у вікні перегляду подій журналу подій. Джерелом події є SceCli.
  14. Перевірте параметри реєстру, змінені на кроках 1-7, та переконайтеся, що параметри реєстру не змінилися.

    Примітка. Ці дії виконуються для того, щоб переконатися, що на іншому рівні груп або організаційних підрозділів не було застосовано параметр, конфліктуючий з параметрами, налаштованими на попередніх кроках. Наприклад, якщо політику Клієнт мережі Microsoft: використовувати цифрові підписи (за згоди сервера) у політиці безпеки контролера домену не визначено, але ту ж саму політику вимкнуто в політиці безпеки домену, підписування SMB для служби робочої станції буде вимкнуто.
  15. Якщо після запуску засобу оновлення групової політики параметри реєстру змінилися, відкрийте оснащення "Результуючий набір політик" (RSoP) у Windows Server 2003. Для запуску оснащення RSoP у меню Пуск виберіть команду Виконати, введіть rsop.msc у поле Відкрити та натисніть кнопку OK.

    Параметри підписування SMB для оснащення RSoP знаходяться в папці:
    Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options
    Примітка. Якщо на комп’ютері інстальовано операційну систему Windows 2000 Server, інсталюйте засіб поновлення групової політики з набору Windows 2000 Resource Kit та в командному рядку введіть таку команду:
    gpresult /scope computer /v
    Після виконання цієї команди з’явиться список Застосовані об’єкти групової політики. Цей список відображає усі об’єкти групової політики, застосовані до даного облікового запису. Перевірте, чи є ці об’єкти групової політики в настройках підписування SMB.

ДОДАТКОВІ ВІДОМОСТІ

Під час запуску засобу діагностики контролерів домену (DcDiag.exe) в ситуації 1 у Windows 2000 та Windows Server 2003 з’являються наступні повідомлення про помилки:
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 5: Access is denied.
Could not get NetBIOSDomainName
Failed can not test for HOST SPN
Failed can not test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test systemlog
Під час запуску засобу діагностики контролерів домену (DcDiag.exe) в ситуації 2 у Windows 2000 та Windows Server 2003 з’являються наступні повідомлення про помилки:
Testing server: Default-First-Site-Name\SERVERNAME
Starting test: Replications
......................... SERVERNAME passed test Replications
Starting test: NCSecDesc
......................... SERVERNAME passed test NCSecDesc
Starting test: NetLogons
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test NetLogons
Starting test: Advertising
......................... SERVERNAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVERNAME passed test RidManager
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
Could not get NetBIOSDomainName
Failed can not test for HOST SPN
Failed can not test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog


Виробники продуктів, обговорюваних у цій статті, не залежать від корпорації Майкрософт. Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів.

Властивості

Номер статті: 839499 - Востаннє переглянуто: 3 грудня 2007 р. - Редакція: 5.3
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Ключові слова: 
kbtshoot kbregistry kbprb kbgrppolicyprob kbfileprintservices kbmgmtservices KB839499

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com