您無法開啟檔案共用 」 或 「 群組原則] 嵌入式管理單元在 Windows Server 2003 網域控制站上或在 Windows 2000 Server 的網域控制站。當您登入在本機網域控制站,然後試著開啟的網域控制站上的共用時,會收到重複的密碼提示出現時,並且無法開啟共用資料夾。您可以藉由變更登錄來解決這個問題。
警告 如果您不當修改登錄使用登錄編輯程式或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以獲得解決這些問題。修改登錄,自行承擔風險。
如果要解決這個問題,請依照下列步驟執行:
重要事項這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請參閱
如何備份及還原 Windows XP 中的登錄
(http://support.microsoft.com/kb/322756)
.
步驟 1-變更登錄
正值使 enablesecuritysignature 登錄項目。執行這項操作,請依照下列步驟執行:
- 在網域控制站中,按一下 啟動然後按一下執行.
- 複本,然後貼上 (或輸入) 下列命令在 [開啟] 方塊中,然後按 Enter。
regedit
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
- 在右窗格中,按兩下 enablesecuritysignature型別 1 在 數值資料 方塊中,然後再按一下 [確定].
- 連按兩下 requiresecuritysignature型別 1 在 數值資料 方塊中,然後再按一下 [確定].
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
- 在右窗格中,按兩下 enablesecuritysignature型別 1 在 數值資料 方塊中,然後再按一下 [確定].
- 連按兩下 requiresecuritysignature型別 0 在 數值資料 方塊中,然後再按一下 [確定].
步驟 2-重新啟動伺服器服務,「 工作站 」 服務
在變更登錄值之後,重新啟動伺服器服務,「 工作站 」 服務。
重要事項因為此巨集指令可能會造成 [群組原則 」 來變更登錄值回先前的值,請不要重新啟動網域控制站。
要重新啟動伺服器服務,「 工作站 」 服務,請依照下列步驟執行:
- 按一下 啟動指向 系統管理工具然後按一下 服務.
- 以滑鼠右鍵按一下 伺服器然後按一下 重新啟動.
- 以滑鼠右鍵按一下 工作站然後按一下 重新啟動.
附註如果提示您重新啟動其他服務時,請按一下 [是]。
步驟 3-更新 Sysvol 共用
更新網域控制站的 Sysvol 共用。執行這項操作,請依照下列步驟執行:
- 開啟 [網域控制站的 Sysvol 共用]。若要這樣做,請按一下 啟動按一下 執行型別 \\管理員\Sysvol 在 開啟 方塊中,然後按 Enter 鍵。
- 如果 Sysvol 共用並未開啟,重複執行步驟 1-變更登錄和步驟 2-重新啟動伺服器和工作站服務。
- 若要確保每個網域控制站可以存取它自己的 Sysvol 共用的每個受影響的網域控制站上,重複執行步驟 1-變更登錄和步驟 2-重新啟動伺服器和工作站服務。
步驟 4-設定 SMB 的原則設定
您連線到在 Sysvol 共用上每個網域控制站之後,請開啟 [網域控制站安全性原則] 嵌入式管理單元,並設定相對的 SMB 簽章原則設定。執行這項操作,請依照下列步驟執行:
- 按一下 啟動指向 程式指向 系統管理工具然後按一下 網域控制站安全性原則.
- 在左窗格中,展開 本機原則然後按一下 安全性選項.
- 在右窗格中,按兩下 Microsoft 網路伺服器: 數位簽章通訊 (自動).
附註在 Windows 2000 Server 中,是對等的原則設定 數位簽章伺服器的通訊 (自動).
重要如果您有不支援 SMB 簽章的用戶端電腦在網路上,您必須啟用 Microsoft 網路伺服器: 數位簽章通訊 (自動)原則設定。如果您啟用這個設定,您必須要有 SMB 簽章的所有用戶端的通訊,並不支援 SMB 簽章的用戶端電腦將無法連線到其他電腦。比方說,蘋果 Macintosh OS X 或 Microsoft Windows 95 中執行的用戶端不支援 SMB 簽章。如果您的網路包含不支援 SMB 簽章的用戶端,設定這個原則為停用。
- 按一下以選取 定義這個原則設定 核取方塊,請按一下 啟用然後按一下 [確定].
- 連按兩下 Microsoft 網路伺服器: 數位簽章通訊 (如果用戶端同意).
附註如果是 Windows 2000 Server 中,對等的原則設定是 數位簽章伺服器的通訊 (自動). - 按一下以選取 定義這個原則設定 核取方塊,然後再按一下 啟用.
- 按一下 [確定].
- 連按兩下 Microsoft 網路用戶端: 數位簽章通訊 (自動).
- 按一下以清除 定義這個原則設定 核取方塊,然後再按一下 [確定].
- 連按兩下 Microsoft 網路用戶端: 數位簽章通訊 (如果伺服器同意).
- 按一下以清除 定義這個原則設定 核取方塊,然後再按一下 [確定].
步驟 5-執行群組原則更新公用程式
以
強制參數來執行群組原則更新公用程式 (Gpupdate.exe)。執行這項操作,請依照下列步驟執行:
- 按一下 啟動然後按一下執行.
- 複製和貼上 (或輸入) 下列命令在 [開啟] 方塊中,然後按 Enter。
cmd
- 在命令提示字元中,輸入 gpupdate /force然後按 Enter 鍵。
如需有關 「 群組原則更新 」 公用程式的詳細資訊,請參閱
描述 「 群組原則更新公用程式 」。
(http://support.microsoft.com/kb/298444)
附註[群組原則更新公用程式在 Windows 2000 Server 中不存在。在 Windows 2000 Server 中,是同等的指令
secedit /refreshpolicy machine_policy / 強制執行。
如需有關如何使用 Secedit 命令在 Windows 2000 Server 中的詳細資訊,請參閱
若要立即強制群組原則重新整理使用 SECEDIT
(http://support.microsoft.com/kb/227302)
.
步驟 6-請檢查應用程式事件記錄檔
執行群組原則更新公用程式之後,請檢查應用程式事件日誌,以確定 「 群組原則 」 設定已經更新成功。成功的 「 群組原則 」 更新之後, 的網域控制站會記錄事件 ID 1704。若要開啟事件檢視器中的應用程式記錄檔,請依照下列步驟執行:
- 按一下 啟動指向 系統管理工具然後按一下 事件檢視器].
- 在左窗格中,按一下 應用程式.
- 按兩下 [事件識別碼 1704年,確認已成功套用群組原則設定。
附註事件的來源是 SceCli。
步驟 7-請檢查登錄值
請檢查您在步驟 1-變更登錄,以確定已不會變更登錄值中所變更的登錄值。
附註這個步驟可確保有衝突的原則設定不會套用於 「 另一個群組或組織單位 (OU) 層級項目。比方說,如果Microsoft 網路用戶端: 數位簽章通訊 (如果伺服器同意)原則已被設定為 「 尚未定義 」 在網域控制站安全性原則,但這個相同的原則設定為網域安全性原則中停用,SMB 簽章會被停用 「 工作站 」 服務。
步驟 8-請檢查的 SMB 簽章原則設定,藉由使用 [原則結果組 (RSoP) 嵌入式管理單元
如果執行群組原則更新公用程式之後,已經變更的登錄值,請檢查的 SMB 簽章原則設定,Windows Server 2003 中使用 RSoP 嵌入式管理單元。執行這項操作,請依照下列步驟執行:
- 按一下 啟動按一下 執行型別 rsop.msc 在 開啟 方塊中,然後再按一下 [確定].
- RSoP 嵌入式管理單元中 SMB 簽章設定位於下列路徑:
電腦設定/Windows 安全性設定/設定/本機原則/安全性選項
附註如果您執行 Windows 2000 Server,從 「 Windows 2000 伺服器資源工具箱 」,安裝 「 群組原則更新 」 公用程式,並在命令提示字元中輸入下列:gpresult /scope 電腦 /v
- 在您執行這項指令之後, 套用的群組原則] 物件清單會出現。此清單顯示所有群組原則] 物件,可套用至電腦帳戶。請檢查的 SMB 簽章原則設定,這些群組原則物件。
如果 SMB 簽章設定為 「 工作站 」 服務及 「 伺服器 」 服務與不符彼此,就會發生這個問題。當您以這種方式設定網域控制站時,網域控制站上的 「 工作站 」 服務無法連線到網域控制站的 Sysvol 共用中。因此,您無法啟動 [群組原則] 嵌入式管理單元。此外,如果 SMB 簽章原則已設定的預設網域控制站安全性原則,問題會影響在網路上的所有網域控制站。因此,Active Directory 目錄服務中的 [群組原則複寫將會失敗,而且您不能編輯群組原則 」 來復原這些設定。
案例 1-如果您在執行網域控制站診斷工具 (DcDiag.exe),您會收到類似下列的 Windows 2000 伺服器,以及 Windows Server 2003 的錯誤:
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 5: Access is denied.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test systemlog
案例 2-如果您在執行網域控制站診斷工具,您會收到類似下列的 Windows 2000 Server 和 Windows Server 2003 的錯誤:
Testing server: Default-First-Site-Name\SERVERNAME
Starting test: Replications
......................... SERVERNAME passed test Replications
Starting test: NCSecDesc
......................... SERVERNAME passed test NCSecDesc
Starting test: NetLogons
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test NetLogons
Starting test: Advertising
......................... SERVERNAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVERNAME passed test RidManager
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
