文章編號: 887303 - 上次校閱: 2007年9月4日 - 版次: 4.6

Userenv 錯誤發生,而且正在執行 Windows Server 2003,Windows XP 或 Windows 2000 的電腦套用群組原則之後,就會記錄事件

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

您可能會遇到一或多個錯誤和事件如果群組原則套用到您網路上的電腦。若要判斷問題的原因,您必須解決電腦的設定網路上。請依照下列步驟來疑難排解問題的原因:
  1. 檢查 DNS 設定及網路內容,在伺服器和用戶端電腦。
  2. 檢查伺服器訊息區簽章設定在用戶端電腦。
  3. 請確定啟動 TCP/IP NetBIOS 協助程式服務]、 [Net Logon] 服務] 及 [遠端程序呼叫 (RPC) 服務,在所有電腦。
  4. 請確定分散式檔案系統 (DFS) 已啟用上所有電腦。
  5. 檢查內容和權限的 Sysvol 資料夾。
  6. 請確定略過周遊檢查權限授與必要群組。
  7. 請確定網域控制站是不是在一個日誌換行的狀態。
  8. 執行 dfsutil /purgemupcache 命令。
回此頁最上方

徵狀

您遇到一或多個正在執行 Microsoft Windows Server 2003,Microsoft Windows XP 或 Microsoft Windows 2000 的電腦上下列徵狀:
  • 「 群組原則 」 設定不會套用到電腦。
  • 在網路上的網域控制站之間則不會完成群組原則複寫。
  • 您無法開啟群組原則嵌入式管理單元。比方說您不能開啟 [網域控制站安全性原則] 嵌入式管理單元,或 [網域安全性原則] 嵌入式管理單元。
  • 如果嘗試開啟群組原則嵌入式管理單元會收到其中一個下列的錯誤訊息:
    無法開啟 [群組原則物件。您可能沒有足夠的權限。
    詳細資料: 從這個工作站登入未授權的帳戶。
    您無權執行這項作業。
    詳細資料: 存取被拒。
    無法開啟群組原則物件。您可能沒有足夠的權限。
    詳細資料: 系統找不到指定的路徑。
  • 如果嘗試存取任何網域控制站上的共用的檔案會收到錯誤訊息。即使您登入該伺服器,且您嘗試存取本機共用,則會發生這個徵狀。特別,這個徵狀可能會影響網域控制站的 Sysvol 共用的存取權。
  • 如果嘗試存取檔案共用,您會重複提示輸入密碼。
  • 如果嘗試存取檔案共用您會收到類似下列的錯誤訊息之一的錯誤訊息:
    \ \ Server_Name \ Share_Name 不是可存取。您可能沒有使用此網路資源的權限。 請連絡此伺服器的系統管理員,了解您是否有存取權限。
    帳戶沒有從這個工作站登入的權限。
    \ \ Server_Name \ Share_Name 不是可存取。
    帳戶沒有從這個工作站登入的權限。
    找不到網路路徑。
如果您在 Windows XP 或 Windows Server 2003 上的事件檢視器中檢視應用程式記錄檔,您會看到類似下列的事件的事件:
事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1058年
日期: Date
時間: Time
使用者: User_Name
電腦: Computer_Name
描述: Windows 無法存取檔案 gpt.ini 的 GPO CN = {31B2F340-016 D 11 D 2-代表-00C04FB984F9},CN = 原則 CN = 系統,DC = domainname,DC = com。檔案可能在位置都必須存在 < \ \domainname.com\sysvol\ domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini >。 (Error_Message)。群組原則處理已中止。如需詳細資訊請 http://support.microsoft.com 在參閱 [說明及支援中心]。
在 [事件識別碼 1058 Error_Message 版面配置區中會出現錯誤訊息也可能是任何下列的錯誤訊息:
  • 找不到網路路徑。
  • 存取被拒。
  • 不無法從該網域控制站讀取設定資訊可能是機器沒有或者拒絕存取。
事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1030年
日期: Date
時間: Time
使用者: User_Name
電腦: Computer_Name
描述: Windows 無法查詢的 [群組原則] 物件清單。原則引擎已記錄一則訊息,說明的原因。如需詳細資訊請 http://support.microsoft.com 在參閱 [說明及支援中心]。
通常,如果事件 ID 1058 」 和 「 事件識別碼 1030年發生它們會記錄的用戶端電腦和成員伺服器電腦啟動時。網域控制站會記錄這些事件每隔五分鐘。

如果您在 Windows 2000 架構的電腦上事件檢視器中檢視應用程式記錄檔,您會看到類似下列的事件的事件:
事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1000年
日期: Date
時間: Time
使用者: NT AUTHORITY\SYSTEM
電腦: Computer_Name
描述: Windows 無法存取登錄資訊在 \ \ domainname.com\sysvol\ domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol 與 (Error_Code)。
會出現在中事件 ID 1000 Error_Code 版面配置區中的錯誤碼可能是任何下列的錯誤代碼:
  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722
回此頁最上方

發生的原因

如果在您的網路上的電腦無法連線到特定的 [群組原則] 物件,就會發生這些問題。特別,這些物件是在您的網路網域控制站上 Sysvol 資料夾中。
回此頁最上方

解決方案

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄


如果要解決這個問題,必須疑難排解來縮小為該問題的成因網路設定,並更正組態。可能的原因,這項問題的疑難排解請依照下列步驟執行:
回此頁最上方

步驟一: 請檢查 DNS 設定及網路伺服器和用戶端電腦上的屬性

本機區域連線內容中所有伺服器和用戶端電腦上必須啟用 Microsoft 網路的用戶端。所有網域控制站上必須啟用檔案及印表機共用的 Microsoft 網路元件。

此外,每個網路上的電腦必須使用 DNS SRV 記錄及 Active Directory 的主機名稱可以解析的伺服器樹系電腦是成員的位置。常見的組態錯誤通常,是用於用戶端電腦可以使用 DNS 伺服器屬於您的網際網路服務提供者 (ISP)。

所有電腦上已登 Userenv 錯誤,檢查 DNS 設定及網路內容。此外,檢查這些設定在所有網域控制站上的,不論是否有使用者登入 Userenv 錯誤。

確認 DNS 設定及網路內容在 Windows XP 的電腦,您網路中依照下列步驟執行:
  1. 按一下 [開始],然後再按一下 [控制台]
  2. 如果控制台中設定到類別目錄檢視中,按一下 [切換到傳統檢視]。
  3. 連按兩下 [網路連線,用滑鼠右鍵按一下 [區域連線],然後再按一下 [內容]
  4. 在 [一般] 索引標籤上按一下以選取 [Microsoft 網路的用戶端] 核取方塊。
  5. 按一下 [網際網路通訊協定 (TCP/IP),然後按一下 [內容]。
  6. 如果選取 使用下列的 DNS 伺服器位址,請確定慣用及其他 DNS 伺服器的 IP 位址的 SRV 記錄及 Active Directory 中的主機名稱可以解析的 DNS 伺服器的 IP 位址。特別是,電腦必須不使用屬於您的 ISP 的 DNS 伺服器。如果 DNS 伺服器位址不正確,請在 慣用的 DNS 伺服器] 及 [其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  7. 按一下 [進階],然後再按一下 [DNS] 索引標籤。
  8. 按一下以選取 [在這個連線的 DNS 中登錄位址] 核取方塊,然後再按三次 [確定]
  9. 啟動命令提示字元。如果要執行這項操作,請按一下 [開始],按一下 [執行]、 輸入 cmd,然後再按一下 [確定]]。
  10. 輸入 ipconfig /flushdns,並按下 ENTER。輸入 ipconfig /registerdns,並按下 ENTER。
  11. 重新啟動電腦,讓您變更才能生效。
請確認 DNS 設定,而且在網路上的 Windows 2000 電腦上的網路內容,請依照下列步驟執行:
  1. 按一下 [開始],指向 [設定],然後再按一下 [控制台]
  2. 連按兩下 網路和撥號連線接
  3. 「 區域連線 上, 按一下滑鼠右鍵,然後再按 [內容]
  4. 在 [一般] 索引標籤上按一下以選取 [Microsoft 網路的用戶端] 核取方塊。
  5. 如果電腦是網域控制站按一下以選取 [檔案及印表機共用的 Microsoft 網路] 核取方塊。

    附註在多重主目錄遠端存取伺服器和 Microsoft 網際網路安全性與加速 (ISA) 伺服器為基礎的伺服器,您可以關閉檔案及印表機共用於連線到網際網路的網路介面卡的 Microsoft 網路元件。但是,對所有伺服器的網路介面卡必須啟用元件的 Microsoft 網路用戶端。
  6. 按一下 [網際網路通訊協定 (TCP/IP),然後按一下 [內容]。
  7. 如果選取 使用下列的 DNS 伺服器位址,請確定慣用及其他 DNS 伺服器的 IP 位址的 SRV 記錄及 Active Directory 中的主機名稱可以解析的 DNS 伺服器的 IP 位址。特別是,電腦必須不使用屬於您的 ISP 的 DNS 伺服器。如果 DNS 伺服器位址不正確,請在 慣用的 DNS 伺服器] 及 [其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  8. 按一下 [進階],然後再按一下 [DNS] 索引標籤。
  9. 按一下以選取 [在這個連線的 DNS 中登錄位址] 核取方塊,然後再按三次 [確定]
  10. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  11. 輸入 ipconfig /flushdns,並按下 ENTER。輸入 ipconfig /registerdns,並按下 ENTER。
  12. 重新啟動電腦。
請確認 DNS 設定,而且您網路中的 Windows Server 2003 電腦上的網路內容,請依照下列步驟執行:
  1. 按一下 [開始],指向 [控制面板,然後按兩下 [網路連線
  2. 本機區域的連線上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 在 [一般] 索引標籤上按一下以選取 [Microsoft 網路的用戶端] 核取方塊。
  4. 如果電腦是網域控制站按一下以選取 [檔案及印表機共用的 Microsoft 網路] 核取方塊。

    附註多重主目錄的遠端存取伺服器和 ISA Server 為基礎的伺服器上,您可以關閉檔案及印表機共用於 Microsoft 網路元件連線到網際網路的網路介面卡。不過,Microsoft 網路元件的用戶端必須啟用的所有伺服器的網路介面卡。
  5. 按一下 [網際網路通訊協定 (TCP/IP),然後按一下 [內容]。
  6. 如果選取 使用下列的 DNS 伺服器位址,請確定慣用及其他 DNS 伺服器的 IP 位址的 SRV 記錄及 Active Directory 中的主機名稱可以解析的 DNS 伺服器的 IP 位址。特別是,電腦必須不使用屬於您的 ISP 的 DNS 伺服器。如果 DNS 伺服器位址不正確,請在 慣用的 DNS 伺服器] 及 [其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  7. 按一下 [進階],然後再按一下 [DNS] 索引標籤。
  8. 按一下以選取 [在這個連線的 DNS 中登錄位址] 核取方塊,然後再按三次 [確定]
  9. 啟動命令提示字元。如果要執行這項操作,請按一下 [開始],按一下 [執行]、 輸入 cmd,然後再按一下 [確定]]。
  10. 輸入 ipconfig /flushdns,並按下 ENTER。輸入 ipconfig /registerdns,並按下 ENTER。
  11. 重新啟動電腦,讓您變更才能生效。
如果網路中的用戶端電腦設定為自動取得它們的 IP 位址,請確定電腦正在執行 DHCP 服務會指派 IP 位址的 DNS 伺服器可以解析 SRV 記錄,而且裝載在 Active Directory 中的名稱。

若要判斷哪些 IP 是電腦的位址正在使用為 DNS,請依照下列步驟執行:
  1. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  2. 型別 ipconfig/所有,然後按 ENTER 鍵。
  3. 請注意都列在螢幕的 DNS 項目。
如果設定為自動取得 IP 位址的電腦不使用正確的 DNS 伺服器,檢視文件以您的 DHCP 伺服器,如需有關如何設定 DNS 伺服器選項資訊。 此外,請確定每一部電腦可以解析 IP 位址的網域。如果要執行這項操作,輸入 Ping Your_Domain_NameYour_Domain_Root 在命令提示字元,然後按下 ENTER。或者,輸入 nslookup Your_Domain_NameYour_Domain_Root,然後按 ENTER 鍵。

附註它必須是此主控件名稱會解析為 IP 位址的其中一個網路上的網域控制站。如果電腦無法解析此名稱,或名稱解析為錯誤的 IP 位址,請確定正向對應區域網域包含有效 (與父資料夾相同) 的主機 (A) 記錄。

請確定正向對應區域網域包含有效 (和父系資料夾相同) 的主機 (A) 記錄在 Windows 2000 架構的電腦上,請依照下列步驟執行:
  1. 在網域控制站正在執行 DNS,請按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [DNS]。
  2. 展開 Your_Server_Name,展開 [正向對應區域],] 然後按一下 [正向對應區域,為您的網域。
  3. 尋找 (和父系資料夾相同) 主機 (A) 記錄。
  4. 如果一個 (和父系資料夾相同) 主機 (A) 記錄不存在,請依照下列步驟執行來建立一個:
    1. 按一下 [動作] 功能表 新增主機
    2. 在 [IP 位址] 方塊中,輸入 IP 位址的網域控制站的本機網路介面卡。
    3. 按一下以選取 建立關聯的指標 (PTR) 記錄 核取方塊,然後按一下 [新增主機
    4. 當您收到下列訊息時,按一下 [是]
      (和父系資料夾相同) 不是有效的主機名稱。確定您想要新增這筆記錄嗎?
  5. 連按兩下 (和父系資料夾相同) 的主機 (A) 記錄。
  6. 確認正確的 IP 位址列在 [IP 位址] 方塊中。
  7. 如果在 [IP 位址] 方塊中的 IP 位址不是有效的在 [IP 位址] 方塊中輸入正確的 IP 位址,然後再按一下 [確定]。
  8. 或者,您可以刪除 (和父系資料夾相同) 包含不是有效的 IP 位址的主機 (A) 記錄。 若要刪除 (和父系資料夾相同) 主機 (A) 記錄,其上, 按一下滑鼠右鍵,然後按一下 [刪除]。
  9. 如果 DNS 伺服器是也是路由及遠端存取伺服器的網域控制站,檢視下列微軟知識庫文件:
    292822? (http://support.microsoft.com/kb/292822/ ) 命名上路由及遠端存取伺服器,也會執行 DNS 的解析度和連線能力問題或 WINS
  10. 新增、 刪除,或修改 DNS 其中的所有電腦上記錄,ipconfig /flushdns 請在命令提示字元中輸入,並按下 ENTER。
請確定正向對應區域網域包含有效 (和父系資料夾相同) 的主機 (A) 記錄在 Windows Server 2003 電腦上,請依照下列步驟執行:
  1. 在網域控制站正在執行 DNS,按一下 [開始],指向 [系統管理工具,然後再按一下 [DNS]。
  2. 展開 Your_Server_Name,展開 [正向對應區域],] 然後按一下 [正向對應區域,為您的網域。
  3. 尋找 (和父系資料夾相同) 主機 (A) 記錄。
  4. 如果 (和父系資料夾相同) 的主機 (A) 記錄並不存在,請依照下列步驟執行來建立一個:
    1. 按一下 [動作] 功能表 新增主機 (A)
    2. 在 [IP 位址] 方塊中,輸入 IP 位址的網域控制站的本機網路介面卡。
    3. 按一下以選取 建立關聯的指標 (PTR) 記錄 核取方塊,然後按一下 [新增主機
    4. 當您收到下列訊息時,按一下 [是]
      (和父系資料夾相同) 不是有效的主機名稱。確定您想要新增這筆記錄嗎?
  5. 連按兩下 (和父系資料夾相同) 的主機 (A) 記錄。
  6. 確認正確的 IP 位址列在 [IP 位址] 方塊中。
  7. 如果 IP 位址是在 IP 位址] 方塊中是無效的在 [IP 位址] 中輸入正確的 IP 位址方塊,然後再按一下 [確定]
  8. 或者,您可以刪除 (和父系資料夾相同) 包含不是有效的 IP 位址的主機 (A) 記錄。要刪除主機 (A) 記錄,請按一下滑鼠右鍵 ((和相同父資料夾)),然後按一下 [刪除
  9. 如果 DNS 伺服器是也是路由及遠端存取伺服器的網域控制站,檢視下列微軟知識庫文件:
    292822? (http://support.microsoft.com/kb/292822/ ) 命名上路由及遠端存取伺服器,也會執行 DNS 的解析度和連線能力問題或 WINS
  10. 新增、 刪除,或修改 DNS 其中的所有電腦上記錄,ipconfig /flushdns 請在命令提示字元中輸入,並按下 ENTER。

步驟 2: 檢查簽章用戶端電腦和成員伺服器上的設定的伺服器訊息區

伺服器訊息區 (SMB) 簽章設定會定義是否網路上的電腦數位簽章的通訊。如果 SMB 簽章設定不正確地設定,的用戶端電腦或成員的伺服器可能無法連線到網域控制站。

比方就說 SMB 簽章可能需要由在網域控制站,但是用戶端電腦可能停用 SMB 簽章。這個問題發生無法正確地套用群組原則。因此,用戶端電腦可登入應用程式記錄檔的使用者環境 (Userenv) 錯誤。
有時候,SMB 簽章伺服器服務及 「 工作站 」 服務在網域控制站上的設定可能會互相衝突。

比方說 SMB 簽章可能會停用的網域控制站 ’s 工作站服務但 SMB 簽章的網域控制站 ’s 伺服器服務。在這種情況下您不能開啟一或多個網域控制站 ’s 本機檔案共用如果您登入伺服器。此外,您無法開啟群組原則嵌入式管理單元,如果您登入伺服器。 如需有關如何疑難排解這個問題,網域控制站上的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
839499? (http://support.microsoft.com/kb/839499/ ) 無法開啟檔案共用] 或 [群組原則嵌入式管理單元時停用 SMB 簽章的工作站或伺服器服務在網域控制站上
如果群組原則錯誤只發生在用戶端電腦和成員伺服器上,或如果您判斷 839499 的知識庫文件不會套用到您的情況繼續疑難排解問題。

預設情況下,SMB 簽章已啟用,但不是必要的用戶端電腦和正在執行 Windows XP,Windows 2000 或 Windows Server 2003 成員伺服器上的用戶端通訊。我們建議使用預設組態,因為用戶端電腦可以使用 SMB 簽章,它可能,但仍會與已停用 SMB 簽章的伺服器通訊時。

若要設定用戶端電腦和成員伺服器,以便 SMB 簽章是已啟用,但並非必要,您必須變更某些登錄項目的值。 如果要在用戶端電腦上進行登錄變更,請依照下列步驟執行:
  1. 按一下 [開始] 再按一下 [執行、 在 [開啟] 方塊中鍵入 regedit 然後再按一下 [確定]
  2. 展開下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. 在右窗格中 enablesecuritysignature,] 上按一下滑鼠右鍵,然後按一下 [修改]
  4. 數值資料] 方塊中鍵入 0,再按 [確定]
  5. requiresecuritysignature,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 數值資料] 方塊中鍵入 0,再按 [確定]
  7. 展開下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. 在右窗格中 enablesecuritysignature,] 上按一下滑鼠右鍵,然後按一下 [修改]
  9. 數值資料] 方塊中鍵入 1,再按 [確定]
  10. requiresecuritysignature,] 上按一下滑鼠右鍵,然後按一下 [修改]
  11. 數值資料] 方塊中鍵入 0,再按 [確定]
在變更登錄值之後,重新啟動伺服器和工作站服務。不要重新啟動電腦,因為這可能會導致將套用群組原則,[群組原則] 設定可能會再次設定衝突的值。

變更登錄值並重新啟動受影響的電腦上的 [伺服器和工作站] 服務之後,請依照下列步驟執行:
  1. 檢視群組原則設定的 GPO 或 GPO 套用到受影響的電腦帳戶。
  2. 請確定群組原則不會與必要的登錄設定衝突。
  3. 使用 [群組原則物件編輯器] 來檢視下列資料夾中的原則設定:
    電腦組態] / [Windows 設定/安全性設定/本機原則/安全性選項
在電腦上也就是執行 Windows Server 2003,SMB 簽章的 「 群組原則 」 設定有下列名稱:
  • Microsoft 網路伺服器: 數位簽章通訊 (自動)
  • Microsoft 網路伺服器: 數位簽章的通訊 (如果用戶端同意)
  • Microsoft 網路用戶端: 數位簽章通訊 (自動)
  • Microsoft 網路用戶端: 數位簽章的通訊 (如果伺服器同意)
在電腦上也就是執行 Windows 2000 Server、 SMB 簽章的 「 群組原則 」 設定有下列名稱:
  • 數位簽章伺服器的通訊 (自動)
  • 數位簽章伺服器的通訊 (可能的話)
  • 數位簽章用戶端的通訊 (自動)
  • 數位簽章用戶端的通訊 (可能的話)
通常,SMB 簽章群組原則設定會設定為 「 未定義 」。如果您定義 SMB 簽章群組原則] 設定,請確定您了解如何設定可能會影響網路連線能力。 如 [SMB 的更多有關簽章設定,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
823659? (http://support.microsoft.com/kb/823659/ ) 用戶端、 服務及修改安全性設定和使用者權限的工作分派時,可能會發生的程式不相容
如果您變更 GPO 設定在執行 Windows 2000 Server 的網域控制站上,請依照下列步驟執行:
  1. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  2. 型別 secedit /refreshpolicy machine_policy / 強制,然後按 ENTER 鍵。
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查 SMB 簽章用戶端電腦上登錄中的值以確定它們並未變更意外。
如果您變更 GPO 設定在執行 Windows Server 2003 的網域控制站上,請依照下列步驟執行:
  1. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  2. 鍵入 gpupdate/force,並按下 ENTER。
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查 SMB 簽章用戶端電腦上登錄中的值以確定它們並未變更意外。
如果之後重新啟動用戶端電腦,則 SMB 簽章值在登錄中的變更意外地,請使用下列方法之一來檢視套用的原則設定套用至用戶端電腦的:
  • 在 Windows XP 電腦上使用原則 MMC 嵌入式管理單元 (Rsop.msc) 原則結果集。如需有關原則結果組的原則的詳細資訊,請造訪下列 Microsoft 「 原則結果組 」 網站:
    http://technet2.microsoft.com/WindowsServer/en/library/1180b465-ea3b-4a73-8670-81fa5871a3c71033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/1180b465-ea3b-4a73-8670-81fa5871a3c71033.mspx?mfr=true)
  • 在 Windows 2000 上使用 Gpresult.exe 命令列工具檢查群組原則結果。要這麼做,請您執行下列步驟:
    1. 從 Windows 2000 資源工具箱 」 安裝 Gpresult.exe。

      或者,您可以從下列 Microsoft"Gpresult.exe: 群組原則結果 」 網站下載 Gpresult.exe:
      http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
    2. 在命令提示字元鍵入 gpresult /scope 電腦,並按下 ENTER。
    3. 在輸出的 [套用群組原則物件] 區段中,請注意套用到電腦帳戶的 [群組原則] 物件。
    4. 比較套用至電腦帳戶具有 SMB 簽章原則設定,這些群組原則] 物件的網域控制站上的 [群組原則] 物件。

步驟三: 請確定 TCP/IP NetBIOS 協助程式服務已啟動所有電腦上

網路上所有的電腦必須執行 TCP/IP NetBIOS 協助程式服務。

如果要確認 TCP/IP NetBIOS 協助程式服務正在執行 Windows XP 電腦上,請依照下列步驟執行:
  1. 按一下 [開始],然後再按一下 [控制台]
  2. 如果 [控制台] 是在 [類別檢視] 中,按一下 [切換到傳統檢視]。
  3. 連按兩下 [系統管理工具]。
  4. 連按兩下 [服務]。
  5. 在 [服務] 清單中,按一下 TCP/IP NetBIOS 協助程式。請確認 [狀態] 欄下的值是 已啟動。請確認在 [啟動類型] 欄位下的值 自動。如果 狀態] 或 [啟動類型 值不正確,請依照下列步驟執行:
    1. TCP/IP NetBIOS 協助程式,] 上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域如果無法啟動服務時按一下 [開始
    4. 按一下 [確定]
如果要確認 TCP/IP NetBIOS 協助程式服務正在執行 Windows Server 2003 電腦上,請依照下列步驟執行:
  1. 按一下 [開始],並指向 [系統管理工具],然後按一下 [服務]。
  2. 在 [服務] 清單中,按一下 TCP/IP NetBIOS 協助程式。請確認 [狀態] 欄下的值是 已啟動。請確認在 [啟動類型] 欄位下的值 自動。如果 狀態] 或 [啟動類型 值不正確,請依照下列步驟執行:
    1. TCP/IP NetBIOS 協助程式,] 上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域如果無法啟動服務時按一下 [開始
    4. 按一下 [確定]
如果要確認 TCP/IP NetBIOS 協助程式服務正在執行 Windows 2000 電腦上,請依照下列步驟執行:
  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [服務]。
  2. 在 [服務] 清單中,按一下 TCP/IP NetBIOS 協助程式服務。請確認 [狀態] 欄下的值是 已啟動。請確認在 [啟動類型] 欄位下的值 自動。如果 狀態] 或 [啟動類型 值不正確,請依照下列步驟執行:
    1. 以滑鼠右鍵按一下 TCP/IP NetBIOS 協助程式服務,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域如果無法啟動服務時按一下 [開始
    4. 按一下 [確定]
此外,請確定您有不一或多個必要的系統服務使用停用群組原則] 物件。使用群組原則物件編輯器 」 的電腦設定/Windows 設定/安全性設定/系統服務 」 資料夾中,以檢視這些原則設定。

在 Windows Server 2003 和 Windows XP,可以使用原則結果組的原則 MMC 嵌入式管理單元 (Rsop.msc),來檢查套用到電腦的所有套用的原則設定。如果要執行這項操作,按一下 [開始],再按一下 [執行rsop.msc 並在中輸入 [開啟] 方塊然後按 [確定]

在 Windows 2000 上使用 Gpresult.exe 命令列工具檢查群組原則結果。要這麼做,請您執行下列步驟:
  1. 從 Windows 2000 資源工具箱 」 安裝 Gpresult.exe。

    或者,下載 Gpresult.exe,請造訪下列 Microsoft"Gpresult.exe: 群組原則結果 」 網站:
    http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
  2. 在命令提示字元鍵入 gpresult /scope 電腦,並按下 ENTER。
  3. 在輸出的 [套用群組原則物件] 區段中,請注意套用到電腦帳戶的 [群組原則] 物件。
  4. 比較與 SMB 簽章這些 [群組原則] 物件的網域控制站上的原則設定套用至電腦帳戶的 [群組原則] 物件。
附註如果許多桌上型電腦上停用 TCP/IP NetBIOS 協助程式服務,您可以使用下列的範例 Microsoft Visual Basic 指令碼在組織單位 (OU) 中的所有電腦上啟動 TCP/IP NetBIOS 協助程式服務在同一時間。

Microsoft 僅,為了說明提供程式設計範例,不提供任何明示或默示的保證。這包括,但不限於適售性或適合某特定用途之默示擔保責任。本文假設您已熟悉使用我們所示範的程式設計語言以及建立和偵錯程序所使用的工具。Microsoft 技術支援工程師可以協助解釋特定程序的功能,但它們不會修改這些範例以提供附加功能或建構程序,以符合您特定需求。 
Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0 
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName, 
DC=OUName,DC=CompanyName, 
DC=com") 
objOU.Filter = Array("Computer") 
For Each objComputer In objOU 
        objDictionary.Add i, objComputer.CN 
        i = i + 1 
Next 
For Each objItem In objDictionary 
        strComputer = objDictionary.Item(objItem) 
        Set objWMIService = 
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & 
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _ 
                ("Select * from Win32_Service where Name = 'LmHosts'") 
        For Each objService In colServices 
                If objService.StartMode = "Disabled" Then 
                        objService.Change( , , , , "Automatic") 
                End If 
        Next 
Next

步驟 4: 請確定在所有電腦上啟用分散式檔案系統 (DFS)

所有網域控制站必須都執行分散式的檔案系統,而此一服務因為 [Sysvol 共用是 DFS 磁碟區。此外,DFS 用戶端必須在登錄中的所有電腦上啟用。

請確定分散式檔案系統服務正在執行 Windows Server 2003 網域控制站上,請依照下列步驟執行:
  1. 按一下 [開始],並指向 [系統管理工具],然後按一下 [服務]。
  2. 在 [服務] 清單中,按一下 [分散式檔案系統 服務]。請確認 [狀態] 欄下的值是 已啟動。請確認在 [啟動類型] 欄位下的值 自動。如果 狀態] 或 [啟動類型 值不正確,請依照下列步驟執行:
    1. 分散式檔案系統,] 按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域如果無法啟動服務時按一下 [開始
    4. 按一下 [確定]
確保 分散式檔案系統 服務正在執行 Windows 2000 Server 網域控制站上,請依照下列步驟執行:
  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [服務]。
  2. 在 [服務] 清單中,按一下 [分散式檔案系統 服務]。請確認 [狀態] 欄下的值是 已啟動。請確認在 [啟動類型] 欄位下的值 自動。如果 狀態] 或 [啟動類型 值不正確,請依照下列步驟執行:
    1. 分散式檔案系統,] 按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域如果無法啟動服務時按一下 [開始
    4. 按一下 [確定]
如更多有關相關主題的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
834649? (http://support.microsoft.com/kb/834649/ ) 用戶端電腦記錄事件識別碼 1030年和事件識別碼 1058 DFS 不啟動 Windows 2000 網域控制站上時
若要確定所有的用戶端電腦上已啟用分散式檔案系統用戶端,請依照下列步驟執行:
  1. 按一下 [開始] 再按一下 [執行、 在 [開啟] 方塊中鍵入 regedit 然後再按一下 [確定]
  2. 展開下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. 按一下 Mup,然後在右窗格中搜尋的 DWORD 值項目,名為 DisableDFS
  4. 如果 DisableDFS 項目存在且數值資料為 1,按兩下 DisableDFS數值資料] 方塊中鍵入 0,再按 [確定]。如果 DisableDFS 值資料已經 0,或是如果 DisableDFS 項目不存在,做不做任何變更。
  5. 結束 「 登錄編輯程式 」。
  6. 如果您變更 DisableDFS 值資料,重新啟動電腦。
如更多有關相關主題的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
314494? (http://support.microsoft.com/kb/314494/ ) 群組原則不會套用您預期 ; 方式 「 事件 ID 1058 」 和 「 事件 ID 1030 」 應用程式記錄檔中的錯誤

步驟 5: 檢查內容和 Sysvol 資料夾的使用權限

預設情況下,Sysvol 資料夾位於 %systemroot%資料夾中。Sysvol 資料夾包含網域的 [群組原則] 物件、 Sysvol 和 Netlogon 的共用和檔案複寫服務 (FRS) 的臨時資料夾。

如果在 Sysvol 資料夾或 Sysvol 共用權限是過於嚴格,群組原則無法正確地,套用,並會造成使用者環境 (Userenv) 錯誤。此外,如果 Sysvol 共用或群組原則物件已遺失,可能就會發生 Userenv 錯誤。
每個網域控制站上確定 Sysvol 共用可用,請在命令提示字元執行 net 共用 命令。要這麼做,請您執行下列步驟:
  1. 按一下 [開始] 再按一下 [執行、 在 [開啟] 方塊中鍵入 cmd 然後再按一下 [確定]
  2. 鍵入 網路共用,並按下 ENTER。
  3. 在資料夾清單中,找出 SYSVOLNETLOGON
如果 Sysvol 或 Netlogon 共用的一個或多個網域控制站遺失了,您必須解決問題的原因。 如需有關如何疑難排解 Windows 2000 Server 中遺失的 Sysvol 和 Netlogon 共用的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
257338? (http://support.microsoft.com/kb/257338/ ) 疑難排解 Windows 2000 網域控制站上遺失的 SYSVOL 和 NETLOGON 共用
如更多有關如何重建 Sysvol 共用 Windows Server 2003 中的,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
315457? (http://support.microsoft.com/kb/315457/ ) 如何重建 SYSVOL 樹狀目錄和其內容在網域中
之後請確定 Sysvol 共用可以使用確定設定 [Sysvol 資料夾]、 [Sysvol] 共用] 及 [包含 Sysvol 資料夾的磁碟區的根資料夾,以正確的權限。如所需的 Sysvol 共用和 Sysvol 資料夾的權限的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
290647? (http://support.microsoft.com/kb/290647/ ) 每隔五分鐘在應用程式事件記錄檔會記錄事件識別碼 1000,1001
此外,在 Windows 2000 Server 上 「 每個人 」 群組必須被授與包含 Sysvol 資料夾的磁碟區的根資料夾上的完全控制權限。在 Windows Server 2003 上 「 每個人] 群組必須授予讀取 &amp; 執行 」 只有,這個資料夾 」 的特殊權限和 domain\Users 群組必須被授與下列標準權限:
  • 讀取 &amp; 執行
  • 列出資料夾內容
  • 讀取
此外,在 Windows Server 2003 上 domain\Users 群組必須具有下列的特殊權限:
  • 讀取 &amp; 執行 」 這個資料夾、 子資料夾及權限的檔案"。
  • 建立資料夾 / 附加資料 」 這個資料夾及權限的子資料夾"
  • 建立檔案/只寫入資料] 使用權限權 」 子資料夾。
確認 Sysvol 權限之後請確定 Sysvol 資料夾包含必要的 [群組原則] 物件。若要尋找所需的 [群組原則] 物件,使用 Gpotool.exe 程式從 Windows 2000 或 Windows Server 2003 資源工具箱 」。

如果要 Windows 2000 Server Gpotool.exe 將程式的下載請造訪下列 Microsoft"Gpotool.exe: 群組原則驗證工具 」 網站:
http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
如果要下載 Windows Server 2003 資源套件工具,請造訪下列 Microsoft 「 Windows Server 2003 資源套件工具 」 網站:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)
如果您在執行 Gpotool.exe 程式而不需要任何選項它會掃描網域中的所有網域控制站上的所有群組原則物件。如果您要包含在 / checkacl 切換工具也會掃描 Sysvol 存取控制清單 (ACL)。 詳細輸出執行 Gpotool.exe 程式時, 使用 / 詳細 參數。

或者,您可以手動確認 SYSVOL 資料夾中個別的 GPO。比方說如果 Userenv 1058 事件中的描述列出一個 GPO 名稱,您可以手動檢查 SYSVOL 資料夾中個別的 GPO。您可以這樣做以確定它包含 USER 資料夾、 機器的資料夾和 Gpt.ini 檔案。若要手動驗證 SYSVOL 資料夾中個別的 GPO,請依照下列步驟執行:
  1. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  2. 型別 Time / 互動式/下一個: cmd.exe,然後請按其中 Time 是 1 的 ENTER 鍵或 2 分鐘晚於目前的時間,且以 24 小時制格式寫入。比方說 3 分鐘後下午 1: 00 就是 13: 03 以 24 小時制時間格式。
  3. 在您在前一個指令中指定的時間,新的命令提示字元] 視窗隨即開啟。輸入 net use j: \\domainname.com\sysvol\domainname.com\Policies\ {GUID},然後按下其中 GUID 是處於 Userenv 事件描述的 GPO GUID 的 ENTER。範例如果 Userenv 1058 事件描述寫著,"檔案可能在位置都必須存在 < \\Domain_Name.com\sysvol\ Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini >,"要使用命令中的 GUID 是 31B2F340-016 D 11 D 2-代表-00C04FB984F9。
  4. 鍵入 dir j:\*.*,並按下 ENTER。
  5. 確認使用者資料夾]、 [機器資料夾] 和 [一個 Gpt.ini 檔案會列在資料夾,列出的如我磁碟機。如果這些資料夾和檔案的任何一個遺漏網路上的電腦很可能 Userenv 錯誤記錄在應用程式記錄檔。
如果一或多個群組原則物件的 [Sysvol 遺失了執行 「 Windows Server 2003 預設群組原則公用程式還原 」 的資料夾 (Dcgpofix.exe) 或 「 Windows 2000 預設的群組原則] 還原工具 (Recreatedefpol.exe),重新建立預設的 [群組原則] 物件。

Dcgpofix.exe 程式是隨附於 Windows Server 2003。如需有關 Dcgpofix.exe 程式的詳細資訊,執行 dcgpofix /? 命令在命令提示字元。

請 Recreatedefpol.exe 程式有關造訪下列 Microsoft Windows 2000 預設群組原則還原工具網站:
http://www.microsoft.com/downloads/details.aspx?familyid=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&displaylang=en)
請確定當您掃描 Sysvol 磁碟機與防毒軟體時設定建議的排除項目。使用防毒軟體掃描可以封鎖如 Gpt.ini 檔案所需檔案的存取權限。您必須設定所有即時、 目前規劃,及手動防毒掃描這些排除項目。 如建議排除的更多有關當您在 Windows 伺服器上執行防毒程式,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
822158? (http://support.microsoft.com/kb/822158/ ) 病毒掃描建議在 Windows 2000 或 Windows Server 2003 網域控制站上

步驟 6: 請確定略過周遊檢查權限授與所需的群組

略過周遊檢查權限必須授與網域控制站上下列群組:
  • 系統管理員
  • 已驗證的使用者
  • 每一個人
  • Windows 前版 2000年相容的存取
若要驗證的略過周遊檢查權限已授與在 Windows Server 2003 網域控制站上,請依照下列步驟執行:
  1. 按一下 [開始],指向 [系統管理工具],然後再按一下 [網域控制站安全性原則
  2. 展開 [本機原則],] 然後按一下 [使用者權限指派]
  3. 按兩下 [略過周遊檢查]。
  4. 按一下以選取 [定義這些原則設定] 核取方塊。
  5. 確認 「 系統管理員、 已驗證的使用者、 所有人,及 Pre-Windows 2000 相容的存取群組已列出此原則設定。如果其中任一群組遺漏請依照下列步驟執行:
    1. 按一下 [新增使用者或群組]。
    2. 在 [的 [使用者] 和 [群組名稱] 方塊輸入遺失的群組的名稱,然後按一下 [[確定]
  6. 按一下 [確定] 以關閉原則設定。
  7. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  8. 鍵入 gpupdate/force,並按下 ENTER。
若要驗證的略過周遊檢查權限已授與 Windows 2000 Server 為基礎的網域控制站上,請依照下列步驟執行:
  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [網域控制站安全性原則]。
  2. 展開 [安全性設定],展開 [本機原則],然後再按一下 [使用者權限指派]
  3. 按兩下 [略過周遊檢查]。
  4. 按一下以選取 [定義這些原則設定] 核取方塊。
  5. 確認 「 系統管理員、 已驗證的使用者、 所有人,及 Pre-Windows 2000 相容的存取群組已列出此原則設定。如果缺少任何一種這些群組,請依照下列步驟執行:
    1. 按一下 [新增]。
    2. 在 [的 [使用者] 和 [群組名稱] 方塊輸入遺失的群組的名稱,然後按一下 [[確定]
  6. 按一下 [確定] 以關閉原則設定。
  7. 啟動命令提示字元。如果要執行這項操作,按一下 [開始],再按一下 [執行cmd 並在中輸入 [開啟] 方塊然後按 [確定]
  8. 型別 secedit /refreshpolicy machine_policy / 強制,然後按 ENTER 鍵。

步驟 7: 請確定網域控制站不處於日誌換行功能狀態

網域控制站在日誌換行的狀態、 在 「 事件檢視器 」 中檢視檔案複寫服務記錄檔和搜尋 NTFRS 事件 ID 13568。事件識別碼 13568 會類似於下列事件識別碼:

事件類型: 警告
事件來源: NtFrs
事件類別: 無
事件識別碼: 13568
日期: DATE
時間: TIME
使用者: N/A
電腦: ServerName
描述: 檔案複寫服務偵測到複本集中 <1>"處於 JRNL_WRAP_ERROR。 複本集的名稱是: <1>」 的複本根路徑是: <2>」 的複本根磁碟區是: <3>"

如果 NTFRS 事件識別碼 13568 登入網域控制站,檢視下列微軟知識庫文件,如需有關如何疑難排解日誌換行錯誤資訊:
292438? (http://support.microsoft.com/kb/292438/ ) Sysvol 和 DFS 的複本集上 journal_wrap 錯誤疑難排解

步驟 8: 執行 Dfsutil /PurgeMupCache 命令

執行 Dfsutil.exe 程式具有 / PurgeMupCache 參數,以清除本機 DFS/MUP 快取資訊。Dfsutil.exe 程式包含在 Windows 2000 Server 支援工具及 Windows Server 2003 支援工具。 如更多有關相關主題的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
842804? (http://support.microsoft.com/kb/842804/ ) 當 Windows Server 2003 電腦時可能會停止回應繼續從待命狀態,事件 1030年和 1058年記錄在網域控制站的應用程式記錄檔
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbmt kbresolve kbwinservperf kbmgmtservices kbprb kbtshoot KB887303 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:887303? (http://support.microsoft.com/kb/887303/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。