Не удается запустить службу терминалов на сервере под управлением Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 946399 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

На сервере под управлением Windows Server 2008 запуск службы терминалов может оказаться невозможным.

Данная проблема возникает после обновления системы Windows до Windows Server 2008, например после обновления Windows Server 2003 до Windows Server 2008.

При возникновении проблемы в системном журнале регистрируются события, подобные приведенным ниже.

Имя журнала: Система
Источник: Microsoft-Windows-DistributedCOM
Дата: ДатаВремя
Код события: 10005
Категория задачи: —
Уровень: Ошибка
Ключевые слова: Классический
Пользователь: Н/Д
Компьютер: имя_компьютера
Описание: Ошибка DCOM "1297" при попытке запуска службы TermService с аргументами "" для запуска сервера: {F9A874B6-F8A8-4D73-B5A8-AB610816828B}

Имя журнала: Система
Источник: LSM
Дата: ДатаВремя
Код события: 1048
Категория задачи: —
Уровень: Ошибка
Ключевые слова: Классический
Пользователь: Н/Д
Компьютер: имя_компьютера
Описание: Не удалось запустить службы терминалов. Соответствующий код состояния: %1. Права, необходимые службе для правильной работы, не существуют в конфигурации учетной записи службы.

Для просмотра конфигурации службы и учетной записи можно использовать оснастку консоли управления (services.msc) и оснастку локальных параметров безопасности (secpol.msc).

Причина

Данная проблема возникает из-за того, что учетной записи NETWORK SERVICE не предоставлены следующие права пользователя:
  • настройка квот памяти для процесса (SeIncreaseQuotaPrivilege);
  • создание аудитов безопасности (SeAuditPrivilege) ;
  • замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege).
Примечание. Любая служба, настроенная для запуска с использованием учетной записи NETWORK SERVICE, может демонстрировать подобные симптомы.

Решение

Для устранения проблемы предоставьте учетной записи NETWORK SERVICE права пользователя, указанные в разделе "Причина".

Примечание. Для просмотра прав пользователя, действующих на локальном компьютере, можно использовать оснастку консоли управления secpol.msc.

Если сервер не является контроллером домена, воспользуйтесь для устранения проблемы способом 1 или 2. Если сервер является контроллером домена, воспользуйтесь способом 3 или 4.

Способ 1. Предоставление прав пользователя с помощью параметров локальной политики безопасности

Выполните действия, указанные ниже.
  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Secpol.msc и нажмите кнопку ОК.
  2. В консоли Локальная политика безопасности разверните узел Локальные политики и щелкните элемент Назначение прав пользователя.
  3. Дважды щелкните право пользователя Настройка квот памяти для процесса.
  4. В диалоговом окне Свойства щелкните команду Добавить пользователя или группу.
  5. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы введите NETWORK SERVICE в разделе Введите имена объектов для выбора и нажмите кнопку ОК.
  6. В диалоговом окне Свойства нажмите кнопку ОК.
  7. Повторите действия 3-6 для прав пользователя Создание аудитов безопасности и Замена маркера уровня процесса.
  8. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Gpupdate и нажмите кнопку ОК.

Способ 2: Предоставление прав пользователя в объекте групповой политики, который применяется к рядовым серверам

Выполните действия, указанные ниже.
  1. Выберите в меню Пуск пункт Выполнить, введите команду Gpmc.msc и нажмите кнопку .
  2. В консоли управления групповыми политиками разверните по очереди узлы Лес: имя_домена, Домены, Имя_домена и Объекты групповой политики, щелкните правой кнопкой мыши объект групповой политики, который применяется к рядовым серверам, и выберите команду Изменить.
  3. В консоли редактора управления групповыми политиками разверните по очереди узлы Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности и Локальные политики и щелкните элемент Назначение прав пользователя.
  4. Дважды щелкните право пользователя Настройка квот памяти для процесса.
  5. В диалоговом окне Свойства щелкните команду Добавить пользователя или группу.
  6. В диалоговом окне Добавление пользователя или группы введите NETWORK SERVICE в разделе Имена пользователей и групп и нажмите кнопку ОК.
  7. В диалоговом окне Свойства нажмите кнопку ОК.
  8. Повторите действия 4-7 для предоставления учетной записи NETWORK SERVICE прав пользователя Создание аудитов безопасности и Замена маркера уровня процесса.
  9. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Gpupdate и нажмите кнопку ОК.

Способ 3: Предоставление прав пользователя с помощью параметров групповой политики

Выполните действия, указанные ниже.
  1. Выберите в меню Пуск пункт Выполнить, введите команду Gpmc.msc и нажмите кнопку .
  2. В консоли управления групповыми политиками разверните по очереди узлы Лес: имя_домена, Домены, Имя_домена и Объекты групповой политики, щелкните правой кнопкой мыши элемент Политика контроллеров домена по умолчанию и выберите команду Изменить.
  3. В консоли редактора управления групповыми политиками разверните по очереди узлы Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности и Локальные политики и щелкните элемент Назначение прав пользователя.
  4. Дважды щелкните право пользователя Настройка квот памяти для процесса.
  5. В диалоговом окне Свойства щелкните команду Добавить пользователя или группу.
  6. В диалоговом окне Добавление пользователя или группы введите NETWORK SERVICE в разделе Имена пользователей и групп и нажмите кнопку ОК.
  7. В диалоговом окне Свойства нажмите кнопку ОК.
  8. Повторите действия 4-7 для предоставления учетной записи NETWORK SERVICE прав пользователя Создание аудитов безопасности и Замена маркера уровня процесса.
  9. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Gpupdate и нажмите кнопку ОК.

Способ 4: Обновление файла GptTmpl.inf

Выполните действия, указанные ниже.
  1. Откройте файл GptTmpl.inf в Блокноте или другом текстовом редакторе.

    Примечание. Файл GptTmpl.inf находится в следующей папке:
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. Обновите права пользователя следующими параметрами по умолчанию:
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Gpupdate и нажмите кнопку ОК.

Статус

Такое поведение является особенностью данного продукта.

Дополнительная информация

По умолчанию в Windows 2000 Server и Windows Server 2003 служба терминалов запускается с использованием учетной записи локальной системы. В Windows Server 2008 служба терминалов запускается с использованием учетной записи NETWORK SERVICE. Это сделано ради повышения уровня безопасности. Если не предоставить учетной записи NETWORK SERVICE права пользователя, указанные в разделе "Причина", служба терминалов запуститься не сможет.

Если удалить эти права пользователя у учетной записи NETWORK SERVICE в политике контроллеров домена по умолчанию, служба терминалов не сможет запуститься на контроллерах домена, работающих под управлением Windows Server 2008. Однако на контроллерах домена, работающих под управлением Windows 2000 Server или Windows Server 2003, служба терминалов запуститься сможет.

Дополнительные сведения см. в указанных ниже статьях базы знаний Майкрософт.
245207 Определение имен и значений NTRIGHTS (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
243330 Хорошо известные идентификаторы безопасности в операционных системах Windows

Свойства

Код статьи: 946399 - Последний отзыв: 3 апреля 2008 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Ключевые слова: 
kbtermserv kbexpertiseadvanced kbtshoot kbprb KB946399

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com