Nie można otworzyć udziałów plików ani zasady grupy przystawek na kontrolerze domeny

  • Artykuł

W tym artykule opisano sposób rozwiązania problemu występującego po wyłączeniu podpisywania protokołu SMB dla stacji roboczej lub usługi serwera na kontrolerze domeny.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 839499

Podsumowanie

Nie można otworzyć udziałów plików ani przystawki zasady grupy na kontrolerze domeny systemu Windows Server 2003 lub na kontrolerze domeny systemu Windows 2000 Server. Po zalogowaniu się do kontrolera domeny lokalnie, a następnie próbie otwarcia udziałów na kontrolerze domeny, otrzymujesz powtarzające się monity o hasło i nie można otworzyć udziałów. Ten problem można rozwiązać, zmieniając rejestr.

Ostrzeżenie

Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Ich rozwiązanie może wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Rejestr można modyfikować na własną odpowiedzialność.

Symptomy

Scenariusz 1 — podpisywanie bloku komunikatów serwera (SMB) jest wyłączone dla usługi stacji roboczej na kontrolerze domeny, ale podpisywanie protokołu SMB jest wymagane dla usługi serwera na tym samym kontrolerze domeny

Windows Server 2003

Podczas próby otwarcia przystawki zasady grupy na kontrolerze domeny zostanie wyświetlony komunikat o błędzie podobny do następującego:

Nie masz uprawnień do wykonania tej operacji. Odmowa dostępu.

Kontroler domeny rejestruje następujące zdarzenia w dzienniku zdarzeń aplikacji co pięć minut:

Windows 2000 Server

Podczas próby otwarcia przystawki zasady grupy na kontrolerze domeny zostanie wyświetlony komunikat o błędzie podobny do następującego:

Nie masz uprawnień do wykonania tej operacji.

Odmowa dostępu. Kontroler domeny rejestruje następujące zdarzenie w dzienniku zdarzeń aplikacji:

Po zalogowaniu się do kontrolera domeny lokalnie, a następnie próbie otwarcia udziałów na kontrolerze domeny, otrzymujesz powtarzające się monity o hasło i nie można otworzyć udziałów.

Scenariusz 2 — Podpisywanie protokołu SMB jest wyłączone dla usługi serwera na kontrolerze domeny, ale podpisywanie SMB jest wymagane dla usługi stacji roboczej na tym samym kontrolerze domeny

Windows Server 2003

Nie można otworzyć obiektu zasady grupy. Użytkownik może nie mieć odpowiednich praw.

Konto nie jest autoryzowane do logowania się z tej stacji.

Jeśli w śledzeniu sieci podpisywanie protokołu SMB jest włączone i wymagane na kliencie i jest wyłączone na serwerze, połączenie z sesją TCP jest bezpiecznie zamknięte po negocjacjach dialektu, a klient otrzymuje następujący błąd:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Kontroler domeny rejestruje następujące zdarzenia w dzienniku zdarzeń aplikacji co pięć minut: Po zalogowaniu się do kontrolera domeny lokalnie, a następnie próbie otwarcia udziałów plików na kontrolerze domeny, zostanie wyświetlony komunikat o błędzie podobny do następującego:

\\Nazwa_serwera\Share_Name jest niedostępna. Być może nie masz uprawnień do korzystania z tego zasobu sieci. Skontaktuj się z administratorem tego serwera, aby dowiedzieć się, czy masz uprawnienia dostępu.

Konto nie jest autoryzowane do logowania się z tej stacji.

Uwaga

W śledzeniu sieci, jeśli podpisywanie SMB jest włączone i jeśli podpisywanie SMB jest wymagane na kliencie i jest wyłączone na serwerze, połączenie z sesją TCP jest bezpiecznie zamknięte po negocjacjach dialektu. Ponadto klient otrzymuje następujący komunikat o błędzie: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Podczas próby otwarcia przystawki zasady grupy na kontrolerze domeny jest wyświetlany komunikat o błędzie podobny do następującego:

Nie można otworzyć obiektu zasady grupy. Użytkownik może nie mieć odpowiednich praw.

Konto nie jest autoryzowane do logowania się z tej stacji.

Kontroler domeny rejestruje następujące zdarzenie w dzienniku zdarzeń aplikacji: Po zalogowaniu się do kontrolera domeny lokalnie, a następnie próbie otwarcia udziałów plików na kontrolerze domeny, zostanie wyświetlony komunikat o błędzie podobny do następującego:

\\Nazwa_serwera\Share_Name jest niedostępna.

Konto nie jest autoryzowane do logowania się z tej stacji.

Uwaga

W śledzeniu sieci, jeśli podpisywanie SMB jest włączone i jeśli podpisywanie SMB jest wymagane na kliencie i jest wyłączone na serwerze, połączenie z sesją TCP jest bezpiecznie zamknięte po negocjacjach dialektu. Ponadto klient otrzymuje następujący komunikat o błędzie: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows XP.

Krok 1. Zmiana rejestru

Zmień wartość wpisu rejestru enablesecuritysignature. Aby to zrobić, wykonaj następujące kroki.

  1. Na kontrolerze domeny kliknij przycisk Start, a następnie kliknij przycisk Uruchom.

  2. Skopiuj, a następnie wklej (lub wpisz) polecenie regedit w polu Otwórz, a następnie naciśnij klawisz Enter.

    Zrzut ekranu przedstawiający okno Uruchamianie z wpisywaniem regedit w polu Otwórz.

  3. Odszukaj, a następnie kliknij następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. W okienku po prawej stronie kliknij dwukrotnie pozycję enablesecuritysignature, wpisz 1 w polu Dane wartości , a następnie kliknij przycisk OK.

  5. Kliknij dwukrotnie pozycję Requiresecuritysignature, wpisz 1 w polu Dane wartości , a następnie kliknij przycisk OK.

  6. Odszukaj, a następnie kliknij następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. W okienku po prawej stronie kliknij dwukrotnie pozycję enablesecuritysignature, wpisz 1 w polu Dane wartości , a następnie kliknij przycisk OK.

  8. Kliknij dwukrotnie pozycję Requiresecuritysignature, wpisz 0 w polu Dane wartości , a następnie kliknij przycisk OK.

Krok 2. Uruchom ponownie usługę serwera i usługę Stacji roboczej Po zmianie wartości rejestru uruchom ponownie usługę Serwer i usługę Stacji roboczej.

Ważna

Nie uruchamiaj ponownie kontrolera domeny, ponieważ ta akcja może spowodować, że zasady grupy zmieni wartości rejestru z powrotem na wcześniejsze wartości.

Aby ponownie uruchomić usługę Serwera i usługę Stacji roboczej, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Usługi.

  2. Kliknij prawym przyciskiem myszy pozycję Serwer, a następnie kliknij przycisk Uruchom ponownie.

    Zrzut ekranu przedstawiający okno Usługi z wybranym serwerem i menu z wybraną opcją Uruchom ponownie.

  3. Kliknij prawym przyciskiem myszy pozycję Stacja robocza, a następnie kliknij przycisk Uruchom ponownie.

Uwaga

Jeśli zostanie wyświetlony monit o ponowne uruchomienie innych usług, kliknij przycisk Tak.

Krok 3. Aktualizowanie udziału Sysvol

Zaktualizuj udział Sysvol kontrolera domeny. Aby to zrobić, wykonaj następujące kroki.

  1. Otwórz udział Sysvol kontrolera domeny. Aby to zrobić, kliknij przycisk Start, kliknij przycisk Uruchom, wpisz \\Server_Name\Sysvol w polu Otwórz , a następnie naciśnij klawisz Enter.
  2. Jeśli udział Sysvol nie zostanie otwarty, powtórz krok 1 — zmiana rejestru i krok 2 — ponowne uruchomienie usług Serwer i stacja robocza .
  3. Powtórz krok 1 — zmień rejestr i krok 2 — uruchom ponownie usługę Serwer i stacja robocza na każdym kontrolerze domeny, których dotyczy problem, aby upewnić się, że każdy kontroler domeny może uzyskać dostęp do własnego udziału Sysvol.

Krok 4. Konfigurowanie ustawień zasad protokołu SMB

Po nawiązaniu połączenia z udziałem Sysvol na każdym kontrolerze domeny otwórz przystawkę Zasady zabezpieczeń kontrolera domeny, a następnie skonfiguruj ustawienia zasad podpisywania SMB. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń kontrolera domeny.

  2. W okienku po lewej stronie rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.

  3. W okienku po prawej stronie kliknij dwukrotnie serwer sieci firmy Microsoft: Podpisz cyfrowo komunikację (zawsze).

    Uwaga

    W systemie Windows 2000 Server równoważnym ustawieniem zasad jest podpisywanie cyfrowe komunikacji serwera (zawsze)..

    Ważna

    Jeśli masz komputery klienckie w sieci, które nie obsługują podpisywania SMB, nie można włączyć serwera sieci firmy Microsoft: ustawienie zasad podpisywania cyfrowego komunikacji (zawsze ). Jeśli to ustawienie zostanie włączone, musisz mieć podpisywanie SMB dla całej komunikacji z klientem, a komputery klienckie, które nie obsługują podpisywania SMB, nie będą mogły łączyć się z innymi komputerami. Na przykład klienci z systemem Apple Macintosh OS X lub Microsoft Windows 95 nie obsługują podpisywania SMB. Jeśli sieć zawiera klientów, którzy nie obsługują podpisywania SMB, ustaw te zasady na wyłączone.

    Zrzut ekranu przedstawiający okno Domyślne ustawienia zabezpieczeń kontrolera domeny z wybranymi opcjami zabezpieczeń.

  4. Kliknij, aby zaznaczyć pole wyboru Zdefiniuj to ustawienie zasad , kliknij przycisk Włączone, a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający okno serwera sieci firmy Microsoft z wybranym i włączonym ustawieniem Zdefiniuj te zasady.

  5. Kliknij dwukrotnie serwer sieci firmy Microsoft: Podpisz cyfrowo komunikację (jeśli klient wyrazi na to zgodę).

    Uwaga

    W przypadku systemu Windows 2000 Server równoważnym ustawieniem zasad jest podpisywanie cyfrowe komunikacji z serwerem (jeśli jest to możliwe).

  6. Kliknij, aby zaznaczyć pole wyboru Zdefiniuj to ustawienie zasad , a następnie kliknij pozycję Włączone.

  7. Kliknij przycisk OK.

  8. Kliknij dwukrotnie klienta sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze).

  9. Kliknij, aby wyczyścić pole wyboru Zdefiniuj to ustawienie zasad , a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający okno serwera sieci firmy Microsoft z polem wyboru Zdefiniuj to ustawienie zasad zostało wyczyszczone.

  10. Kliknij dwukrotnie klienta sieci firmy Microsoft: podpisuj cyfrowo komunikację (jeśli serwer wyrazi na to zgodę).

  11. Kliknij, aby wyczyścić pole wyboru Zdefiniuj to ustawienie zasad , a następnie kliknij przycisk OK.

Krok 5. Uruchamianie narzędzia zasady grupy Update

Uruchom narzędzie zasady grupy Update (Gpupdate.exe) z przełącznikiem wymuszania. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

  2. Skopiuj i wklej (lub wpisz) polecenie cmd w polu Otwórz, a następnie naciśnij klawisz Enter.

    Zrzut ekranu przedstawiający okno Uruchamianie z poleceniem cmd wpisanym w polu Otwórz.

  3. W wierszu polecenia wpisz gpupdate /force, a następnie naciśnij klawisz Enter.

    Uwaga

    Narzędzie zasady grupy Update nie istnieje w systemie Windows 2000 Server. W systemie Windows 2000 Server równoważne polecenie to secedit /refreshpolicy machine_policy /enforce.

Krok 6. Sprawdzanie dziennika zdarzeń aplikacji

Po uruchomieniu narzędzia zasady grupy Update sprawdź dziennik zdarzeń aplikacji, aby upewnić się, że ustawienia zasady grupy zostały pomyślnie zaktualizowane. Po pomyślnej aktualizacji zasady grupy kontroler domeny rejestruje identyfikator zdarzenia 1704. Aby otworzyć dziennik aplikacji w Podgląd zdarzeń, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Podgląd zdarzeń.

  2. W okienku po lewej stronie kliknij pozycję Aplikacja.

    Zrzut ekranu przedstawiający okno Podgląd zdarzeń z wybraną aplikacją.

  3. Kliknij dwukrotnie identyfikator zdarzenia 1704 i upewnij się, że ustawienie zasady grupy zostało zastosowane pomyślnie.

    Uwaga

    Źródłem zdarzenia jest SceCli.

    Zrzut ekranu przedstawiający okno Właściwości zdarzenia o identyfikatorze zdarzenia 1704.

Krok 7. Sprawdzanie wartości rejestru

Sprawdź wartości rejestru zmienione w kroku 1 — zmień rejestr, aby upewnić się, że wartości rejestru nie uległy zmianie.

Uwaga

Ten krok zapewnia, że ustawienie zasad powodujących konflikt nie jest stosowane na poziomie innej grupy lub jednostki organizacyjnej (OU). Jeśli na przykład zasady klienta sieci firmy Microsoft: podpisują cyfrowo zasady komunikacji (jeśli serwer wyrazi zgodę) są skonfigurowane jako "Nie zdefiniowane" w zasadach zabezpieczeń kontrolera domeny, ale te same zasady są skonfigurowane jako wyłączone w zasadach zabezpieczeń domeny, podpisywanie SMB zostanie wyłączone dla usługi Stacji roboczej.

Krok 8. Sprawdzanie ustawień zasad podpisywania protokołu SMB przy użyciu przystawki Wynikowy zestaw zasad (RSoP)

Jeśli wartości rejestru uległy zmianie po uruchomieniu narzędzia zasady grupy Update, sprawdź ustawienia zasad podpisywania protokołu SMB przy użyciu przystawki RSoP w systemie Windows Server 2003. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz rsop.msc w polu Otwórz , a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający okno Uruchamianie z plikiem rsop.msc wpisanym w polu Otwórz.

  2. W przystawce RSoP ustawienia podpisywania protokołu SMB znajdują się w następującej ścieżce: Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady lokalne/Opcje zabezpieczeń

    Uwaga

    Jeśli korzystasz z systemu Windows 2000 Server, zainstaluj narzędzie zasady grupy Update z zestawu zasobów systemu Windows 2000 Server, a następnie wpisz następujące polecenie w wierszu polecenia:gpresult /scope computer /v

  3. Po uruchomieniu tego polecenia zostanie wyświetlona lista Zastosowane obiekty zasady grupy. Ta lista zawiera wszystkie obiekty zasady grupy, które są stosowane do konta komputera. Sprawdź ustawienia zasad podpisywania protokołu SMB dla wszystkich tych obiektów zasady grupy.

Dodatkowe materiały

To zachowanie występuje, jeśli ustawienia podpisywania protokołu SMB dla usługi Stacji roboczej i usługi serwera są ze sobą sprzeczne. Podczas konfigurowania kontrolera domeny w ten sposób usługa stacji roboczej na kontrolerze domeny nie może nawiązać połączenia z udziałem Sysvol kontrolera domeny. W związku z tym nie można uruchomić zasady grupy przystawek. Ponadto jeśli zasady podpisywania SMB są ustawiane przez domyślne zasady zabezpieczeń kontrolera domeny, problem dotyczy wszystkich kontrolerów domeny w sieci. W związku z tym replikacja zasady grupy w usłudze katalogowej Active Directory zakończy się niepowodzeniem i nie będzie można edytować zasady grupy cofnąć tych ustawień.

Scenariusz 1 — jeśli uruchamiasz narzędzie diagnostyczne kontrolera domeny (DcDiag.exe), występują błędy podobne do następujących w systemie Windows 2000 Server i Windows Server 2003

Test początkowy: MachineAccount
Nie można otworzyć potoku przy użyciu polecenia [SERVERNAME]:failed z wartością 5: Odmowa dostępu.
Nie można pobrać nazwy NetBIOSDomainName
Niepowodzenie nie może przetestować nazwy SPN hosta
Niepowodzenie nie może przetestować nazwy SPN hosta
* Brak nazwy SPN :(null)
* Brak nazwy SPN :(null)
......................... Test machineAccount serwera SERVERNAME zakończył się niepowodzeniem
Test początkowy: usługi
Nie można otworzyć zdalnego ipc do [SERVERNAME]:failed z 5: Odmowa dostępu.
......................... Usługi testowe SERVERNAME zakończyły się niepowodzeniem
Test początkowy: ObjectsReplicated
......................... SERVERNAME przeszedł test ObjectsReplicated
Test początkowy: frssysvol
[SERVERNAME] Operacja net use lub LsaPolicy nie powiodła się z powodu błędu 5. Odmowa dostępu.
......................... Niepowodzenie testu SERVERNAME frssysvol
Test początkowy: frsevent
......................... ServerNAME nie powiodło się, test frsevent
Test początkowy: kccevent
Nie można wyliczyć rekordów dziennika zdarzeń, błąd Odmowa dostępu.
......................... Kccevent testu SERVERNAME nie powiodło się
Test początkowy: systemlog
Nie można wyliczyć rekordów dziennika zdarzeń, błąd Odmowa dostępu.
......................... Testowy dziennik testowy SERVERNAME zakończył się niepowodzeniem

Scenariusz 2 . Jeśli uruchomisz narzędzie diagnostyczne kontrolera domeny, zostaną wyświetlone błędy podobne do następujących w przypadku systemu Windows 2000 Server i windows Server 2003

Serwer testowy: Default-First-Site-Name\SERVERNAME
Test początkowy: replikacje
......................... ServerNAME przeszedł test Replikacje
Test początkowy: NCSecDesc
......................... SERVERNAME przeszedł test NCSecDesc
Test początkowy: NetLogons
[SERVERNAME] Operacja net use lub LsaPolicy nie powiodła się z powodu błędu 1240. Konto nie jest autoryzowane do logowania się z tej stacji.
......................... Test SERWERA SERVERNAME — netlogony zakończone niepowodzeniem
Test początkowy: Reklama
......................... SERVERNAME przeszedł test Anonsowanie
Test początkowy: KnowsOfRoleHolders
......................... SERVERNAME przeszedł test KnowsOfRoleHolders
Test początkowy: RidManager
......................... SERVERNAME przeszedł test RidManager
Test początkowy: MachineAccount
Nie można otworzyć potoku przy użyciu polecenia [SERVERNAME]:failed with 1240: Konto nie ma autoryzacji do logowania się z tej stacji.
Nie można pobrać nazwy NetBIOSDomainName
Niepowodzenie nie może przetestować nazwy SPN hosta
Niepowodzenie nie może przetestować nazwy SPN hosta
* Brak nazwy SPN :(null)
* Brak nazwy SPN :(null)
......................... Test machineAccount serwera SERVERNAME zakończył się niepowodzeniem
Test początkowy: usługi
Nie można otworzyć zdalnego ipc do [SERVERNAME]:failed z 1240: Konto nie jest autoryzowane do logowania się z tej stacji.
......................... Usługi testowe SERVERNAME zakończyły się niepowodzeniem
Test początkowy: ObjectsReplicated
......................... SERVERNAME przeszedł test ObjectsReplicated
Test początkowy: frssysvol
[SERVERNAME] Operacja net use lub LsaPolicy nie powiodła się z powodu błędu 1240. Konto nie jest autoryzowane do logowania się z tej stacji.
......................... Niepowodzenie testu SERVERNAME frssysvol
Test początkowy: frsevent
......................... ServerNAME nie powiodło się, test frsevent
Test początkowy: kccevent
Nie można wyliczyć rekordów dziennika zdarzeń, błąd Konto nie jest autoryzowane do logowania się z tej stacji. ......................... Kccevent testu SERVERNAME nie powiodło się
Test początkowy: systemlog
Nie można wyliczyć rekordów dziennika zdarzeń, błąd Konto nie jest autoryzowane do logowania się z tej stacji. ......................... Testowy dziennik testowy SERVERNAME zakończył się niepowodzeniem