No se pueden abrir recursos compartidos de archivos ni complementos de directiva de grupo en un controlador de dominio

  • Artículo

En este artículo se describe cómo resolver un problema que se produce cuando la firma SMB está deshabilitada para el servicio Estación de trabajo o servidor en un controlador de dominio.

Se aplica a: Windows Server 2003
Número de KB original: 839499

Resumen

No puede abrir recursos compartidos de archivos ni los complementos de directiva de grupo en un controlador de dominio de Windows Server 2003 o en un controlador de dominio de Windows 2000 Server. Cuando inicia sesión en el controlador de dominio localmente e intenta abrir recursos compartidos en el controlador de dominio, recibe mensajes de contraseña repetidos y no puede abrir los recursos compartidos. Puede resolver este problema cambiando el registro.

Advertencia

Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.

Síntomas

Escenario 1: la firma del bloque de mensajes del servidor (SMB) está deshabilitada para el servicio Estación de trabajo en un controlador de dominio, pero se requiere la firma SMB para el servicio Server en el mismo controlador de dominio.

Windows Server 2003

Al intentar abrir directiva de grupo complementos en el controlador de dominio, recibe un mensaje de error similar al siguiente:

No tiene permiso para realizar esta operación. Acceso denegado.

El controlador de dominio registra los siguientes eventos en el registro de eventos de la aplicación cada cinco minutos:

Windows 2000 Server

Al intentar abrir directiva de grupo complementos en el controlador de dominio, recibe un mensaje de error similar al siguiente:

No tiene permiso para realizar esta operación.

Acceso denegado. El controlador de dominio registra el siguiente evento en el registro de eventos de la aplicación:

Cuando inicia sesión en el controlador de dominio localmente e intenta abrir recursos compartidos en el controlador de dominio, recibe mensajes de contraseña repetidos y no puede abrir los recursos compartidos.

Escenario 2: la firma SMB está deshabilitada para el servicio Server en un controlador de dominio, pero la firma SMB es necesaria para el servicio Workstation en el mismo controlador de dominio.

Windows Server 2003

No se pudo abrir el objeto directiva de grupo. Es posible que no tenga los derechos adecuados.

La cuenta no está autorizada para iniciar sesión desde esta estación.

En un seguimiento de red, si la firma SMB está habilitada y es necesaria en el cliente y está deshabilitada en el servidor, la conexión a la sesión TCP se cierra correctamente después de la negociación del dialecto y el cliente recibe el siguiente error:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

El controlador de dominio registra los siguientes eventos en el registro de eventos de la aplicación cada cinco minutos: Cuando inicia sesión en el controlador de dominio localmente e intenta abrir recursos compartidos de archivos en el controlador de dominio, recibe un mensaje de error similar al siguiente:

\\Nombre_de_servidor\Share_Name no es accesible. Es posible que no tenga permisos para usar este recurso de red. Póngase en contacto con el administrador de este servidor para comprobar si tiene permisos de acceso.

La cuenta no está autorizada para iniciar sesión desde esta estación.

Nota:

En un seguimiento de red, si la firma SMB está habilitada y si se requiere la firma SMB en el cliente y se deshabilita en el servidor, la conexión a la sesión TCP se cierra correctamente después de la negociación del dialecto. Además, el cliente recibe el siguiente mensaje de error: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Al intentar abrir directiva de grupo complementos en el controlador de dominio, recibirá un mensaje de error similar al siguiente:

No se pudo abrir el objeto directiva de grupo. Es posible que no tenga los derechos adecuados.

La cuenta no está autorizada para iniciar sesión desde esta estación.

El controlador de dominio registra el siguiente evento en el registro de eventos de la aplicación: Al iniciar sesión en el controlador de dominio localmente e intentar abrir recursos compartidos de archivos en el controlador de dominio, recibe un mensaje de error similar al siguiente:

\\Nombre_de_servidor\Share_Name no es accesible.

La cuenta no está autorizada para iniciar sesión desde esta estación.

Nota:

En un seguimiento de red, si la firma SMB está habilitada y si se requiere la firma SMB en el cliente y se deshabilita en el servidor, la conexión a la sesión TCP se cierra correctamente después de la negociación del dialecto. Además, el cliente recibe el siguiente mensaje de error: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Solución

Para resolver este comportamiento, siga estos pasos:

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el Registro, consulte Copia de seguridad y restauración del registro en Windows XP.

Paso 1: Cambio del registro

Cambie el valor de la entrada del Registro enablesecuritysignature. Para ello, siga estos pasos:

  1. En el controlador de dominio, haga clic en Inicioy, a continuación, haga clic en Ejecutar.

  2. Copie y pegue (o escriba) el comando regedit en el cuadro Abrir y, a continuación, presione Entrar.

    Captura de pantalla de la ventana Ejecutar con regedit escrito en el cuadro Abrir.

  3. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. En el panel derecho, haga doble clic en enablesecuritysignature, escriba 1 en el cuadro Datos del valor y, a continuación, haga clic en Aceptar.

  5. Haga doble clic en requiresecuritysignature, escriba 1 en el cuadro Datos del valor y, a continuación, haga clic en Aceptar.

  6. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. En el panel derecho, haga doble clic en enablesecuritysignature, escriba 1 en el cuadro Datos del valor y, a continuación, haga clic en Aceptar.

  8. Haga doble clic en requiresecuritysignature, escriba 0 en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.

Paso 2: Reinicie el servicio Servidor y el servicio Estación de trabajo Después de cambiar los valores del Registro, reinicie el servicio Servidor y el servicio Estación de trabajo.

Importante

No reinicie el controlador de dominio, ya que esta acción puede hacer que directiva de grupo vuelvan a cambiar los valores del Registro a los valores anteriores.

Para reiniciar el servicio Servidor y el servicio Estación de trabajo, siga estos pasos:

  1. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Servicios.

  2. Haga clic con el botón derecho en Servidor y, a continuación, haga clic en Reiniciar.

    Captura de pantalla de la ventana Servicios con el servidor seleccionado y un menú con Reiniciar seleccionado.

  3. Haga clic con el botón derecho en Estación de trabajo y, a continuación, haga clic en Reiniciar.

Nota:

Si se le pide que reinicie otros servicios, haga clic en Sí.

Paso 3: Actualización del recurso compartido sysvol

Actualice el recurso compartido Sysvol del controlador de dominio. Para ello, siga estos pasos:

  1. Abra el recurso compartido Sysvol del controlador de dominio. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba \\Server_Name\Sysvol en el cuadro Abrir y, a continuación, presione Entrar.
  2. Si el recurso compartido sysvol no se abre, repita paso 1: cambiar el registro y paso 2: reiniciar los servicios de servidor y estación de trabajo .
  3. Repita el paso 1: cambie el registro y el paso 2: reinicie los servicios servidor y estación de trabajo en cada controlador de dominio afectado para asegurarse de que cada controlador de dominio puede acceder a su propio recurso compartido sysvol.

Paso 4: Configuración de la configuración de la directiva SMB

Después de conectarse al recurso compartido Sysvol en cada controlador de dominio, abra el complemento Directiva de seguridad del controlador de dominio y configure la configuración de la directiva de firma SMB. Para ello, siga estos pasos:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad del controlador de dominio.

  2. En el panel izquierdo, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.

  3. En el panel derecho, haga doble clic en Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre).

    Nota:

    En Windows 2000 Server, la configuración de directiva equivalente es Firmar digitalmente la comunicación del servidor (siempre).

    Importante

    Si tiene equipos cliente en la red que no admiten la firma SMB, no debe habilitar la configuración de directiva Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre ). Si habilita esta configuración, debe tener la firma SMB para toda la comunicación de cliente y los equipos cliente que no admitan la firma SMB no podrán conectarse a otros equipos. Por ejemplo, los clientes que ejecutan Apple Macintosh OS X o Microsoft Windows 95 no admiten la firma SMB. Si la red incluye clientes que no admiten la firma SMB, establezca esta directiva en deshabilitada.

    Captura de pantalla de la ventana Configuración de seguridad predeterminada del controlador de dominio con opciones de seguridad seleccionadas.

  4. Haga clic para activar la casilla Definir esta configuración de directiva , haga clic en Habilitadoy, a continuación, haga clic en Aceptar.

    Captura de pantalla de la ventana servidor de red de Microsoft con la opción Definir esta directiva seleccionada y habilitada.

  5. Haga doble clic en Servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente está de acuerdo).

    Nota:

    Para Windows 2000 Server, la configuración de directiva equivalente es Firmar digitalmente la comunicación del servidor (cuando sea posible).

  6. Haga clic para activar la casilla Definir esta configuración de directiva y, a continuación, haga clic en Habilitado.

  7. Haga clic en Aceptar.

  8. Haga doble clic en Cliente de red de Microsoft: firme digitalmente las comunicaciones (siempre).

  9. Haga clic para desactivar la casilla Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.

    Captura de pantalla de la ventana del servidor de red de Microsoft con la casilla Definir esta configuración de directiva desactivada.

  10. Haga doble clic en Cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de acuerdo).

  11. Haga clic para desactivar la casilla Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.

Paso 5: Ejecución de la utilidad directiva de grupo Update

Ejecute la utilidad directiva de grupo Update (Gpupdate.exe) con el modificador force. Para ello, siga estos pasos:

  1. Haga clic en Inicio y luego en Ejecutar.

  2. Copie y pegue (o escriba) el comando cmd en el cuadro Abrir y, a continuación, presione Entrar.

    Captura de pantalla de la ventana Ejecutar con cmd escrito en el cuadro Abrir.

  3. En el símbolo del sistema, escriba gpupdate /force y presione Entrar.

    Nota:

    La utilidad directiva de grupo Update no existe en Windows 2000 Server. En Windows 2000 Server, el comando equivalente es secedit /refreshpolicy machine_policy /enforce.

Paso 6: Comprobación del registro de eventos de la aplicación

Después de ejecutar la utilidad directiva de grupo Update, compruebe el registro de eventos de la aplicación para asegurarse de que la configuración de directiva de grupo se actualizó correctamente. Después de una actualización correcta directiva de grupo, el controlador de dominio registra el identificador de evento 1704. Para abrir el registro de aplicación en Visor de eventos, siga estos pasos:

  1. Haga clic en Inicio, apunte a Herramientas administrativas y haga clic en Visor de eventos.

  2. En el panel izquierdo, haga clic en Aplicación.

    Captura de pantalla de la ventana Visor de eventos con la aplicación seleccionada.

  3. Haga doble clic en el identificador de evento 1704 y confirme que la configuración de directiva de grupo se aplicó correctamente.

    Nota:

    El origen del evento es SceCli.

    Captura de pantalla del ventana Propiedades de eventos para el identificador de evento 1704.

Paso 7: Comprobación de los valores del Registro

Compruebe los valores del Registro que ha cambiado en Paso 1: Cambiar el registro para asegurarse de que los valores del Registro no han cambiado.

Nota:

Este paso garantiza que no se aplique una configuración de directiva en conflicto en otro nivel de grupo o unidad organizativa (UO). Por ejemplo, si la directiva cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo) está configurada como "No definida" en Directiva de seguridad del controlador de dominio, pero esta misma directiva se configura como deshabilitada en Directiva de seguridad de dominio, la firma SMB se deshabilitará para el servicio Estación de trabajo.

Paso 8: Comprobación de la configuración de la directiva de firma SMB mediante el complemento Conjunto resultante de directivas (RSoP)

Si los valores del Registro han cambiado después de ejecutar la utilidad directiva de grupo Update, compruebe la configuración de la directiva de firma smb mediante el complemento RSoP en Windows Server 2003. Para ello, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba rsop.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar.

    Captura de pantalla de la ventana Ejecutar con rsop.msc escrito en el cuadro Abrir.

  2. En el complemento RSoP, la configuración de firma smb se encuentra en la siguiente ruta de acceso: Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad

    Nota:

    Si ejecuta Windows 2000 Server, instale la utilidad directiva de grupo Update desde el Kit de recursos de Windows 2000 Server y escriba lo siguiente en el símbolo del sistema:gpresult /scope computer /v

  3. Después de ejecutar este comando, aparece la lista Objetos directiva de grupo aplicados. En esta lista se muestran todos los objetos directiva de grupo que se aplican a la cuenta de equipo. Compruebe la configuración de la directiva de firma SMB para todos estos objetos directiva de grupo.

Recursos adicionales

Este comportamiento se produce si la configuración de firma SMB para el servicio Estación de trabajo y para el servicio Servidor se contradice entre sí. Al configurar el controlador de dominio de esta manera, el servicio Estación de trabajo del controlador de dominio no puede conectarse al recurso compartido Sysvol del controlador de dominio. Por lo tanto, no puede iniciar directiva de grupo complementos. Además, si las directivas de firma SMB se establecen mediante la directiva de seguridad predeterminada del controlador de dominio, el problema afecta a todos los controladores de dominio de la red. Por lo tanto, directiva de grupo replicación en el servicio active directory producirá un error y no podrá editar directiva de grupo para deshacer esta configuración.

Escenario 1: si ejecuta la herramienta de diagnóstico del controlador de dominio (DcDiag.exe), recibirá errores similares a los siguientes para Windows 2000 Server y Windows Server 2003.

Inicio de la prueba: MachineAccount
No se pudo abrir la canalización con [SERVERNAME]:failed con 5: Se denegó el acceso.
No se pudo obtener NetBIOSDomainName
Error no se puede probar para EL SPN de HOST
Error no se puede probar para EL SPN de HOST
* Falta SPN :(null)
* Falta SPN :(null)
......................... MachineAccount de prueba errónea de SERVERNAME
Inicio de la prueba: Servicios
No se pudo abrir ipc remoto en [SERVERNAME]:error con 5: Se denegó el acceso.
......................... SERVERNAME failed test Services
Prueba inicial: ObjectsReplicated
......................... SERVERNAME superó objetos de pruebaReplicated
Prueba inicial: frssysvol
[SERVERNAME] Error en una operación de uso neto o LsaPolicy con el error 5, Acceso denegado.
......................... Error en la prueba de SERVERNAME frssysvol
Prueba inicial: frsevent
......................... Error de prueba de SERVERNAME frsevent
Prueba inicial: kccevent
No se pudieron enumerar los registros de eventos, se denegó el acceso al error.
......................... Error de prueba de SERVERNAME kccevent
Inicio de la prueba: systemlog
No se pudieron enumerar los registros de eventos, se denegó el acceso al error.
......................... Registro del sistema de prueba con errores de SERVERNAME

Escenario 2: si ejecuta la herramienta de diagnóstico del controlador de dominio, recibirá errores similares a los siguientes para Windows 2000 Server y Windows Server 2003.

Servidor de pruebas: Default-First-Site-Name\SERVERNAME
Inicio de la prueba: replicación
......................... SERVERNAME superó las replicación de prueba
Prueba inicial: NCSecDesc
......................... SERVERNAME superó la prueba NCSecDesc
Prueba inicial: NetLogons
[SERVERNAME] Error 1240 en una operación de uso neto o LsaPolicy. La cuenta no está autorizada para iniciar sesión desde esta estación.
......................... NetLogons de prueba errónea de SERVERNAME
Inicio de la prueba: Publicidad
......................... SERVERNAME superó la publicidad de prueba
Prueba inicial: KnowsOfRoleHolders
......................... SERVERNAME superó la prueba KnowsOfRoleHolders
Prueba inicial: RidManager
......................... SERVERNAME superó el RidManager de prueba
Inicio de la prueba: MachineAccount
No se pudo abrir la canalización con [SERVERNAME]:failed con 1240: La cuenta no está autorizada para iniciar sesión desde esta estación.
No se pudo obtener NetBIOSDomainName
Error no se puede probar para EL SPN de HOST
Error no se puede probar para EL SPN de HOST
* Falta SPN :(null)
* Falta SPN :(null)
......................... MachineAccount de prueba errónea de SERVERNAME
Inicio de la prueba: Servicios
No se pudo abrir ipc remoto en [SERVERNAME]:failed con 1240: La cuenta no está autorizada para iniciar sesión desde esta estación.
......................... SERVERNAME failed test Services
Prueba inicial: ObjectsReplicated
......................... SERVERNAME superó objetos de pruebaReplicated
Prueba inicial: frssysvol
[SERVERNAME] Error 1240 en una operación de uso neto o LsaPolicy. La cuenta no está autorizada para iniciar sesión desde esta estación.
......................... Error en la prueba de SERVERNAME frssysvol
Prueba inicial: frsevent
......................... Error de prueba de SERVERNAME frsevent
Prueba inicial: kccevent
Error al enumerar registros de eventos, error La cuenta no está autorizada para iniciar sesión desde esta estación. ......................... Error de prueba de SERVERNAME kccevent
Inicio de la prueba: systemlog
Error al enumerar registros de eventos, error La cuenta no está autorizada para iniciar sesión desde esta estación. ......................... Registro del sistema de prueba con errores de SERVERNAME