現在オフラインです。再接続するためにインターネットの接続を待っています

ドメイン コントローラーでファイル共有またはグループ ポリシー スナップインを開くことができない

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

中小企業のお客様は、中小企業向けのサポート サイトで問題解決や学習に関する他のリソースを参照できます。
概要
Windows Server 2003 ドメイン コントローラーまたは Windows 2000 Server ドメイン コントローラーで、ファイル共有またはグループ ポリシー スナップインを開くことができません。ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上の共有を開こうとすると、パスワードの入力を何度も要求され、共有を開くことができません。この問題は、レジストリを変更することで解決できます。


警告 レジストリ エディターまたは別の方法を使用してレジストリを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

現象
状況 1 - ドメイン コントローラー上の Workstation サービスでサーバー メッセージ ブロック (SMB) 署名が無効にされているが、同じドメイン コントローラー上の Server サービスで SMB 署名が必要な場合

Windows Server 2003
ドメイン コントローラー上でグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。
この操作を実行するアクセス許可がありません。アクセスが拒否されました。
ドメイン コントローラーのアプリケーション イベント ログに、次のイベントが 5 分間隔で記録されます。

種類: エラー
イベント ソース: Userenv
分類: なし
イベント ID: 1058
ユーザー: NT AUTHORITY\SYSTEM
説明:
GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domain_Name,DC=com 用のファイル gpt.ini にアクセスできません。ファイルは場所 <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> に存在する必要があります (アクセスが拒否されました。)グループ ポリシーの処理は中止されました。

種類: エラー
イベント ソース: Userenv
分類: なし
イベント ID: 1030
ユーザー: NT AUTHORITY\SYSTEM
説明:
グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。

ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上の共有を開こうとすると、パスワードの入力を何度も要求され、共有を開くことができません。



Windows 2000 Server
ドメイン コントローラー上でグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。
この操作を実行するアクセス許可がありません。

アクセスが拒否されました。
ドメイン コントローラーのアプリケーション イベント ログに、次のイベントが記録されます。

種類: エラー
イベント ソース: Userenv
分類: なし
ユーザー: NT AUTHORITY\SYSTEM
説明:
\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol のレジストリ情報を (5) でアクセスできませんでした。



ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上の共有を開こうとすると、パスワードの入力を何度も要求され、共有を開くことができません。
状況 2 - ドメイン コントローラー上の Server サービスで SMB 署名が無効にされているが、同じドメイン コントローラー上の Workstation サービスで SMB 署名が必要な場合

Windows Server 2003
グループ ポリシー オブジェクトを開くことができませんでした。適切な権利がない可能性があります。

そのアカウントは、このワークステーションからのログインを許可されていません。
ネットワーク トレースでは、SMB 署名がクライアント側で有効にされ、必要とされていて、サーバー側では無効にされている場合、Dialect Negotiation 後に TCP セッションへの接続が閉じられ、クライアントに次のエラーが表示されます。
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
ドメイン コントローラーのアプリケーション イベント ログに、次のイベントが 5 分間隔で記録されます。

種類: エラー
イベント ソース: Userenv
分類: なし
イベント ID: 1058
ユーザー: NT AUTHORITY\SYSTEM
説明:
GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domain_Name,DC=com 用のファイル gpt.ini にアクセスできません。ファイルは場所 <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> に存在する必要があります (アクセスが拒否されました。)グループ ポリシーの処理は中止されました。

種類: エラー
イベント ソース: Userenv
分類: なし
イベント ID: 1030
ユーザー: NT AUTHORITY\SYSTEM
説明:
グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。

ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上のファイル共有を開こうとすると、次のようなエラー メッセージが表示されます。
\\Server_Name\Share_Name にアクセスできません。このネットワーク リソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかをこのサーバーの管理者に問い合わせてください。

そのアカウントは、このワークステーションからのログインを許可されていません。

注: ネットワーク トレースでは、SMB 署名がクライアント側で有効にされ、必要とされていて、サーバー側では無効にされている場合、Dialect Negotiation 後に TCP セッションへの接続が閉じられます。また、クライアントでは次のエラー メッセージが表示されます。
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
ドメイン コントローラー上でグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。
グループ ポリシー オブジェクトを開くことができませんでした。適切な権利がない可能性があります。

そのアカウントは、このワークステーションからのログインを許可されていません。
ドメイン コントローラーのアプリケーション イベント ログに、次のイベントが記録されます。

種類: エラー
イベント ソース: Userenv
分類: なし
イベント ID: 1000
ユーザー: NT AUTHORITY\SYSTEM
説明:
\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol のレジストリ情報を (1240) でアクセスできませんでした。

ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上のファイル共有を開こうとすると、次のようなエラー メッセージが表示されます。
\\Server_Name\Share_Name にアクセスできません。

そのアカウントは、このワークステーションからのログインを許可されていません。


注:
ネットワーク トレースでは、SMB 署名がクライアント側で有効にされ、必要とされていて、サーバー側では無効にされている場合、Dialect Negotiation 後に TCP セッションへの接続が閉じられます。また、クライアントでは次のエラー メッセージが表示されます。
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
解決方法
この問題を解決するには、以下の手順を実行します。

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、「Windows XP でレジストリをバックアップおよび復元する方法」を参照してください。

手順 1 - レジストリを変更する
enablesecuritysignature レジストリ エントリの値を変更します。この作業は、以下の手順で実行します。
  1. ドメイン コントローラーで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに、次のコマンドをコピーして貼り付けるか、または入力し、Enter キーを押します。
    regedit

  3. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. 右側のウィンドウの [enablesecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
  5. [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
  6. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. 右側のウィンドウの [enablesecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
  8. [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「0」と入力し、[OK] をクリックします。


手順 2 - Server サービスと Workstation サービスを再開する
レジストリの値を変更した後、Server サービスと Workstation サービスを再開します。

重要 ドメイン コントローラーを再起動すると、グループ ポリシーによってレジストリの値が以前の値に戻ることがあるため、ドメイン コントローラーは再起動しないでください。

Server サービスと Workstation サービスを再開するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。
  2. [Server] を右クリックし、[再起動] をクリックします。
  3. [Workstation] を右クリックし、[再起動] をクリックします。

    注: 他のサービスの再起動を確認するメッセージが表示されたら、[はい] をクリックします。


手順 3 - Sysvol 共有を更新する
ドメイン コントローラーの Sysvol 共有を更新します。この作業は、以下の手順で実行します。
  1. ドメイン コントローラーの Sysvol 共有を開きます。これを行うには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「\\サーバー名\Sysvol」と入力し、Enter キーを押します。
  2. Sysvol 共有が表示されない場合は、「手順 1 - レジストリを変更する」と「手順 2 - Server サービスと Workstation サービスを再開する」を繰り返します。
  3. それぞれのドメイン コントローラーが自分の Sysvol 共有にアクセスできるようにするには、問題が発生している各ドメイン コントローラーで、「手順 1 - レジストリを変更する」と「手順 2 - Server サービスと Workstation サービスを再開する」を繰り返します。


手順 4 - SMB ポリシーの設定をセットアップする
各ドメイン コントローラーで Sysvol 共有に接続した後、ドメイン コントローラー セキュリティ ポリシー スナップインを開き、SMB 署名ポリシーの設定をセットアップします。この作業は、以下の手順で実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントし、[ドメイン コントローラー セキュリティ ポリシー] をクリックします。
  2. 左側のウィンドウで [ローカル ポリシー] を展開し、[セキュリティ オプション] をクリックします。
  3. 右側のウィンドウで [Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う] をダブルクリックします。

    注: Windows 2000 Server の場合、これに相当するポリシー設定は [常にサーバーの通信にデジタル署名を行う] です。

    重要 SMB 署名をサポートしないネットワーク上にクライアント コンピューターがある場合は、"Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う" のポリシー設定を有効にしないでください。この設定を有効にした場合、すべてのクライアント通信に SMB 署名が必要になり、SMB 署名をサポートしないクライアント コンピューターが他のコンピューターに接続できなくなります。たとえば、Apple Macintosh OS X や Microsoft Windows 95 は SMB 署名をサポートしていません。ネットワーク上に SMB 署名をサポートしないクライアントがある場合は、このポリシーを無効に設定します。
  4. [このポリシーの設定を定義する] チェック ボックスをオンにし、[有効] をクリックして、[OK] をクリックします。
  5. [Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う] をダブルクリックします。

    注: Windows 2000 Server の場合、これに相当するポリシー設定は [可能な場合、サーバーの通信にデジタル署名を行う] です。
  6. [このポリシーの設定を定義する] チェック ボックスをオンにし、[有効] をクリックします。
  7. [OK] をクリックします。
  8. [Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う] をダブルクリックします。
  9. [このポリシーの設定を定義する] チェック ボックスをオフにし、[OK] をクリックします。
  10. [Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う] をダブルクリックします。
  11. [このポリシーの設定を定義する] チェック ボックスをオフにし、[OK] をクリックします。


手順 5 - グループ ポリシー更新ユーティリティを実行する
force スイッチを指定して、グループ ポリシー更新ユーティリティ (Gpupdate.exe) を実行します。この作業は、以下の手順で実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに、次のコマンドをコピーして貼り付けるか入力し、Enter キーを押します。
    cmd

  3. コマンド プロンプトで、「gpupdate /force」と入力し、Enter キーを押します。
グループ ポリシー更新ユーティリティの詳細については、「グループ ポリシー更新ユーティリティの説明」を参照してください。

注: グループ ポリシー更新ユーティリティは Windows 2000 Server には含まれていません。Windows 2000 Server の場合、これに相当するコマンドは secedit /refreshpolicy machine_policy /enforce です。

Windows 2000 Server での secedit コマンドの使用法の詳細については、「SECEDIT を使用して直ちにグループ ポリシーを強制的に更新する (リンク先は英語の場合があります)」を参照してください。

手順 6 - アプリケーション イベント ログを確認する
グループ ポリシー更新ユーティリティを実行した後、アプリケーション イベント ログを調べ、グループ ポリシーの設定が適切に更新されたことを確認します。グループ ポリシーが適切に更新されると、ドメイン コントローラーにイベント ID 1704 が記録されます。イベント ビューアーでアプリケーション ログを開くには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[イベント ビューアー] をクリックします。
  2. 左側のウィンドウで、[アプリケーション] をクリックします。
  3. イベント ID 1704 をダブルクリックして、グループ ポリシーの設定が正しく適用されたことを確認します。

    注: イベントのソースは SceCli です。


手順 7 - レジストリの値を確認する
手順 1 - レジストリを変更する」で変更したレジストリの値を調べ、レジストリの値が変更されていないことを確認します。

注: この手順を実行すると、競合するポリシー設定が別のグループや組織単位 (OU) レベルで適用されていないことを確認できます。たとえば、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" ポリシーがドメイン コントローラー セキュリティ ポリシーで "未定義" として構成されており、この同じポリシーがドメイン セキュリティ ポリシーで無効として構成されている場合、Workstation サービスに関しては SMB 署名が無効になります。

手順 8 - ポリシーの結果セット (RSoP) スナップインを使用して SMB 署名ポリシーの設定を確認する
グループ ポリシー更新ユーティリティを実行した後にレジストリの値が変更された場合は、Windows Server 2003 の RSoP スナップインを使用して SMB 署名ポリシーの設定を確認します。この作業は、以下の手順で実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「rsop.msc」と入力し、[OK] をクリックします。
  2. RSoP スナップインでは、SMB 署名の設定は次のパスにあります。
    コンピューターの構成/Windows の設定/セキュリティの設定/ローカル ポリシー/セキュリティ オプション
    注: Windows 2000 Server を搭載している場合は、Windows 2000 Server Resource Kit からグループ ポリシー更新ユーティリティをインストールし、コマンド プロンプトで次のコマンドを入力します。
    gpresult /scope computer /v
  3. このコマンドを実行すると、[適用されたグループ ポリシー オブジェクト] の一覧が表示されます。この一覧には、コンピューター アカウントに適用されているすべてのグループ ポリシーオブジェクトが表示されます。これらのすべてのグループ ポリシーオブジェクトについて、SMB 署名ポリシーの設定を確認します。
補足資料
この現象は、Workstation サービスと Server サービスの SMB 署名の設定が互いに矛盾する場合に発生します。このようにドメイン コントローラーを構成すると、ドメイン コントローラー上の Workstation サービスがドメイン コントローラーの Sysvol 共有に接続できません。そのため、グループ ポリシー スナップインを起動できません。また、SMB 署名ポリシーが既定のドメイン コントローラー セキュリティ ポリシーで設定されている場合、この問題はネットワーク上のすべてのドメイン コントローラーに影響します。そのため、Active Directory ディレクトリ サービスでグループ ポリシーのレプリケーションが失敗し、グループ ポリシーを編集して、これらの設定を元に戻すことができなくなります。

状況 1 - ドメイン コントローラー診断ツール (DcDiag.exe) を実行した場合、Windows 2000 Sever および Windows Server 2003 に次のようなエラーが表示されます。

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
状況 2 - ドメイン コントローラー診断ツールを実行した場合、Windows 2000 Sever および Windows Server 2003 に次のようなエラーが表示されます。

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test:RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240:The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240:The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station.......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station.......................... SERVERNAME failed test systemlog
プロパティ

文書番号:839499 - 最終更新日: 07/16/2013 01:41:00 - リビジョン: 5.1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal KB839499
フィードバック