Возникают ошибки Userenv, и события регистрируются после применения групповая политика на компьютерах под управлением Windows Server 2003, Windows XP или Windows 2000

  • Статья

В этой статье описывается решение проблем, из-за которых компьютеры в сети не могут подключаться к объектам групповая политика в папках Sysvol на сетевых контроллерах домена.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 887303

Сводка

Если групповая политика применяется к компьютерам в сети, может возникнуть одна или несколько ошибок и событий. Чтобы определить причину проблемы, необходимо устранить неполадки с конфигурацией компьютеров в сети. Чтобы устранить причину проблемы, выполните следующие действия.

  1. Изучите параметры DNS и свойства сети на серверах и клиентских компьютерах.
  2. Проверьте параметры подписывания блока сообщений сервера на клиентских компьютерах.
  3. Убедитесь, что на всех компьютерах запущены вспомогающая служба NetBIOS TCP/IP, служба net Logon и служба удаленного вызова процедур (RPC).
  4. Убедитесь, что на всех компьютерах включена распределенная файловая система (DFS).
  5. Изучите содержимое и разрешения папки Sysvol.
  6. Убедитесь, что для необходимых групп предоставлено право проверки обхода обхода.
  7. Убедитесь, что контроллеры домена не в состоянии оболочки журнала.
  8. Выполните команду dfsutil /purgemupcache.

Симптомы

На компьютере под управлением Microsoft Windows Server 2003, Microsoft Windows XP или Microsoft Windows 2000 возникают следующие симптомы:

  • групповая политика параметры не применяются к компьютерам.

  • групповая политика репликация между контроллерами домена в сети не завершена.

  • Вы не можете открыть групповая политика оснастки. Например, нельзя открыть оснастку "Политика безопасности контроллера домена" или оснастку "Политика безопасности домена".

  • При попытке открыть оснастку групповая политика появляется одно из следующих сообщений об ошибке:

    Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.
    Сведения. Учетная запись не авторизована на вход с этой станции.

    У вас нет разрешения на выполнение этой операции.
    Сведения: доступ запрещен.

    Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.
    Сведения: системе не удается найти указанный путь.

  • При попытке получить доступ к общим файлам на любом контроллере домена появляется сообщение об ошибке. Этот симптом возникает, даже если вы вошли на сервер и пытаетесь получить доступ к локальной общей папке. В частности, этот симптом может повлиять на доступ к общей папке Sysvol контроллера домена.

  • Если вы попытаетесь получить доступ к общей папке, вам неоднократно будет предложено ввести пароль.

  • При попытке получить доступ к общей папке появляется сообщение об ошибке, похожее на одно из следующих сообщений об ошибке:

    \\\ Server_NameShare_Name недоступна. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
    Учетная запись не авторизована на вход с этой станции.

    \\\ Server_NameShare_Name недоступна.
    Учетная запись не авторизована на вход с этой станции.

    Не найден сетевой путь.

При просмотре журнала приложения в Просмотр событий в Windows XP или Windows Server 2003 отображаются события, аналогичные следующим событиям:

Тип события: Ошибка

Источник события: Userenv
Категория события: None
Идентификатор события: 1058

Дата: Дата
Время:
Time
Пользователя:
User_name
Компьютере:
Computer_Name
Описание: Windows не может получить доступ к файлу gpt.ini для GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= имя_домена,DC=com . Файл должен присутствовать в расположении <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). групповая политика обработка прервана. Дополнительные сведения см. в разделе Центр справки и поддержки по адресу https://support.microsoft.com.

Сообщение об ошибке, которое отображается в заполнителье Error_Message в событии с идентификатором 1058, может быть любым из следующих сообщений об ошибке:

  • Не найден сетевой путь.

  • Отказ в доступе.

  • Не удалось прочитать сведения о конфигурации из контроллера домена, так как компьютер недоступен или доступ был запрещен.

Тип события: Ошибка
Источник события: Userenv
Категория события: None
Идентификатор события: 1030
Дата:
Date
Время:
Time
Пользователя:
User_name
Компьютере:
Computer_Name
Описание: Windows не может запрашивать список групповая политика объектов. Сообщение с описанием причины этого было ранее зарегистрировано обработчиком политик. Дополнительные сведения см. в разделе Центр справки и поддержки по адресу https://support.microsoft.com.

Как правило, если возникают события с идентификатором 1058 и событием 1030, они регистрируются на клиентских компьютерах и рядовых серверах при запуске компьютера. Контроллеры домена регистрируют эти события каждые пять минут.

При просмотре журнала приложения в Просмотр событий на компьютере под управлением Windows 2000 отображаются события, аналогичные следующим событиям:

Тип события: Ошибка
Источник события: Userenv

Категория события: None
Идентификатор события: 1000
Дата:
Date
Время:
Time
Пользователь: NT AUTHORITY\SYSTEM
Компьютере:
Computer_Name
Описание. Windows не может получить доступ к сведениям реестра по адресу \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol с (Error_Code).

Код ошибки, который отображается в заполнитель Error_Code в событии с идентификатором 1000, может быть любым из следующих кодов ошибок:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Причина

Эти проблемы возникают, если компьютеры в сети не могут подключиться к определенным групповая политика объектам. В частности, эти объекты находятся в папках Sysvol на контроллерах домена вашей сети.

Разрешение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы тщательно выполняете эти действия. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Чтобы устранить эту проблему, необходимо устранить неполадки в конфигурации сети, чтобы сузить причину проблемы, а затем исправить конфигурацию. Чтобы устранить возможную причину этой проблемы, выполните следующие действия.

Шаг 1. Изучение параметров DNS и свойств сети на серверах и клиентских компьютерах

В свойствах подключения к локальной области клиент для Microsoft Networks должен быть включен на всех серверах и клиентских компьютерах. Компонент "Общий доступ к файлам и принтерам" для Microsoft Networks должен быть включен на всех контроллерах домена.

Кроме того, каждый компьютер в сети должен использовать DNS-серверы, которые могут разрешать записи SRV и имена узлов для леса Active Directory, членом которого является компьютер. Как правило, распространенная ошибка конфигурации заключается в том, что клиентские компьютеры используют DNS-серверы, принадлежащие поставщику услуг Интернета.

На всех компьютерах, на которых зарегистрированы ошибки Userenv, проверьте параметры DNS и свойства сети. Кроме того, проверка эти параметры на всех контроллерах домена, независимо от того, регистрируют ли они ошибки Userenv.

Чтобы проверить параметры DNS и сетевые свойства на компьютерах под управлением Windows XP в сети, выполните следующие действия.

  1. Выберите Пуск, затем Панель управления.
  2. Если панель управления задано значение Представление категории, выберите Переключиться в классическое представление.
  3. Дважды щелкните сетевой Connections, щелкните правой кнопкой мыши Подключение по локальной сети и выберите пункт Свойства.
  4. На вкладке Общие щелкните, чтобы выбрать проверка Клиент для Microsoft Networks.
  5. Выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.
  6. Если выбран параметр Использовать следующие адреса DNS-серверов , убедитесь, что IP-адреса для предпочтительных и альтернативных DNS-серверов являются IP-адресами DNS-серверов, которые могут разрешать записи SRV и имена узлов в Active Directory. В частности, компьютер не должен использовать DNS-серверы, принадлежащие вашему поставщику услуг Интернета. Если адреса DNS-сервера неверны, введите IP-адреса правильных DNS-серверов в полях Предпочитаемый DNS-сервер и Альтернативный DNS-сервер .
  7. Выберите Дополнительно, а затем перейдите на вкладку DNS .
  8. Щелкните, чтобы выбрать поле Регистрация адресов этого подключения в ПРОВЕРКА DNS, а затем три раза нажмите кнопку ОК.
  9. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd и нажмите кнопку ОК.
  10. Введите ipconfig /flushdns и нажмите клавишу ВВОД. Введите ipconfig /registerdns и нажмите клавишу ВВОД.
  11. Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы проверить параметры DNS и сетевые свойства на компьютерах под управлением Windows 2000 в сети, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на пункт Параметры, а затем выберите панель управления.

  2. Дважды щелкните сеть и Connections dial-up.

  3. Щелкните правой кнопкой мыши Подключение по локальной области и выберите Пункт Свойства.

  4. На вкладке Общие щелкните, чтобы выбрать проверка Клиент для Microsoft Networks.

  5. Если компьютер является контроллером домена, щелкните, чтобы выбрать поле Общий доступ к файлам и принтерам для Microsoft Networks проверка.

    Примечание.

    На нескольких серверах удаленного доступа и серверах microsoft Internet Security and Acceleration (ISA) можно отключить компонент "Общий доступ к файлам и принтерам для сетей Майкрософт" для сетевого адаптера, подключенного к Интернету. Однако компонент Client for Microsoft Networks должен быть включен для всех сетевых адаптеров сервера.

  6. Выберите Протокол ИНТЕРНЕТА (TCP/IP) и нажмите кнопку Свойства.

  7. Если выбран параметр Использовать следующие адреса DNS-серверов , убедитесь, что IP-адреса для предпочтительных и альтернативных DNS-серверов являются IP-адресами DNS-серверов, которые могут разрешать записи SRV и имена узлов в Active Directory. В частности, компьютер не должен использовать DNS-серверы, принадлежащие вашему поставщику услуг Интернета. Если адреса DNS-сервера неверны, введите IP-адреса правильных DNS-серверов в полях Предпочитаемый DNS-сервер и Альтернативный DNS-сервер .

  8. Выберите Дополнительно, а затем перейдите на вкладку DNS .

  9. Щелкните, чтобы выбрать поле Регистрация адресов этого подключения в ПРОВЕРКА DNS, а затем три раза нажмите кнопку ОК.

  10. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.

  11. Введите ipconfig /flushdns и нажмите клавишу ВВОД. Введите ipconfig /registerdns и нажмите клавишу ВВОД.

  12. Перезагрузите компьютер.

Чтобы проверить параметры DNS и сетевые свойства на компьютерах под управлением Windows Server 2003 в сети, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель мыши на панель управления, а затем дважды щелкните Connections сети.

  2. Щелкните правой кнопкой мыши подключение локальной области и выберите Пункт Свойства.

  3. На вкладке Общие щелкните, чтобы выбрать проверка Клиент для Microsoft Networks.

  4. Если компьютер является контроллером домена, щелкните, чтобы выбрать поле Общий доступ к файлам и принтерам для Microsoft Networks проверка.

    Примечание.

    На нескольких серверах удаленного доступа и серверах isa Server можно отключить компонент "Общий доступ к файлам и принтерам для сетей Майкрософт" для сетевого адаптера, подключенного к Интернету. Однако компонент Client for Microsoft Networks должен быть включен для всех сетевых адаптеров сервера.

  5. Выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.

  6. Если выбран параметр Использовать следующие адреса DNS-серверов , убедитесь, что IP-адреса для предпочтительных и альтернативных DNS-серверов являются IP-адресами DNS-серверов, которые могут разрешать записи SRV и имена узлов в Active Directory. В частности, компьютер не должен использовать DNS-серверы, принадлежащие вашему поставщику услуг Интернета. Если адреса DNS-сервера неверны, введите IP-адреса правильных DNS-серверов в полях Предпочитаемый DNS-сервер и Альтернативный DNS-сервер .

  7. Выберите Дополнительно, а затем перейдите на вкладку DNS .

  8. Щелкните, чтобы выбрать поле Регистрация адресов этого подключения в ПРОВЕРКА DNS, а затем три раза нажмите кнопку ОК.

  9. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd и нажмите кнопку ОК.

  10. Введите ipconfig /flushdns и нажмите клавишу ВВОД. Введите ipconfig /registerdns и нажмите клавишу ВВОД.

  11. Перезагрузите компьютер, чтобы изменения вступили в силу.

Если клиентские компьютеры в сети настроены на автоматическое получение IP-адресов, убедитесь, что компьютер, на котором запущена служба DHCP, назначает IP-адреса DNS-серверов, которые могут разрешать записи SRV и имена узлов в Active Directory.

Чтобы определить, какие IP-адреса использует компьютер для DNS, выполните следующие действия.

  1. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  2. Введите ipconfig /all и нажмите клавишу ВВОД.
  3. Обратите внимание на записи DNS, перечисленные на экране.

Если компьютеры, настроенные для автоматического получения IP-адресов, не используют правильные DNS-серверы, ознакомьтесь с документацией по DHCP-серверу, чтобы узнать, как настроить параметр DNS-серверов. Кроме того, убедитесь, что каждый компьютер может разрешить IP-адрес домена. Для этого введите ping Your_Domain_Name. Your_Domain_Root в командной строке и нажмите клавишу ВВОД. Вместо этого введите nslookup Your_Domain_Name. Your_Domain_Root и нажмите клавишу ВВОД.

Примечание.

Ожидается, что это имя узла будет разрешаться в IP-адрес одного из контроллеров домена в сети. Если компьютеру не удается разрешить это имя или имя разрешается на неправильный IP-адрес, убедитесь, что зона прямого просмотра для домена содержит допустимые (как и родительская папка) записи узла (A).

Чтобы убедиться, что зона прямого просмотра для домена содержит допустимые (как и родительская папка) записи узла (A) на компьютере под управлением Windows 2000, выполните следующие действия:

  1. На контроллере домена, на котором выполняется DNS, нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — DNS.

  2. Разверните Your_Server_Name, Зоны прямого просмотра, а затем выберите зону прямого просмотра для своего домена.

  3. Найдите (то же, что и родительская папка) записи узла (A).

  4. Если запись узла узла (A) (аналогично родительской папке) не существует, выполните следующие действия, чтобы создать ее:

    1. В меню Действие выберите Создать узел.
    2. В поле IP-адрес введите IP-адрес адаптера локальной сети контроллера домена.
    3. Щелкните, чтобы выбрать поле Создать запись связанного указателя (PTR) проверка, а затем выберите Добавить узел.
    4. Когда появится следующее сообщение, выберите Да:

      (то же, что и родительская папка) не является допустимым именем узла. Вы действительно хотите добавить эту запись?

  5. Дважды щелкните запись узла (A) (то же, что и родительская папка).

  6. Убедитесь, что в поле IP-адрес указан правильный IP-адрес .

  7. Если IP-адрес в поле IP-адрес недопустим, введите правильный IP-адрес в поле IP-адрес и нажмите кнопку ОК.

  8. Вместо этого можно удалить (так же, как и родительская папка) запись Узла (A), содержащую недопустимый IP-адрес. Чтобы удалить запись узла (A) (аналогично родительской папке), щелкните ее правой кнопкой мыши и выберите команду Удалить.

  9. Если DNS-сервер является контроллером домена, который также является сервером маршрутизации и удаленного доступа, см. статью Разрешение имен и проблемы с подключением на сервере маршрутизации и удаленного доступа, на котором также выполняются DNS или WINS.

  10. На всех компьютерах, где вы добавляете, удаляете или изменяете записи DNS, введите ipconfig /flushdns в командной строке и нажмите клавишу ВВОД.

Чтобы убедиться, что зона прямого просмотра для домена содержит допустимые (такие же, как и родительская папка) записи узла (A) на компьютере под управлением Windows Server 2003, выполните следующие действия.

  1. На контроллере домена, на котором выполняется DNS, нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите DNS.

  2. Разверните Your_Server_Name, Зоны прямого просмотра, а затем выберите зону прямого просмотра для своего домена.

  3. Найдите запись узла (A) (то же, что и родительская папка ).

  4. Если запись узла узла (A) (аналогично родительской папке) не существует, выполните следующие действия, чтобы создать ее:

    1. В меню Действие выберите Новый узел (A).
    2. В поле IP-адрес введите IP-адрес адаптера локальной сети контроллера домена.
    3. Щелкните, чтобы выбрать поле Создать запись связанного указателя (PTR) проверка, а затем выберите Добавить узел.
    4. Когда появится следующее сообщение, выберите Да:

      (то же, что и родительская папка) не является допустимым именем узла. Вы действительно хотите добавить эту запись?

  5. Дважды щелкните запись узла (A) (то же, что и родительская папка).

  6. Убедитесь, что в поле IP-адрес указан правильный IP-адрес .

  7. Если IP-адрес находится в поле IP-адрес недействителен, введите правильный IP-адрес в поле IP-адрес и нажмите кнопку ОК.

  8. Вместо этого можно удалить (так же, как и родительская папка) запись узла (A), содержащую недопустимый IP-адрес. Чтобы удалить запись Узла (A), щелкните правой кнопкой мыши (так же, как родительская папка) и выберите команду Удалить.

  9. Если DNS-сервер является контроллером домена, который также является сервером маршрутизации и удаленного доступа, см. статью Разрешение имен и проблемы с подключением на сервере маршрутизации и удаленного доступа, на котором также выполняются DNS или WINS.

  10. На всех компьютерах, где вы добавляете, удаляете или изменяете записи DNS, введите ipconfig /flushdns в командной строке и нажмите клавишу ВВОД.

Шаг 2. Проверка параметров подписывания блока сообщений сервера на клиентских компьютерах и рядовых серверах

Параметры подписывания SMB определяют, подписываются ли компьютеры в сети цифровой подписью. Если параметры подписывания SMB настроены неправильно, клиентские компьютеры или рядовые серверы не смогут подключиться к контроллерам домена.

Например, для контроллеров домена может потребоваться подписывание SMB, но подпись SMB может быть отключена на клиентских компьютерах. В случае возникновения этой проблемы групповая политика не удается применить правильно. Поэтому клиентские компьютеры регистрируют ошибки пользовательской среды (Userenv) в журнале приложений. Иногда параметры подписывания SMB для службы сервера и службы рабочей станции на контроллере домена могут конфликтовать друг с другом.

Например, подпись SMB может быть отключена для службы рабочей станции контроллера домена, но для службы сервера контроллера домена требуется подпись SMB. В этом сценарии невозможно открыть один или несколько локальных общих папок контроллера домена, если вы вошли на сервер. Кроме того, вы не сможете открыть групповая политика оснастки, если вы вошли на сервер.
Дополнительные сведения об устранении этой проблемы на контроллере домена см. в статье Невозможно открыть общие папки или групповая политика оснастки на контроллере домена.

Если групповая политика ошибки возникают только на клиентских компьютерах и рядовых серверах или если вы определили, что вы не можете открыть общие папки или групповая политика оснастки на контроллере домена не применимы к вашей ситуации, продолжайте устранять проблему.

По умолчанию подписывание SMB включено, но не требуется для взаимодействия с клиентом на клиентских компьютерах и рядовых серверах под управлением Windows XP, Windows 2000 или Windows Server 2003. Рекомендуется использовать конфигурацию по умолчанию, так как клиентские компьютеры могут использовать подписывание SMB, когда это возможно, но по-прежнему будут взаимодействовать с серверами, на которых отключена подпись SMB.

Чтобы настроить клиентские компьютеры и рядовые серверы так, чтобы подписывание SMB было включено, но не требуется, необходимо изменить значения для некоторых записей реестра. Чтобы внести изменения в реестр на клиентских компьютерах, выполните следующие действия.

  1. Нажмите Пуск, Выполнить, введите regedit в поле Открыть, затем нажмите OK.
  2. Разверните следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. В области справа щелкните правой кнопкой мыши enablesecuritysignature и выберите команду Изменить.
  4. В поле Значение введите 0 и нажмите кнопку ОК.
  5. Щелкните правой кнопкой мыши requiresecuritysignature и выберите Изменить.
  6. В поле Значение введите 0 и нажмите кнопку ОК.
  7. Разверните следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. В области справа щелкните правой кнопкой мыши enablesecuritysignature и выберите команду Изменить.
  9. В поле Данные значения введите 1 и нажмите кнопку ОК.
  10. Щелкните правой кнопкой мыши requiresecuritysignature и выберите Изменить.
  11. В поле Значение введите 0 и нажмите кнопку ОК.

После изменения значений реестра перезапустите службы сервера и рабочей станции. Не перезагружайте компьютеры, так как это может привести к применению групповых политик, а параметры групповая политика могут снова настроить конфликтующие значения.

После изменения значений реестра и перезапуска служб сервера и рабочих станций на затронутых компьютерах выполните следующие действия.

  1. Просмотрите параметры групповая политика для объектов групповой политики или объектов групповой политики, которые применяются к затронутым учетным записям компьютеров.
  2. Убедитесь, что групповые политики не конфликтуют с необходимыми параметрами реестра.
  3. Используйте Редактор объекта групповая политика для просмотра параметров политики в следующей папке:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

На компьютере под управлением Windows Server 2003 параметры подписывания SMB групповая политика имеют следующие имена:

  • Сетевой сервер Майкрософт: обмен данными с цифровой подписью (всегда)
  • Сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент соглашается)
  • Сетевой клиент Майкрософт: обмен данными с цифровой подписью (всегда)
  • Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен)

На компьютере под управлением Windows 2000 Server параметры подписывания SMB групповая политика имеют следующие имена:

  • Взаимодействие с сервером с цифровой подписью (всегда)
  • Цифровая подпись связи с сервером (по возможности)
  • Цифровая подпись для обмена данными с клиентами (всегда)
  • Цифровая подпись для обмена данными с клиентами (если это возможно)

Как правило, параметры подписывания SMB групповая политика настраиваются как "Не определено". Если вы определяете параметры подписывания SMB групповая политика, убедитесь, что вы понимаете, как эти параметры могут повлиять на сетевое подключение.
Дополнительные сведения о параметрах подписывания SMB см. в статье Проблемы с клиентом, службой и программой могут возникнуть при изменении параметров безопасности и назначений прав пользователя.

Если вы измените параметры объекта групповой политики на контроллере домена под управлением Windows 2000 Server, выполните следующие действия.

  1. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  2. Введите secedit /refreshpolicy machine_policy /enforce и нажмите клавишу ВВОД.
  3. Перезапустите затронутые клиентские компьютеры.
  4. Проверьте значения подписи SMB в реестре на клиентских компьютерах, чтобы убедиться, что они не изменились неожиданно.

При изменении параметров объекта групповой политики на контроллере домена под управлением Windows Server 2003 выполните следующие действия.

  1. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  2. Введите gpupdate /force и нажмите клавишу ВВОД.
  3. Перезапустите затронутые клиентские компьютеры.
  4. Повторно проверьте значения подписи SMB в реестре на клиентских компьютерах, чтобы убедиться, что они не изменились неожиданно.

Если значения подписывания SMB в реестре неожиданно изменяются после перезагрузки клиентских компьютеров, используйте один из следующих методов, чтобы просмотреть примененные параметры политики, применяемые к клиентскому компьютеру:

  • На компьютере под управлением Windows XP используйте оснастку MMC Resultant Set of Policy MMC (Rsop.msc). Дополнительные сведения о результирующем наборе политик см. в разделе Результирующий набор политики.

  • В Windows 2000 используйте средство командной строки Gpresult.exe для проверки результатов групповая политика. Для этого выполните следующие действия:

    1. Установите Gpresult.exe из комплекта ресурсов Windows 2000.

    2. В командной строке введите gpresult /область computer и нажмите клавишу ВВОД.

    3. В разделе Примененные объекты групповая политика выходных данных обратите внимание на групповая политика объектов, применяемых к учетной записи компьютера.

    4. Сравните объекты групповая политика, применяемые к учетной записи компьютера с параметрами политики подписывания SMB на контроллере домена для этих объектов групповая политика.

Шаг 3. Убедитесь, что на всех компьютерах запущена вспомогатель TCP/IP NetBIOS.

На всех компьютерах в сети должна быть запущена вспомогательная служба TCP/IP NetBIOS.

Чтобы убедиться, что вспомогающая служба NetBIOS TCP/IP запущена на компьютере под управлением Windows XP, выполните следующие действия.

  1. Выберите Пуск, затем Панель управления.
  2. Если панель управления находится в представлении категории, выберите Переключиться в классическое представление.
  3. Дважды щелкните Администрирование.
  4. Дважды щелкните Службы.
  5. В списке Службы выберите Вспомогатель NETBIOS TCP/IP. Убедитесь, что значение в столбце Состояние имеет значение Запущено. Убедитесь, что в столбце Тип запуска указано значение Автоматически. Если значения Состояние или Тип запуска неправильные, выполните следующие действия.
    1. Щелкните правой кнопкой мыши вспомогатель NETBIOS TCP/IP и выберите пункт Свойства.
    2. В списке Тип запуска выберите Автоматически.
    3. Если служба не запущена, в области Состояние службы выберите Запустить.
    4. Нажмите ОК.

Чтобы убедиться, что вспомогающая служба NETBIOS TCP/IP запущена на компьютере под управлением Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем выберите Службы.
  2. В списке Службы выберите Вспомогатель NETBIOS TCP/IP. Убедитесь, что значение в столбце Состояние имеет значение Запущено. Убедитесь, что в столбце Тип запуска указано значение Автоматически. Если значения Состояние или Тип запуска неправильные, выполните следующие действия.
    1. Щелкните правой кнопкой мыши вспомогатель NETBIOS TCP/IP и выберите пункт Свойства.
    2. В списке Тип запуска выберите Автоматически.
    3. Если служба не запущена, в области Состояние службы выберите Запустить.
    4. Нажмите ОК.

Чтобы убедиться, что вспомогающая служба NetBIOS TCP/IP запущена на компьютере под управлением Windows 2000, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на пункт Программы, а затем — Администрирование, а затем — Службы.
  2. В списке Службы выберите Вспомогатель tcp/IP NetBIOS. Убедитесь, что значение в столбце Состояние имеет значение Запущено. Убедитесь, что в столбце Тип запуска указано значение Автоматически. Если значения Состояние или Тип запуска неправильные, выполните следующие действия.
    1. Щелкните правой кнопкой мыши вспомогателя TCP/IP NetBIOS и выберите пункт Свойства.
    2. В списке Тип запуска выберите Автоматически.
    3. Если служба не запущена, в области Состояние службы выберите Запустить.
    4. Нажмите ОК.

Кроме того, убедитесь, что вы не отключили одну или несколько необходимых системных служб с помощью групповая политика объектов. Просмотрите эти параметры политики с помощью Редактор объекта групповая политика в папке Computer Configuration/Windows Settings/Security Settings/System Services .

В Windows Server 2003 и Windows XP можно использовать оснастку MMC Resultant Set of Policy MMC (Rsop.msc), чтобы проверка все примененные параметры политики, применяемые к компьютеру. Для этого нажмите кнопку Пуск, выберите Выполнить, введите rsop.msc в поле Открыть , а затем нажмите кнопку ОК.

В Windows 2000 используйте средство командной строки Gpresult.exe для проверки результатов групповая политика. Для этого выполните следующие действия:

  1. Установите Gpresult.exe из комплекта ресурсов Windows 2000.
  2. В командной строке введите gpresult /область computer и нажмите клавишу ВВОД.
  3. В разделе Примененные объекты групповая политика выходных данных обратите внимание на групповая политика объектов, применяемых к учетной записи компьютера.
  4. Сравните групповая политика объектов, применяемых к учетной записи компьютера, с параметрами политики подписывания SMB на контроллере домена для этих объектов групповая политика.

Примечание.

Если вспомогательная служба NetBIOS TCP/IP отключена на многих рабочих столах, можно использовать следующий пример сценария Microsoft Visual Basic для запуска вспомогательной службы NetBIOS tcp/IP на всех компьютерах в подразделении одновременно.

Корпорация Майкрософт предоставляет примеры программирования только в целях демонстрации без явной или подразумеваемой гарантии. Это относится, в частности, к подразумеваемым гарантиям товарного состояния или пригодности для конкретной цели. Эта статья предполагает, что пользователь знаком с представленным языком программирования и средствами, используемыми для создания и отладки процедур. Инженеры службы поддержки Майкрософт могут помочь объяснить функциональные возможности конкретной процедуры, но они не будут изменять эти примеры, чтобы предоставить дополнительные функциональные возможности или создать процедуры в соответствии с вашими конкретными требованиями.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Шаг 4. Убедитесь, что на всех компьютерах включена распределенная файловая система (DFS)

Все контроллеры домена должны запускать службу распределенной файловой системы, так как общая папка Sysvol является томом DFS. Кроме того, клиент DFS должен быть включен в реестре на всех компьютерах.

Чтобы убедиться, что служба распределенной файловой системы работает на контроллерах домена под управлением Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем выберите Службы.
  2. В списке Службы выберите Служба распределенной файловой системы . Убедитесь, что значение в столбце Состояние имеет значение Запущено. Убедитесь, что в столбце Тип запуска указано значение Автоматически. Если значения Состояние или Тип запуска неправильные, выполните следующие действия.
    1. Щелкните правой кнопкой мыши распределенную файловую систему и выберите Свойства.
    2. В списке Тип запуска выберите Автоматически.
    3. Если служба не запущена, в области Состояние службы выберите Запустить.
    4. Нажмите ОК.

Чтобы убедиться, что служба распределенной файловой системы работает на контроллерах домена под управлением Windows 2000 Server, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на пункт Программы, а затем — Администрирование, а затем — Службы.
  2. В списке Службы выберите Служба распределенной файловой системы . Убедитесь, что значение в столбце Состояние имеет значение Запущено. Убедитесь, что в столбце Тип запуска указано значение Автоматически. Если значения Состояние или Тип запуска неправильные, выполните следующие действия.
    1. Щелкните правой кнопкой мыши распределенную файловую систему и выберите Свойства.
    2. В списке Тип запуска выберите Автоматически.
    3. Если служба не запущена, в области Состояние службы выберите Запустить.
    4. Нажмите ОК.

Чтобы убедиться, что клиент распределенной файловой системы включен на всех клиентских компьютерах, выполните следующие действия.

  1. Нажмите Пуск, Выполнить, введите regedit в поле Открыть, затем нажмите OK.
  2. Разверните следующий подраздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Выберите Mup, а затем в правой области найдите запись значения DWORD с именем DisableDFS.
  4. Если запись DisableDFS существует, а данные значения равны 1, дважды щелкните DisableDFS. В поле Значение введите 0 и нажмите кнопку ОК. Если значение DisableDFS уже равно 0 или если запись DisableDFS не существует, не вносите никаких изменений.
  5. Закройте редактор реестра.
  6. Если вы изменили значение DisableDFS , перезагрузите компьютер.

Шаг 5. Изучение содержимого и разрешений папки Sysvol

По умолчанию папка Sysvol находится в папке %systemroot% . Папка Sysvol содержит объекты групповая политика домена, общие папки Sysvol и Netlogon, а также промежуточную папку службы репликации файлов (FRS).

Если разрешения для папки Sysvol или общей папки Sysvol слишком ограничены, групповые политики не могут применяться правильно и приводят к ошибкам пользовательской среды (Userenv). Кроме того, если отсутствует общая папка Sysvol или объекты групповая политика, могут возникать ошибки Userenv.
Чтобы убедиться, что общий ресурс Sysvol доступен, выполните команду net share в командной строке на каждом контроллере домена. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  2. Введите net share и нажмите клавишу ВВОД.
  3. Найдите SYSVOL и NETLOGON в списке папок.

Если общие папки Sysvol или Netlogon отсутствуют в одном или нескольких контроллерах домена, необходимо устранить причину проблемы.
Дополнительные сведения об устранении неполадок с отсутствующими общими папками Sysvol и Netlogon в Windows 2000 Server см. в статье Устранение неполадок с отсутствующими общими ресурсами SYSVOL и NETLOGON на контроллерах домена Windows.

Дополнительные сведения о том, как перестроить общую папку Sysvol в Windows Server 2003, см. в статье Как перестроить дерево SYSVOL и его содержимое в домене.

Убедившись, что общий ресурс Sysvol доступен, убедитесь, что для папки Sysvol, общего ресурса Sysvol и корневой папки тома, содержащего папку Sysvol, настроены правильные разрешения.

Кроме того, в Windows 2000 Server группе Все должно быть предоставлено разрешение на полный доступ в корневой папке тома, содержащего папку Sysvol. В Windows Server 2003 группе Все должно быть предоставлено специальное разрешение На чтение & Выполнить для параметра "Только эта папка", а группе домен\Пользователи должны быть предоставлены следующие стандартные разрешения:

  • Чтение & выполнение
  • Вывод списка содержимого папки
  • Чтение

Кроме того, в Windows Server 2003 группа домен\Пользователи должна иметь следующие специальные разрешения:

  • Чтение & разрешение "Выполнение" в папку "Эта папка, вложенные папки и файлы".
  • Создание разрешения "Папка и добавление данных" в папку "Эта папка и вложенные папки".
  • Разрешение на создание файлов и запись данных в папку "Только вложенные папки".

После проверки разрешений Sysvol убедитесь, что папка Sysvol содержит необходимые объекты групповая политика. Чтобы найти необходимые объекты групповая политика, используйте программу Gpotool.exe из Windows 2000 или Windows Server 2003 Resource Kit.

Если программа Gpotool.exe запущена без каких-либо параметров, она проверяет все объекты групповая политика на всех контроллерах домена в домене. Если включить /checkacl параметр, средство также сканирует список управления доступом (ACL) Sysvol. Для получения подробных выходных данных при запуске программы Gpotool.exe используйте /verbose параметр .

Вместо этого можно вручную проверить отдельный объект групповой политики в папке SYSVOL. Например, если в описании события Userenv 1058 указано имя объекта групповой политики, можно вручную проверить отдельный объект групповой политики в папке SYSVOL. Это можно сделать, чтобы убедиться, что она содержит папку USER, папку MACHINE и файл Gpt.ini. Чтобы вручную проверить отдельный объект групповой политики в папке SYSVOL, выполните следующие действия.

  1. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  2. Введите в поле Время, интерактивное или следующее: cmd.exe, а затем нажмите клавишу ВВОД, где время на 1 или 2 минуты позже текущего времени и записывается в 24-часовом формате. Например, 3 минуты после 13:00 будет 13:03 в 24-часовом формате времени.
  3. Во время, указанное в предыдущей команде, откроется новое окно командной строки. Введите net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}, а затем нажмите клавишу ВВОД, где GUID — это GUID объекта групповой политики, который находится в описании события Userenv. Например, если в описании события Userenv 1058 указано, "Файл должен присутствовать в расположении< \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04 F9B984 F9}\gpt.ini>", идентификатор GUID, который будет использоваться в команде: 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Введите dir j:\*.*, а затем нажмите клавишу ВВОД.
  5. Убедитесь, что папка USER, папка MACHINE и файл Gpt.ini указаны в списке папок для I-диска. Если какая-либо из этих папок и файлов отсутствует, компьютеры в сети, скорее всего, будут регистрировать ошибки Userenv в журнале приложений.

Если в папке Sysvol отсутствует один или несколько объектов групповая политика, запустите программу восстановления групповая политика по умолчанию в Windows Server 2003 (Dcgpofix.exe) или средство восстановления групповая политика windows 2000 по умолчанию (Recreatedefpol.exe), чтобы повторно создать объекты групповая политика по умолчанию.

Программа Dcgpofix.exe входит в состав Windows Server 2003. Чтобы получить дополнительные сведения о программе Dcgpofix.exe, выполните dcgpofix /? команду в командной строке.

Обязательно задайте рекомендуемые исключения при проверке диска Sysvol с помощью антивирусной программы. Проверка с помощью антивирусной программы может заблокировать доступ к необходимым файлам, таким как файл Gpt.ini. Эти исключения необходимо настроить для всех проверок антивирусной программы в режиме реального времени, по расписанию и вручную.

Шаг 6. Убедитесь, что право проверки обхода обхода предоставлено требуемым группам

Право проверки обхода должно быть предоставлено следующим группам на контроллерах домена:

  • Администраторы
  • Пользователи, прошедшие проверку
  • Все пользователи
  • Доступ, совместимый с Windows 2000

Чтобы убедиться, что на контроллере домена под управлением Windows Server 2003 предоставлено право обхода, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите Политика безопасности контроллера домена.
  2. Разверните узел Локальные политики, а затем выберите Назначение прав пользователя.
  3. Дважды щелкните Обход проверки обхода.
  4. Щелкните, чтобы выбрать поле Определить эти параметры политики проверка.
  5. Убедитесь, что для этого параметра политики указаны группы "Администраторы", "Прошедшие проверку подлинности", "Все" и "Доступ, совместимый с Windows 2000". Если какая-либо из этих групп отсутствует, выполните следующие действия.
    1. Выберите Добавить пользователя или группу.
    2. В поле Имена пользователей и групп введите имя отсутствующих групп и нажмите кнопку ОК.
  6. Нажмите кнопку ОК , чтобы закрыть параметр политики.
  7. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  8. Введите gpupdate /force и нажмите клавишу ВВОД.

Чтобы убедиться, что на контроллере домена под управлением Windows 2000 Server предоставлено право обхода, выполните следующие действия:

  1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Политика безопасности контроллера домена.
  2. Разверните узел Параметры безопасности, Локальные политики, а затем выберите Назначение прав пользователя.
  3. Дважды щелкните Обход проверки обхода.
  4. Щелкните, чтобы выбрать поле Определить эти параметры политики проверка.
  5. Убедитесь, что для этого параметра политики указаны группы "Администраторы", "Прошедшие проверку подлинности", "Все" и "Доступ, совместимый с Windows 2000". Если какая-либо из этих групп отсутствует, выполните следующие действия.
    1. Нажмите Добавить.
    2. В поле Имена пользователей и групп введите имя отсутствующих групп и нажмите кнопку ОК.
  6. Нажмите кнопку ОК , чтобы закрыть параметр политики.
  7. Запустите командную строку. Для этого нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
  8. Введите secedit /refreshpolicy machine_policy /enforce, а затем нажмите кнопку select.

Шаг 7. Убедитесь, что контроллеры домена не в состоянии оболочки журнала

Чтобы узнать, находится ли контроллер домена в состоянии оболочки журнала, просмотрите журнал службы репликации файлов в Просмотр событий и найдите событие NTFRS с идентификатором 13568. Идентификатор события 13568 аналогичен следующему идентификатору события:
Если событие NTFRS с идентификатором 13568 зарегистрировано на контроллере домена, дополнительные сведения об устранении ошибок оболочки журналов см. в статье Устранение ошибок journal_wrap в наборах реплика Sysvol и DFS.

Шаг 8. Выполнение команды Dfsutil /PurgeMupCache

Запустите программу Dfsutil.exe с параметром /PurgeMupCache , чтобы очистить локальные кэшированные сведения DFS/MUP. Программа Dfsutil.exe включена в средства поддержки Windows 2000 Server и средства поддержки Windows Server 2003.