Bir etki alanı denetleyicisinde dosya paylaşımlarını veya grup ilkesi ek bileşenlerini açamazsınız
Bu makalede, bir etki alanı denetleyicisinde İş İstasyonu veya Sunucu hizmeti için SMB imzalama devre dışı bırakıldığında oluşan bir sorunun nasıl çözüleceğini açıklar.
Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 839499
Özet
Dosya paylaşımlarını veya grup ilkesi ek bileşenlerini bir Windows Server 2003 etki alanı denetleyicisinde veya Windows 2000 Server etki alanı denetleyicisinde açamazsınız. Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde paylaşımları açmayı denediğinizde, yinelenen parola istemleri alırsınız ve paylaşımları açamazsınız. Kayıt defterini değiştirerek bu sorunu çözebilirsiniz.
Uyarı
Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır.
Belirtiler
Senaryo 1 - Bir etki alanı denetleyicisindeki İş İstasyonu hizmeti için Sunucu İleti Bloğu (SMB) imzalama devre dışı bırakıldı, ancak aynı etki alanı denetleyicisindeki Sunucu hizmeti için SMB imzalaması gerekiyor
Windows Server 2003
Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:
Bu işlemi gerçekleştirme izniniz yok. Erişim reddedildi.
Etki alanı denetleyicisi, her beş dakikada bir uygulama olay günlüğüne aşağıdaki olayları günlüğe kaydeder:
Windows 2000 Server
Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:
Bu işlemi gerçekleştirme izniniz yok.
Erişim reddedildi. Etki alanı denetleyicisi, uygulama olay günlüğüne aşağıdaki olayı günlüğe kaydeder:
Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde paylaşımları açmayı denediğinizde, yinelenen parola istemleri alırsınız ve paylaşımları açamazsınız.
Senaryo 2 - Bir etki alanı denetleyicisindeki Sunucu hizmeti için SMB imzalama devre dışı bırakıldı, ancak aynı etki alanı denetleyicisindeki İş İstasyonu hizmeti için SMB imzalaması gerekiyor
Windows Server 2003
grup ilkesi Nesnesi açılamadı. Uygun haklara sahip olmayabilirsiniz.
Hesabın bu istasyondan oturum açma yetkisi yok.
Ağ izlemesinde, istemcide SMB imzalama etkin ve gerekliyse ve sunucuda devre dışı bırakılırsa, Diyalekt Anlaşması'nın ardından TCP oturumu bağlantısı düzgün bir şekilde kapatılır ve istemci aşağıdaki hatayı alır:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Etki alanı denetleyicisi, uygulama olay günlüğüne beş dakikada bir aşağıdaki olayları günlüğe kaydeder: Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde dosya paylaşımlarını açmayı denediğinizde, aşağıdakine benzer bir hata iletisi alırsınız:
\\Server_name\Share_Name erişilebilir değil. Bu ağ kaynağını kullanma izniniz olmayabilir. Erişim izinlerinizin olup olmadığını öğrenmek için bu sunucunun yöneticisine başvurun.
Hesabın bu istasyondan oturum açma yetkisi yok.
Not
Ağ izlemesinde, SMB imzalama etkinse ve istemcide SMB imzalaması gerekiyorsa ve sunucuda devre dışı bırakıldıysa, diyalekt anlaşmasından sonra TCP oturumu bağlantısı düzgün bir şekilde kapatılır. Ayrıca istemci şu hata iletisini alır: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Windows 2000 Server
Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:
grup ilkesi Nesnesi açılamadı. Uygun haklara sahip olmayabilirsiniz.
Hesabın bu istasyondan oturum açma yetkisi yok.
Etki alanı denetleyicisi, uygulama olay günlüğüne şu olayı günlüğe kaydeder: Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde dosya paylaşımlarını açmayı denediğinizde, aşağıdakine benzer bir hata iletisi alırsınız:
\\Server_name\Share_Name erişilebilir değil.
Hesabın bu istasyondan oturum açma yetkisi yok.
Not
Ağ izlemesinde, SMB imzalama etkinse ve istemcide SMB imzalaması gerekiyorsa ve sunucuda devre dışı bırakıldıysa, diyalekt anlaşmasından sonra TCP oturumu bağlantısı düzgün bir şekilde kapatılır. Ayrıca istemci şu hata iletisini alır: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Çözüm
Bu davranışı çözmek için şu adımları izleyin:
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows XP'de kayıt defterini yedekleme ve geri yükleme.
1. Adım - Kayıt defterini değiştirme
enablesecuritysignature kayıt defteri girdisinin değerini değiştirin. Bunu yapmak için şu adımları uygulayın:
Etki alanı denetleyicisinde Başlat'a ve ardından Çalıştır'a tıklayın.
Regedit komutunu kopyalayıp Aç kutusuna yapıştırın (veya yazın) ve enter tuşuna basın.
Şu kayıt defteri alt anahtarını bulup tıklayın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Sağ bölmede enablesecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.
Requiresecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.
Şu kayıt defteri alt anahtarını bulup tıklayın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
Sağ bölmede enablesecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.
Requiresecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 0 yazın ve tamam'a tıklayın.
2. Adım: Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatın Kayıt defteri değerlerini değiştirdikten sonra Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatın.
Önemli
Bu eylem grup ilkesi kayıt defteri değerlerini önceki değerlere geri döndürmesine neden olabileceğinden, etki alanı denetleyicisini yeniden başlatmayın.
Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatmak için şu adımları izleyin:
Başlat'a tıklayın, Yönetim Araçları'nın üzerine gelin ve hizmetler'e tıklayın.
Sunucu'ya sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.
İş İstasyonu'ne sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.
Not
Diğer hizmetleri yeniden başlatmanız istenirse Evet'e tıklayın .
3. Adım - Sysvol paylaşımını güncelleştirme
Etki alanı denetleyicisinin Sysvol paylaşımını güncelleştirin. Bunu yapmak için şu adımları uygulayın:
- Etki alanı denetleyicisinin Sysvol paylaşımını açın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, Aç kutusuna \\Server_Name\Sysvol yazın ve enter tuşuna basın.
- Sysvol paylaşımı açılmazsa, 1. Adımı yineleyin - Kayıt defterini değiştirin ve 2. Adım - Sunucu ve İş İstasyonu hizmetlerini yeniden başlatın.
- 1. Adımı Yinele - Kayıt defterini değiştirin ve 2. Adım - Her etki alanı denetleyicisinin kendi Sysvol paylaşımına erişebildiğinden emin olmak için etkilenen her etki alanı denetleyicisinde Sunucu ve İş İstasyonu hizmetlerini yeniden başlatın.
4. Adım - SMB ilke ayarlarını ayarlama
Her etki alanı denetleyicisinde Sysvol paylaşımına bağlandıktan sonra Etki Alanı Denetleyicisi Güvenlik İlkesi ek bileşenini açın ve SMB imzalama ilkesi ayarlarını yapın. Bunu yapmak için şu adımları uygulayın:
Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Etki Alanı Denetleyicisi Güvenlik İlkesi'ne tıklayın.
Sol bölmede Yerel İlkeler'i genişletin ve güvenlik seçenekleri'ne tıklayın.
Sağ bölmede Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) seçeneğine çift tıklayın.
Not
Windows 2000 Server'da eşdeğer ilke ayarı, Sunucu iletişimini dijital olarak imzalama (her zaman) ayarıdır.
Önemli
Ağdaki SMB imzalamayı desteklemeyen istemci bilgisayarlarınız varsa, Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ilke ayarını etkinleştirmemelisiniz. Bu ayarı etkinleştirirseniz, tüm istemci iletişimleri için SMB imzalamanız gerekir ve SMB imzalamayı desteklemeyen istemci bilgisayarlar diğer bilgisayarlara bağlanamaz. Örneğin, Apple Macintosh OS X veya Microsoft Windows 95 çalıştıran istemciler SMB imzalamayı desteklemez. Ağınızda SMB imzalamayı desteklemeyen istemciler varsa, bu ilkeyi devre dışı olarak ayarlayın.
Bu ilke ayarını tanımla onay kutusunu seçmek için tıklayın, Etkin'e ve ardından Tamam'a tıklayın.
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) seçeneğine çift tıklayın.
Not
Windows 2000 Server için eşdeğer ilke ayarı, Sunucu iletişimini dijital olarak imzalama (mümkün olduğunda) ayarıdır.
Bu ilke ayarını tanımla onay kutusunu seçmek için tıklayın ve ardından Etkin'e tıklayın.
Tamam'ı tıklatın.
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) seçeneğine çift tıklayın.
Bu ilke ayarını tanımla onay kutusunu temizlemek için tıklayın ve ardından Tamam'a tıklayın.
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) seçeneğine çift tıklayın.
Bu ilke ayarını tanımla onay kutusunu temizlemek için tıklayın ve ardından Tamam'a tıklayın.
5. Adım - grup ilkesi Update yardımcı programını çalıştırma
grup ilkesi Update yardımcı programını (Gpupdate.exe) zorlama anahtarıyla çalıştırın. Bunu yapmak için şu adımları uygulayın:
Başlat'a ve ardından Çalıştır'a tıklayın.
Aç kutusuna cmd komutunu kopyalayıp yapıştırın (veya yazın) ve enter tuşuna basın.
Komut istemine
gpupdate /force
yazın ve ardından Enter tuşuna basın.Not
grup ilkesi Update yardımcı programı Windows 2000 Server'da yok. Windows 2000 Server'da eşdeğer komut şeklindedir
secedit /refreshpolicy machine_policy /enforce
.
6. Adım - Uygulama olay günlüğünü denetleme
grup ilkesi Update yardımcı programını çalıştırdıktan sonra, grup ilkesi ayarlarının başarıyla güncelleştirildiğinden emin olmak için uygulama olay günlüğünü denetleyin. Başarılı bir grup ilkesi güncelleştirmesinin ardından etki alanı denetleyicisi Olay Kimliği 1704'i günlüğe kaydeder. Uygulama günlüğünü Olay Görüntüleyicisi açmak için şu adımları izleyin:
Başlat'a tıklayın, Yönetim Araçları'nın üzerine gelin ve Olay Görüntüleyicisi'a tıklayın.
Sol bölmede Uygulama'ya tıklayın.
Olay kimliği 1704'e çift tıklayın ve grup ilkesi ayarının başarıyla uygulandığını onaylayın.
Not
Olayın kaynağı SceCli'dir.
7. Adım - Kayıt defteri değerlerini denetleme
1. Adım : Kayıt defteri değerlerinin değişmediğinden emin olmak için kayıt defterini değiştirin bölümünde değiştirdiğiniz kayıt defteri değerlerini denetleyin.
Not
Bu adım, çakışan bir ilke ayarının başka bir grup veya kuruluş birimi (OU) düzeyinde uygulanmamasını sağlar. Örneğin, Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) ilkesi Etki Alanı Denetleyicisi Güvenlik İlkesi'nde "Tanımlı Değil" olarak yapılandırılmışsa, ancak aynı ilke Etki Alanı Güvenlik İlkesi'nde devre dışı olarak yapılandırılmışsa, İş İstasyonu hizmeti için SMB imzalama devre dışı bırakılır.
8. Adım - İlke Sonuç Kümesi (RSoP) ek bileşenini kullanarak SMB imzalama ilkesi ayarlarını denetleme
grup ilkesi Update yardımcı programını çalıştırdıktan sonra kayıt defteri değerleri değiştiyse, Windows Server 2003'te RSoP ek bileşenini kullanarak SMB imzalama ilkesi ayarlarını denetleyin. Bunu yapmak için şu adımları uygulayın:
Başlat'a tıklayın, Çalıştır'a tıklayın, Aç kutusuna rsop.msc yazın ve ardından Tamam'a tıklayın.
RSoP ek bileşeninde, SMB imzalama ayarları şu yolda bulunur: Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel İlkeler/Güvenlik Seçenekleri
Not
Windows 2000 Server çalıştırıyorsanız Windows 2000 Server Resource Kit'ten grup ilkesi Update yardımcı programını yükleyin ve komut istemine aşağıdakileri yazın:
gpresult /scope computer /v
Bu komutu çalıştırdıktan sonra, Uygulanan grup ilkesi Nesneleri listesi görüntülenir. Bu liste, bilgisayar hesabına uygulanan tüm grup ilkesi Nesnelerini gösterir. Tüm bu grup ilkesi Nesneleri için SMB imzalama ilkesi ayarlarını denetleyin.
Ek kaynaklar
bu davranış, İş İstasyonu hizmeti ve Sunucu hizmeti için SMB imzalama ayarları birbiriyle çelişirse oluşur. Etki alanı denetleyicisini bu şekilde yapılandırdığınızda, etki alanı denetleyicisindeki İş İstasyonu hizmeti etki alanı denetleyicisinin Sysvol paylaşımına bağlanamaz. Bu nedenle, ek bileşenleri grup ilkesi başlatamazsınız. Ayrıca, SMB imzalama ilkeleri varsayılan etki alanı denetleyicisi güvenlik ilkesi tarafından ayarlanırsa, sorun ağdaki tüm etki alanı denetleyicilerini etkiler. Bu nedenle, Active Directory dizin hizmetinde grup ilkesi çoğaltma başarısız olur ve bu ayarları geri almak için grup ilkesi düzenleyemezsiniz.
Senaryo 1 - Etki alanı denetleyicisi tanılama aracını (DcDiag.exe) çalıştırırsanız, Windows 2000 Server ve Windows Server 2003 için aşağıdakine benzer hatalar alırsınız
Test başlatılıyor: MachineAccount
[SERVERNAME] ile kanal açılamadı:5 ile başarısız oldu: Erişim reddedildi.
NetBIOSDomainName alınamadı
KONAK SPN için test edilemedi
KONAK SPN için test edilemedi
* Eksik SPN :(null)
* Eksik SPN :(null)
......................... SERVERNAME machineAccount testi başarısız oldu
Test başlatılıyor: Hizmetler
Uzak ipc [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME başarısız test Hizmetleri
Test başlatılıyor: ObjectsReplicated
......................... SERVERNAME geçirilen test ObjectsReplicated
Test başlatılıyor: frssysvol
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 5 hatasıyla başarısız oldu, Erişim reddedildi...
......................... SERVERNAME testi başarısız oldu frssysvol
Test başlatılıyor: frsevent
......................... SERVERNAME test başarısız oldu frsevent
Test başlatılıyor: kccevent
Olay günlüğü kayıtları numaralandırılamadı, Access reddedildi hatası.
......................... SERVERNAME başarısız test kccevent
Test başlatılıyor: systemlog
Olay günlüğü kayıtları numaralandırılamadı, Access reddedildi hatası.
......................... SERVERNAME başarısız test sistemi günlüğü
Senaryo 2 - Etki alanı denetleyicisi tanılama aracını çalıştırırsanız, Windows 2000 Server ve Windows Server 2003 için aşağıdakine benzer hatalar alırsınız
Test sunucusu: Default-First-Site-Name\SERVERNAME
Test başlatılıyor: Çoğaltmalar
......................... SERVERNAME başarılı test Çoğaltmaları
Test başlatılıyor: NCSecDesc
......................... SERVERNAME, test NCSecDesc'i geçti
Test başlatılıyor: NetLogons
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 1240 hatasıyla başarısız oldu, Hesap bu istasyondan oturum açma yetkisine sahip değil..
......................... SERVERNAME NetLogons testi başarısız oldu
Test başlatılıyor: Reklam
......................... SERVERNAME test reklamlarını geçti
Test başlatılıyor: KnowsOfRoleHolders
......................... SERVERNAME, KnowsOfRoleHolders testlerini geçti
Test başlatılıyor: RidManager
......................... SERVERNAME, RidManager testinden geçti
Test başlatılıyor: MachineAccount
[SERVERNAME] ile kanal açılamadı:1240 ile başarısız oldu: Hesabın bu istasyondan oturum açma yetkisi yok.
NetBIOSDomainName alınamadı
KONAK SPN için test edilemedi
KONAK SPN için test edilemedi
* Eksik SPN :(null)
* Eksik SPN :(null)
......................... SERVERNAME machineAccount testi başarısız oldu
Test başlatılıyor: Hizmetler
Uzak ipc [SERVERNAME] için açılamadı:1240 ile başarısız oldu: Hesabın bu istasyondan oturum açma yetkisi yok.
......................... SERVERNAME başarısız test Hizmetleri
Test başlatılıyor: ObjectsReplicated
......................... SERVERNAME geçirilen test ObjectsReplicated
Test başlatılıyor: frssysvol
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 1240 hatasıyla başarısız oldu, Hesap bu istasyondan oturum açma yetkisine sahip değil..
......................... SERVERNAME testi başarısız oldu frssysvol
Test başlatılıyor: frsevent
......................... SERVERNAME test başarısız oldu frsevent
Test başlatılıyor: kccevent
Olay günlüğü kayıtları numaralandırılamadı, hata Hesabın bu istasyondan oturum açma yetkisi yok. ......................... SERVERNAME başarısız test kccevent
Test başlatılıyor: systemlog
Olay günlüğü kayıtları numaralandırılamadı, hata Hesabın bu istasyondan oturum açma yetkisi yok. ......................... SERVERNAME başarısız test sistemi günlüğü
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin