Bir etki alanı denetleyicisinde dosya paylaşımlarını veya grup ilkesi ek bileşenlerini açamazsınız

  • Makale

Bu makalede, bir etki alanı denetleyicisinde İş İstasyonu veya Sunucu hizmeti için SMB imzalama devre dışı bırakıldığında oluşan bir sorunun nasıl çözüleceğini açıklar.

Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 839499

Özet

Dosya paylaşımlarını veya grup ilkesi ek bileşenlerini bir Windows Server 2003 etki alanı denetleyicisinde veya Windows 2000 Server etki alanı denetleyicisinde açamazsınız. Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde paylaşımları açmayı denediğinizde, yinelenen parola istemleri alırsınız ve paylaşımları açamazsınız. Kayıt defterini değiştirerek bu sorunu çözebilirsiniz.

Uyarı

Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır.

Belirtiler

Senaryo 1 - Bir etki alanı denetleyicisindeki İş İstasyonu hizmeti için Sunucu İleti Bloğu (SMB) imzalama devre dışı bırakıldı, ancak aynı etki alanı denetleyicisindeki Sunucu hizmeti için SMB imzalaması gerekiyor

Windows Server 2003

Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

Bu işlemi gerçekleştirme izniniz yok. Erişim reddedildi.

Etki alanı denetleyicisi, her beş dakikada bir uygulama olay günlüğüne aşağıdaki olayları günlüğe kaydeder:

Windows 2000 Server

Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

Bu işlemi gerçekleştirme izniniz yok.

Erişim reddedildi. Etki alanı denetleyicisi, uygulama olay günlüğüne aşağıdaki olayı günlüğe kaydeder:

Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde paylaşımları açmayı denediğinizde, yinelenen parola istemleri alırsınız ve paylaşımları açamazsınız.

Senaryo 2 - Bir etki alanı denetleyicisindeki Sunucu hizmeti için SMB imzalama devre dışı bırakıldı, ancak aynı etki alanı denetleyicisindeki İş İstasyonu hizmeti için SMB imzalaması gerekiyor

Windows Server 2003

grup ilkesi Nesnesi açılamadı. Uygun haklara sahip olmayabilirsiniz.

Hesabın bu istasyondan oturum açma yetkisi yok.

Ağ izlemesinde, istemcide SMB imzalama etkin ve gerekliyse ve sunucuda devre dışı bırakılırsa, Diyalekt Anlaşması'nın ardından TCP oturumu bağlantısı düzgün bir şekilde kapatılır ve istemci aşağıdaki hatayı alır:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Etki alanı denetleyicisi, uygulama olay günlüğüne beş dakikada bir aşağıdaki olayları günlüğe kaydeder: Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde dosya paylaşımlarını açmayı denediğinizde, aşağıdakine benzer bir hata iletisi alırsınız:

\\Server_name\Share_Name erişilebilir değil. Bu ağ kaynağını kullanma izniniz olmayabilir. Erişim izinlerinizin olup olmadığını öğrenmek için bu sunucunun yöneticisine başvurun.

Hesabın bu istasyondan oturum açma yetkisi yok.

Not

Ağ izlemesinde, SMB imzalama etkinse ve istemcide SMB imzalaması gerekiyorsa ve sunucuda devre dışı bırakıldıysa, diyalekt anlaşmasından sonra TCP oturumu bağlantısı düzgün bir şekilde kapatılır. Ayrıca istemci şu hata iletisini alır: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Etki alanı denetleyicisinde grup ilkesi ek bileşenleri açmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

grup ilkesi Nesnesi açılamadı. Uygun haklara sahip olmayabilirsiniz.

Hesabın bu istasyondan oturum açma yetkisi yok.

Etki alanı denetleyicisi, uygulama olay günlüğüne şu olayı günlüğe kaydeder: Etki alanı denetleyicisinde yerel olarak oturum açıp etki alanı denetleyicisinde dosya paylaşımlarını açmayı denediğinizde, aşağıdakine benzer bir hata iletisi alırsınız:

\\Server_name\Share_Name erişilebilir değil.

Hesabın bu istasyondan oturum açma yetkisi yok.

Not

Ağ izlemesinde, SMB imzalama etkinse ve istemcide SMB imzalaması gerekiyorsa ve sunucuda devre dışı bırakıldıysa, diyalekt anlaşmasından sonra TCP oturumu bağlantısı düzgün bir şekilde kapatılır. Ayrıca istemci şu hata iletisini alır: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Çözüm

Bu davranışı çözmek için şu adımları izleyin:

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows XP'de kayıt defterini yedekleme ve geri yükleme.

1. Adım - Kayıt defterini değiştirme

enablesecuritysignature kayıt defteri girdisinin değerini değiştirin. Bunu yapmak için şu adımları uygulayın:

  1. Etki alanı denetleyicisinde Başlat'a ve ardından Çalıştır'a tıklayın.

  2. Regedit komutunu kopyalayıp Aç kutusuna yapıştırın (veya yazın) ve enter tuşuna basın.

    Aç kutusuna regedit yazarak Çalıştır penceresinin ekran görüntüsü.

  3. Şu kayıt defteri alt anahtarını bulup tıklayın: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Sağ bölmede enablesecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.

  5. Requiresecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.

  6. Şu kayıt defteri alt anahtarını bulup tıklayın: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Sağ bölmede enablesecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 1 yazın ve tamam'a tıklayın.

  8. Requiresecuritysignature öğesine çift tıklayın, Değer verileri kutusuna 0 yazın ve tamam'a tıklayın.

2. Adım: Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatın Kayıt defteri değerlerini değiştirdikten sonra Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatın.

Önemli

Bu eylem grup ilkesi kayıt defteri değerlerini önceki değerlere geri döndürmesine neden olabileceğinden, etki alanı denetleyicisini yeniden başlatmayın.

Sunucu hizmetini ve İş İstasyonu hizmetini yeniden başlatmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Yönetim Araçları'nın üzerine gelin ve hizmetler'e tıklayın.

  2. Sunucu'ya sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.

    Sunucu'nun seçili olduğu Hizmetler penceresinin ve Yeniden Başlat'ın seçili olduğu bir menünün ekran görüntüsü.

  3. İş İstasyonu'ne sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.

Not

Diğer hizmetleri yeniden başlatmanız istenirse Evet'e tıklayın .

3. Adım - Sysvol paylaşımını güncelleştirme

Etki alanı denetleyicisinin Sysvol paylaşımını güncelleştirin. Bunu yapmak için şu adımları uygulayın:

  1. Etki alanı denetleyicisinin Sysvol paylaşımını açın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, kutusuna \\Server_Name\Sysvol yazın ve enter tuşuna basın.
  2. Sysvol paylaşımı açılmazsa, 1. Adımı yineleyin - Kayıt defterini değiştirin ve 2. Adım - Sunucu ve İş İstasyonu hizmetlerini yeniden başlatın.
  3. 1. Adımı Yinele - Kayıt defterini değiştirin ve 2. Adım - Her etki alanı denetleyicisinin kendi Sysvol paylaşımına erişebildiğinden emin olmak için etkilenen her etki alanı denetleyicisinde Sunucu ve İş İstasyonu hizmetlerini yeniden başlatın.

4. Adım - SMB ilke ayarlarını ayarlama

Her etki alanı denetleyicisinde Sysvol paylaşımına bağlandıktan sonra Etki Alanı Denetleyicisi Güvenlik İlkesi ek bileşenini açın ve SMB imzalama ilkesi ayarlarını yapın. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Etki Alanı Denetleyicisi Güvenlik İlkesi'ne tıklayın.

  2. Sol bölmede Yerel İlkeler'i genişletin ve güvenlik seçenekleri'ne tıklayın.

  3. Sağ bölmede Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) seçeneğine çift tıklayın.

    Not

    Windows 2000 Server'da eşdeğer ilke ayarı, Sunucu iletişimini dijital olarak imzalama (her zaman) ayarıdır.

    Önemli

    Ağdaki SMB imzalamayı desteklemeyen istemci bilgisayarlarınız varsa, Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ilke ayarını etkinleştirmemelisiniz. Bu ayarı etkinleştirirseniz, tüm istemci iletişimleri için SMB imzalamanız gerekir ve SMB imzalamayı desteklemeyen istemci bilgisayarlar diğer bilgisayarlara bağlanamaz. Örneğin, Apple Macintosh OS X veya Microsoft Windows 95 çalıştıran istemciler SMB imzalamayı desteklemez. Ağınızda SMB imzalamayı desteklemeyen istemciler varsa, bu ilkeyi devre dışı olarak ayarlayın.

    Güvenlik Seçenekleri'nin seçili olduğu Varsayılan Etki Alanı Denetleyicisi Güvenlik Ayarları penceresinin ekran görüntüsü.

  4. Bu ilke ayarını tanımla onay kutusunu seçmek için tıklayın, Etkin'e ve ardından Tamam'a tıklayın.

    Bu ilkeyi tanımla ayarının seçili ve etkin olduğu Microsoft ağ sunucusu penceresinin ekran görüntüsü.

  5. Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) seçeneğine çift tıklayın.

    Not

    Windows 2000 Server için eşdeğer ilke ayarı, Sunucu iletişimini dijital olarak imzalama (mümkün olduğunda) ayarıdır.

  6. Bu ilke ayarını tanımla onay kutusunu seçmek için tıklayın ve ardından Etkin'e tıklayın.

  7. Tamam'ı tıklatın.

  8. Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) seçeneğine çift tıklayın.

  9. Bu ilke ayarını tanımla onay kutusunu temizlemek için tıklayın ve ardından Tamam'a tıklayın.

    Bu ilke ayarını tanımla onay kutusunun temizlenmiş olduğu Microsoft ağ sunucusu penceresinin ekran görüntüsü.

  10. Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) seçeneğine çift tıklayın.

  11. Bu ilke ayarını tanımla onay kutusunu temizlemek için tıklayın ve ardından Tamam'a tıklayın.

5. Adım - grup ilkesi Update yardımcı programını çalıştırma

grup ilkesi Update yardımcı programını (Gpupdate.exe) zorlama anahtarıyla çalıştırın. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a ve ardından Çalıştır'a tıklayın.

  2. Aç kutusuna cmd komutunu kopyalayıp yapıştırın (veya yazın) ve enter tuşuna basın.

    Aç kutusuna cmd yazısıyla Çalıştır penceresinin ekran görüntüsü.

  3. Komut istemine gpupdate /force yazın ve ardından Enter tuşuna basın.

    Not

    grup ilkesi Update yardımcı programı Windows 2000 Server'da yok. Windows 2000 Server'da eşdeğer komut şeklindedir secedit /refreshpolicy machine_policy /enforce.

6. Adım - Uygulama olay günlüğünü denetleme

grup ilkesi Update yardımcı programını çalıştırdıktan sonra, grup ilkesi ayarlarının başarıyla güncelleştirildiğinden emin olmak için uygulama olay günlüğünü denetleyin. Başarılı bir grup ilkesi güncelleştirmesinin ardından etki alanı denetleyicisi Olay Kimliği 1704'i günlüğe kaydeder. Uygulama günlüğünü Olay Görüntüleyicisi açmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Yönetim Araçları'nın üzerine gelin ve Olay Görüntüleyicisi'a tıklayın.

  2. Sol bölmede Uygulama'ya tıklayın.

    Uygulama'nın seçili olduğu Olay Görüntüleyicisi penceresinin ekran görüntüsü.

  3. Olay kimliği 1704'e çift tıklayın ve grup ilkesi ayarının başarıyla uygulandığını onaylayın.

    Not

    Olayın kaynağı SceCli'dir.

    Olay kimliği 1704 için Olay Özellikler penceresi ekran görüntüsü.

7. Adım - Kayıt defteri değerlerini denetleme

1. Adım : Kayıt defteri değerlerinin değişmediğinden emin olmak için kayıt defterini değiştirin bölümünde değiştirdiğiniz kayıt defteri değerlerini denetleyin.

Not

Bu adım, çakışan bir ilke ayarının başka bir grup veya kuruluş birimi (OU) düzeyinde uygulanmamasını sağlar. Örneğin, Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) ilkesi Etki Alanı Denetleyicisi Güvenlik İlkesi'nde "Tanımlı Değil" olarak yapılandırılmışsa, ancak aynı ilke Etki Alanı Güvenlik İlkesi'nde devre dışı olarak yapılandırılmışsa, İş İstasyonu hizmeti için SMB imzalama devre dışı bırakılır.

8. Adım - İlke Sonuç Kümesi (RSoP) ek bileşenini kullanarak SMB imzalama ilkesi ayarlarını denetleme

grup ilkesi Update yardımcı programını çalıştırdıktan sonra kayıt defteri değerleri değiştiyse, Windows Server 2003'te RSoP ek bileşenini kullanarak SMB imzalama ilkesi ayarlarını denetleyin. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, kutusuna rsop.msc yazın ve ardından Tamam'a tıklayın.

    Aç kutusuna rsop.msc yazarak Çalıştır penceresinin ekran görüntüsü.

  2. RSoP ek bileşeninde, SMB imzalama ayarları şu yolda bulunur: Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel İlkeler/Güvenlik Seçenekleri

    Not

    Windows 2000 Server çalıştırıyorsanız Windows 2000 Server Resource Kit'ten grup ilkesi Update yardımcı programını yükleyin ve komut istemine aşağıdakileri yazın:gpresult /scope computer /v

  3. Bu komutu çalıştırdıktan sonra, Uygulanan grup ilkesi Nesneleri listesi görüntülenir. Bu liste, bilgisayar hesabına uygulanan tüm grup ilkesi Nesnelerini gösterir. Tüm bu grup ilkesi Nesneleri için SMB imzalama ilkesi ayarlarını denetleyin.

Ek kaynaklar

bu davranış, İş İstasyonu hizmeti ve Sunucu hizmeti için SMB imzalama ayarları birbiriyle çelişirse oluşur. Etki alanı denetleyicisini bu şekilde yapılandırdığınızda, etki alanı denetleyicisindeki İş İstasyonu hizmeti etki alanı denetleyicisinin Sysvol paylaşımına bağlanamaz. Bu nedenle, ek bileşenleri grup ilkesi başlatamazsınız. Ayrıca, SMB imzalama ilkeleri varsayılan etki alanı denetleyicisi güvenlik ilkesi tarafından ayarlanırsa, sorun ağdaki tüm etki alanı denetleyicilerini etkiler. Bu nedenle, Active Directory dizin hizmetinde grup ilkesi çoğaltma başarısız olur ve bu ayarları geri almak için grup ilkesi düzenleyemezsiniz.

Senaryo 1 - Etki alanı denetleyicisi tanılama aracını (DcDiag.exe) çalıştırırsanız, Windows 2000 Server ve Windows Server 2003 için aşağıdakine benzer hatalar alırsınız

Test başlatılıyor: MachineAccount
[SERVERNAME] ile kanal açılamadı:5 ile başarısız oldu: Erişim reddedildi.
NetBIOSDomainName alınamadı
KONAK SPN için test edilemedi
KONAK SPN için test edilemedi
* Eksik SPN :(null)
* Eksik SPN :(null)
......................... SERVERNAME machineAccount testi başarısız oldu
Test başlatılıyor: Hizmetler
Uzak ipc [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME başarısız test Hizmetleri
Test başlatılıyor: ObjectsReplicated
......................... SERVERNAME geçirilen test ObjectsReplicated
Test başlatılıyor: frssysvol
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 5 hatasıyla başarısız oldu, Erişim reddedildi...
......................... SERVERNAME testi başarısız oldu frssysvol
Test başlatılıyor: frsevent
......................... SERVERNAME test başarısız oldu frsevent
Test başlatılıyor: kccevent
Olay günlüğü kayıtları numaralandırılamadı, Access reddedildi hatası.
......................... SERVERNAME başarısız test kccevent
Test başlatılıyor: systemlog
Olay günlüğü kayıtları numaralandırılamadı, Access reddedildi hatası.
......................... SERVERNAME başarısız test sistemi günlüğü

Senaryo 2 - Etki alanı denetleyicisi tanılama aracını çalıştırırsanız, Windows 2000 Server ve Windows Server 2003 için aşağıdakine benzer hatalar alırsınız

Test sunucusu: Default-First-Site-Name\SERVERNAME
Test başlatılıyor: Çoğaltmalar
......................... SERVERNAME başarılı test Çoğaltmaları
Test başlatılıyor: NCSecDesc
......................... SERVERNAME, test NCSecDesc'i geçti
Test başlatılıyor: NetLogons
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 1240 hatasıyla başarısız oldu, Hesap bu istasyondan oturum açma yetkisine sahip değil..
......................... SERVERNAME NetLogons testi başarısız oldu
Test başlatılıyor: Reklam
......................... SERVERNAME test reklamlarını geçti
Test başlatılıyor: KnowsOfRoleHolders
......................... SERVERNAME, KnowsOfRoleHolders testlerini geçti
Test başlatılıyor: RidManager
......................... SERVERNAME, RidManager testinden geçti
Test başlatılıyor: MachineAccount
[SERVERNAME] ile kanal açılamadı:1240 ile başarısız oldu: Hesabın bu istasyondan oturum açma yetkisi yok.
NetBIOSDomainName alınamadı
KONAK SPN için test edilemedi
KONAK SPN için test edilemedi
* Eksik SPN :(null)
* Eksik SPN :(null)
......................... SERVERNAME machineAccount testi başarısız oldu
Test başlatılıyor: Hizmetler
Uzak ipc [SERVERNAME] için açılamadı:1240 ile başarısız oldu: Hesabın bu istasyondan oturum açma yetkisi yok.
......................... SERVERNAME başarısız test Hizmetleri
Test başlatılıyor: ObjectsReplicated
......................... SERVERNAME geçirilen test ObjectsReplicated
Test başlatılıyor: frssysvol
[SUNUCUADı] Net kullanım veya LsaPolicy işlemi 1240 hatasıyla başarısız oldu, Hesap bu istasyondan oturum açma yetkisine sahip değil..
......................... SERVERNAME testi başarısız oldu frssysvol
Test başlatılıyor: frsevent
......................... SERVERNAME test başarısız oldu frsevent
Test başlatılıyor: kccevent
Olay günlüğü kayıtları numaralandırılamadı, hata Hesabın bu istasyondan oturum açma yetkisi yok. ......................... SERVERNAME başarısız test kccevent
Test başlatılıyor: systemlog
Olay günlüğü kayıtları numaralandırılamadı, hata Hesabın bu istasyondan oturum açma yetkisi yok. ......................... SERVERNAME başarısız test sistemi günlüğü