ドメイン コントローラーでファイル共有またはグループ ポリシー スナップインを開くことができません

この記事では、ドメイン コントローラーの Workstation または Server サービスで SMB 署名が無効になっているときに発生する問題を解決する方法について説明します。

適用対象:  Windows Server 2003
元の KB 番号:   839499

概要

Windows Server 2003 ドメイン コントローラーまたは Windows 2000 Server ドメイン コントローラーでは、ファイル共有やグループ ポリシー スナップインを開くことができません。 ドメイン コントローラーにローカルでログオンし、ドメイン コントローラーで共有を開く場合は、繰り返しパスワード プロンプトが表示され、共有を開くことができません。 この問題は、レジストリを変更することで解決できます。

警告

レジストリ エディタや他の方法を使用してレジストリを変更する際、適切に変更しないと重大な問題を引き起こす可能性があります。 場合によっては、オペレーティング システムの再インストールが必要になります。 こうした問題の修復について、マイクロソフトはいかなる保証もいたしません。 レジストリの変更はユーザー自身の責任において行ってください。

現象

シナリオ 1 - ドメイン コントローラー上のワークステーション サービスに対してサーバー メッセージ ブロック (SMB) 署名が無効になっていますが、同じドメイン コントローラー上のサーバー サービスには SMB 署名が必要です

Windows Server 2003

ドメイン コントローラーでグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。

この操作を実行するアクセス許可が付与されていない。 アクセスが拒否されました。

ドメイン コントローラーは、5 分ごとにアプリケーション イベント ログに次のイベントをログに記録します。

Windows 2000 Server

ドメイン コントローラーでグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。

この操作を実行するアクセス許可が付与されていない。

アクセスが拒否されました。 ドメイン コントローラーは、アプリケーション イベント ログに次のイベントをログに記録します。

ドメイン コントローラーにローカルでログオンし、ドメイン コントローラーで共有を開く場合は、繰り返しパスワード プロンプトが表示され、共有を開くことができません。

シナリオ 2 - ドメイン コントローラー上のサーバー サービスに対して SMB 署名が無効になっていますが、同じドメイン コントローラー上のワークステーション サービスには SMB 署名が必要です

Windows Server 2003

グループ ポリシー オブジェクトを開け失敗しました。 適切な権限を持てない場合があります。

アカウントは、このステーションからのログインを承認されません。

ネットワーク トレースで、クライアントで SMB 署名が有効で必須であり、サーバーで無効になっている場合、TCP セッションへの接続は Dialect ネゴシエーション後に正常に閉じ、クライアントは次のエラーを受け取ります。

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

ドメイン コントローラーは、アプリケーション イベント ログに 5 分ごとに次のイベントをログに記録します。ドメイン コントローラーにローカルでログオンし、ドメイン コントローラーでファイル共有を開こうとすると、次のようなエラー メッセージが表示されます。

\\Server_Name \Share_Name アクセスできない。 このネットワーク リソースを使用するアクセス許可が付与されていない可能性があります。 アクセス許可を持っている場合は、このサーバーの管理者に問い合わせてください。

アカウントは、このステーションからのログインを承認されません。

注意

ネットワーク トレースで、SMB 署名が有効になっている場合、およびクライアントで SMB 署名が必要であり、サーバーで無効になっている場合、TCP セッションへの接続は、方言ネゴシエーション後に正常に閉じられます。 また、クライアントは次のエラー メッセージを受け取ります。1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

ドメイン コントローラーでグループ ポリシー スナップインを開こうとすると、次のようなエラー メッセージが表示されます。

グループ ポリシー オブジェクトを開け失敗しました。 適切な権限を持てない場合があります。

アカウントは、このステーションからのログインを承認されません。

ドメイン コントローラーは、アプリケーション イベント ログに次のイベントをログに記録します。ドメイン コントローラーにローカルでログオンし、ドメイン コントローラーでファイル共有を開こうとすると、次のようなエラー メッセージが表示されます。

\\Server_Name \Share_Name アクセスできない。

アカウントは、このステーションからのログインを承認されません。

注意

ネットワーク トレースで、SMB 署名が有効になっている場合、およびクライアントで SMB 署名が必要であり、サーバーで無効になっている場合、TCP セッションへの接続は、方言ネゴシエーション後に正常に閉じられます。 また、クライアントは次のエラー メッセージを受け取ります。1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

解決方法

この動作を解決するには、次の手順を実行します。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照してください。Windowsします

手順 1 - レジストリを変更する

enablesecuritysignature レジストリ エントリの値を変更します。 これを行うには、次の手順を実行します。

  1. ドメイン コントローラーで、[スタート] を クリックし、[実行] を クリックします。

  2. [開く] ボックスに regedit コマンドをコピーして貼り付け (または入力) し、Enter キーを押します。

    [開く] ボックスに regedit が入力された [実行] ウィンドウのスクリーンショット。

  3. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. 右側のウィンドウで、[ のデータ] ボックスに「1」と入力し 、[OK] をクリックします。

  5. [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し 、[OK] をクリックします

  6. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. 右側のウィンドウで、[ のデータ] ボックスに「1」と入力し 、[OK] をクリックします。

  8. [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「0」と入力し 、[OK] をクリックします

手順 2 - Server サービスとワークステーション サービスを再起動する レジストリ値を変更した後、Server サービスとワークステーション サービスを再起動します。

重要

この操作を実行すると、グループ ポリシーによってレジストリ値が以前の値に戻る可能性があります。ドメイン コントローラーを再起動しない。

サーバー サービスとワークステーション サービスを再起動するには、次の手順を実行します。

  1. [ スタート] ボタンをクリックして [ 管理ツール] をポイントし、[ サービス] をクリックします。

  2. [サーバー] を 右クリックし、[再起動] を クリックします

    [サーバー] が選択されている [サービス] ウィンドウのスクリーンショットと、[再起動] が選択されたメニュー。

  3. [ワークステーション] を 右クリックし、[再起動] を クリックします

注意

他のサービスを再起動するように求めるメッセージが表示されたら、[はい] を クリックします。

手順 3 - Sysvol 共有を更新する

ドメイン コントローラーの Sysvol 共有を更新します。 これを行うには、次の手順を実行します。

  1. ドメイン コントローラーの Sysvol 共有を開きます。 これを行うには、[スタート] を クリックし、[実行] をクリックし、[開Server_Name Sysvol] と入力し、Enter \ \ \ キーを押します。
  2. Sysvol 共有が開かない場合は、「手順 1 - レジストリを変更する」と「手順 2 - サーバーサービスとワークステーション サービスを再起動する」を繰り返します。
  3. 手順 1 を繰り返します - レジストリを変更し、手順 2 - 影響を受ける各ドメイン コントローラーでサーバー サービスとワークステーション サービスを再起動して、各ドメイン コントローラーが独自の Sysvol 共有にアクセスすることを確認します。

手順 4 - SMB ポリシー設定を設定する

各ドメイン コントローラーの Sysvol 共有に接続したら、ドメイン コントローラー セキュリティ ポリシー スナップインを開き、SMB 署名ポリシー設定を設定します。 これを行うには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし、[ プログラム] を ポイントし、[管理ツール] ポイントし、[ドメイン コントローラー セキュリティ ポリシー ] をクリックします

  2. 左側のウィンドウで、[ローカル ポリシー] を展開し、[ セキュリティ オプション] をクリックします

  3. 右側のウィンドウで、[Microsoft ネットワーク サーバー: デジタル署名通信 (常に ) ] をダブルクリックします

    注意

    2000 Windowsでは、同等のポリシー設定は 、サーバー通信 (常 に) にデジタル署名します。

    重要

    ネットワーク上に SMB 署名をサポートしていないクライアント コンピューターがある場合は 、Microsoft ネットワーク サーバーを有効にしない必要があります。通信 (常に) ポリシー設定にデジタル署名を行う必要があります。 この設定を有効にすると、すべてのクライアント通信に SMB 署名が必要であり、SMB 署名をサポートしていないクライアント コンピューターは他のコンピューターに接続できない。 たとえば、Apple Macintosh OS X または Microsoft Windows 95 を実行しているクライアントは、SMB 署名をサポートしません。 ネットワークに SMB 署名をサポートしていないクライアントが含まれる場合は、このポリシーを無効に設定します。

    [セキュリティ オプション] が選択されている既定設定ドメイン コントローラー セキュリティ ウィンドウのスクリーンショット。

  4. [このポリシー設定を定義 する] チェック ボックスをオンにし、[有効] をクリック **、[OK] をクリックします**。

    [このポリシーの定義] 設定が選択され、有効になっている Microsoft ネットワーク サーバー ウィンドウのスクリーンショット。

  5. [Microsoft ネットワーク サーバー: 通信にデジタル署名する ] (クライアントが同意 する場合) をダブルクリックします

    注意

    2000 Windows 2000 Server の場合、同等のポリシー設定はデジタル署名サーバー通信 (可能な場合 ) です

  6. [このポリシー設定を定義 する] チェック ボックスをオンにして 、[有効] を クリックします

  7. [OK] をクリックします。

  8. [Microsoft ネットワーク クライアント : 通信にデジタル署名する (常に) ] をダブルクリックします

  9. [このポリシー設定を定義 する] チェック ボックスをオフ にし 、[OK] をクリックします

    [このポリシー設定を定義する] チェック ボックスがオフの Microsoft ネットワーク サーバー ウィンドウのスクリーンショット。

  10. [Microsoft ネットワーク クライアント: デジタル署名通信] (サーバーが同意する場合) をダブルクリックします

  11. [このポリシー設定を定義 する] チェック ボックスをオフ にし 、[OK] をクリックします

手順 5 - グループ ポリシー更新ユーティリティを実行する

force スイッチでグループ ポリシー更新ユーティリティ (Gpupdate.exe) を実行します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに cmd コマンドをコピーして貼り付け (または入力) し、Enter キーを押します。

    [開く] ボックスに cmd が入力された [実行] ウィンドウのスクリーンショット。

  3. コマンド プロンプトで、と入力 gpupdate /force し、Enter キーを押します。

    注意

    グループ ポリシー更新ユーティリティは、2000 Server Windows存在しません。 2000 Windowsでは、同等のコマンドは secedit /refreshpolicy machine_policy /enforce .

手順 6 - アプリケーション イベント ログを確認する

グループ ポリシー更新ユーティリティを実行した後、アプリケーション イベント ログを確認して、グループ ポリシー設定が正常に更新されたことを確認します。 グループ ポリシーの更新が成功した後、ドメイン コントローラーはイベント ID 1704 を記録します。 イベント ビューアーでアプリケーション ログを開く手順は次のとおりです。

  1. [スタート] をクリックし、[管理ツール] をポイントして、[イベント ビューアー] をクリックします。

  2. 左側のウィンドウで、[アプリケーション] を クリックします

    [アプリケーション] が選択されたイベント ビューアー ウィンドウのスクリーンショット。

  3. イベント ID 1704 をダブルクリックし、グループ ポリシー設定が正常に適用されたことを確認します。

    注意

    イベントのソースは SceCli です。

    イベント ID 1704 の [イベントのプロパティ] ウィンドウのスクリーンショット。

手順 7 - レジストリ値を確認する

「手順 1 - レジストリ値が変更されていない」で変更したレジストリ値を確認します。

注意

この手順では、競合するポリシー設定が別のグループまたは組織単位 (OU) レベルで適用されません。 たとえば、Microsoft ネットワーク クライアント: デジタル署名通信 (サーバーが同意する場合) ポリシーがドメイン コントローラー セキュリティ ポリシーで "Not Defined" として構成されているが、この同じポリシーがドメイン セキュリティ ポリシーで無効に構成されている場合、ワークステーション サービスの SMB 署名は無効になります。

手順 8 - ポリシーの結果セット (RSoP) スナップインを使用して SMB 署名ポリシー設定を確認する

グループ ポリシー更新ユーティリティの実行後にレジストリ値が変更された場合は、Windows Server 2003 で RSoP スナップインを使用して SMB 署名ポリシー設定を確認します。 これを行うには、次の手順を実行します。

  1. [ スタート] ボタン、[ 実行] を クリックし、[開く] ボックスに「rsop.msc」 と入力、[OK] をクリックします

    [開く] ボックスに rsop.msc が入力された [実行] ウィンドウのスクリーンショット。

  2. RSoP スナップインでは、SMB 署名設定は次のパスに含まれます:コンピューター構成 /Windows 設定/セキュリティ 設定/ローカル ポリシー/セキュリティ オプション

    注意

    Windows 2000 Server を実行している場合は、Windows 2000 Server リソース キットからグループ ポリシー更新ユーティリティをインストールし、コマンド プロンプトで次を入力します。gpresult /scope computer /v

  3. このコマンドを実行すると、[適用された グループ ポリシー オブジェクト] リストが 表示されます。 この一覧には、コンピューター アカウントに適用されるグループ ポリシー オブジェクトすべてが表示されます。 これらすべてのグループ ポリシー オブジェクトの SMB 署名ポリシー設定を確認します。

その他のリソース

この動作は、ワークステーション サービスとサーバー サービスの SMB 署名設定が互いに矛盾している場合に発生します。 この方法でドメイン コントローラーを構成すると、ドメイン コントローラーの Workstation サービスはドメイン コントローラーの Sysvol 共有に接続できません。 したがって、グループ ポリシー スナップインを開始することはできません。また、SMB 署名ポリシーが既定のドメイン コントローラー セキュリティ ポリシーによって設定されている場合、この問題はネットワーク上のすべてのドメイン コントローラーに影響します。 したがって、Active Directory ディレクトリ サービスのグループ ポリシーレプリケーションは失敗し、グループ ポリシーを編集してこれらの設定を元に戻すことはできません。

シナリオ 1 - ドメイン コントローラー診断ツール (DcDiag.exe) を実行すると、Windows 2000 Server および Windows Server 2003 の次のようなエラーが表示されます。

テストの開始: MachineAccount
[SERVERNAME]:5 で失敗したパイプを開け、アクセスが拒否されました。
NetBIOSDomainName を取得できない
失敗したホスト SPN をテストできません
失敗したホスト SPN をテストできません
* SPN が見つからない:(null)
* SPN が見つからない:(null)
.........................SERVERNAME が失敗したテスト MachineAccount
テストの開始: サービス
リモート ipc を [SERVERNAME] に開く必要がありました。5: アクセスが拒否されました。
.........................SERVERNAME が失敗したテスト サービス
テストの開始: ObjectsReplicated
.........................SERVERNAME 渡されたテスト オブジェクトReplicated
テストの開始: frssysvol
[SERVERNAME]正味使用または LsaPolicy 操作がエラー 5 で失敗しました。Access は拒否されます。
.........................SERVERNAME 失敗したテスト frssysvol
テストの開始: frsevent
.........................SERVERNAME 失敗したテスト frsevent
テストの開始: kccevent
イベント ログ レコードの列挙に失敗しました。エラー Access が拒否されました。
.........................SERVERNAME 失敗したテスト kccevent
テストの開始: systemlog
イベント ログ レコードの列挙に失敗しました。エラー Access が拒否されました。
.........................SERVERNAME のテスト システムログに失敗しました

シナリオ 2 - ドメイン コントローラー診断ツールを実行すると、Windows 2000 Server および Windows Server 2003 の場合、次のようなエラーが表示されます。

テスト サーバー: Default-First-Site-Name\SERVERNAME
テストの開始: レプリケーション
.........................SERVERNAME に合格したテスト レプリケーション
テストの開始: NCSecDesc
.........................SERVERNAME はテスト NCSecDesc に合格しました
テストの開始: NetLogons
[SERVERNAME]正味使用または LsaPolicy 操作がエラー 1240 で失敗しました。アカウントは、このステーションからのログインを承認されません。
.........................SERVERNAME のテストに失敗した NetLogons
テストの開始: 広告
.........................SERVERNAME に合格したテスト広告
テストの開始: KnowsOfRoleHolders
.........................SERVERNAME に合格したテスト KnowsOfRoleHolders
テストの開始: RidManager
.........................SERVERNAME はテスト RidManager に合格しました
テストの開始: MachineAccount
[SERVERNAME]:1240 で失敗したパイプを開くことができません:アカウントは、このステーションからのログインを承認されません。
NetBIOSDomainName を取得できない
失敗したホスト SPN をテストできません
失敗したホスト SPN をテストできません
* SPN が見つからない:(null)
* SPN が見つからない:(null)
.........................SERVERNAME が失敗したテスト MachineAccount
テストの開始: サービス
リモート ipc を [SERVERNAME] に開く必要がありました。1240 で失敗しました。アカウントは、このステーションからのログインを承認されません。
.........................SERVERNAME が失敗したテスト サービス
テストの開始: ObjectsReplicated
.........................SERVERNAME 渡されたテスト オブジェクトReplicated
テストの開始: frssysvol
[SERVERNAME]正味使用または LsaPolicy 操作がエラー 1240 で失敗しました。アカウントは、このステーションからのログインを承認されません。
.........................SERVERNAME 失敗したテスト frssysvol
テストの開始: frsevent
.........................SERVERNAME 失敗したテスト frsevent
テストの開始: kccevent
イベント ログ レコードの列挙に失敗しました。エラー アカウントは、このステーションからのログインを承認されません。 ......................... SERVERNAME 失敗したテスト kccevent
テストの開始: systemlog
イベント ログ レコードの列挙に失敗しました。エラー アカウントは、このステーションからのログインを承認されません。 ......................... SERVERNAME のテスト システムログに失敗しました