Нельзя открывать доли файлов или оснастки групповой политики на контроллере домена

В этой статье описывается, как устранить проблему, возникаюную при отключении подписи SMB для службы Workstation или Server на контроллере домена.

Применяется к:   Windows Server 2003
Исходный номер КБ:   839499

Сводка

Нельзя открывать акции файлов или оснастку групповой политики на контроллере домена Windows Server 2003 или на контроллере домена Windows 2000 Server. Когда вы входите в контроллер домена локально, а затем пытаетесь открыть акции на контроллере домена, вы получаете повторные подсказки паролей, и вы не можете открыть акции. Эту проблему можно решить, изменив реестр.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Симптомы

Сценарий 1 . Подписание блока сообщений сервера (SMB) отключено для службы рабочих станций на контроллере домена, но для службы Сервера на том же контроллере домена требуется подписание SMB.

Windows Server 2003

При попытке открыть оснастку групповой политики на контроллере домена вы получаете сообщение об ошибке, напоминаемом следующее:

У вас нет разрешения на выполнение этой операции. Отказ в доступе.

Контроллер домена регистрит следующие события в журнале событий приложения каждые пять минут:

Windows 2000 Server

При попытке открыть оснастку групповой политики на контроллере домена вы получаете сообщение об ошибке, напоминаемом следующее:

У вас нет разрешения на выполнение этой операции.

Отказ в доступе. Контроллер домена регистрит следующее событие в журнале событий приложения:

Когда вы входите в контроллер домена локально, а затем пытаетесь открыть акции на контроллере домена, вы получаете повторные подсказки паролей, и вы не можете открыть акции.

Сценарий 2 . Подписание SMB отключено для службы Server на контроллере домена, но для службы workstation на том же контроллере домена требуется подписание SMB.

Windows Server 2003

Не удалось открыть объект групповой политики. Возможно, у вас нет соответствующих прав.

Учетная запись не разрешена для входа с этой станции.

В сетевом следе, если подписание SMB включено и требуется на клиенте и отключено на сервере, подключение к сеансу TCP после переговоров на диалекте изящно закрывается, и клиент получает следующую ошибку:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Контроллер домена региструет следующие события в журнале событий приложения каждые пять минут. При локальном входе в контроллер домена и попытке открыть файловые акции на контроллере домена вы получаете сообщение об ошибке, напоминаемую следующее:

\\Server_Name \ Share_Name недоступны. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Обратитесь к администратору этого сервера, чтобы узнать, есть ли у вас разрешения на доступ.

Учетная запись не разрешена для входа с этой станции.

Примечание

В сетевом следе, если включено подписание SMB, и если подписание SMB требуется у клиента и отключено на сервере, подключение к сеансу TCP после переговоров на диалекте изящно закрывается. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

При попытке открыть оснастку групповой политики на контроллере домена вы получаете сообщение об ошибке, аналогичное следующему:

Не удалось открыть объект групповой политики. Возможно, у вас нет соответствующих прав.

Учетная запись не разрешена для входа с этой станции.

Контроллер домена регистрирует следующее событие в журнале событий приложения: При входе в контроллер домена, а затем попробуйте открыть файловые акции на контроллере домена, вы получите сообщение об ошибке, аналогичное следующему:

\\Server_Name \ Share_Name недоступны.

Учетная запись не разрешена для входа с этой станции.

Примечание

В сетевом следе, если включено подписание SMB, и если подписание SMB требуется у клиента и отключено на сервере, подключение к сеансу TCP после переговоров на диалекте изящно закрывается. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Решение

Чтобы устранить это поведение, выполните следующие действия:

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать реестр и восстановить его, см. в Windows XP.

Шаг 1 . Изменение реестра

Изменение значения записи реестра enablesecuritysignature. Для этого выполните следующие действия:

  1. На контроллере домена нажмите кнопку Начните и нажмите кнопку Выполнить.

  2. Скопируйте и введите команду regedit в поле Open и нажмите кнопку Ввод.

    Снимок экрана команды regedit

  3. Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. В правой области дважды щелкните enablesecuritysignature, введите 1 в поле данных Значение, а затем нажмите кнопку ОК.

  5. Дважды щелкните кнопку requiresecuritysignature, введите 1 в поле данных Значение, а затем нажмите кнопку ОК.

  6. Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. В правой области дважды щелкните enablesecuritysignature, введите 1 в поле данных Значение, а затем нажмите кнопку ОК.

  8. Дважды щелкните кнопку requiresecuritysignature, введите 0 в поле данных Значение, а затем нажмите кнопку ОК.

Шаг 2 . Перезапустите службу Server и службу рабочих станций после изменения значений реестра, перезапустите службу Server и службу workstation.

Важно!

Не перезапустите контроллер домена, так как это действие может привести к изменению значений реестра на более ранние.

Чтобы перезапустить службу Server и службу Workstation, выполните следующие действия:

  1. Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и Службы.

  2. Щелкните правой кнопкой мыши Сервер и нажмите кнопку Перезапустить.

    Снимок экрана перезапуска службы Server

  3. Щелкните правой кнопкой мыши Workstation и нажмите кнопку Перезапустить.

Примечание

Если вам предложено перезапустить другие службы, нажмите кнопку Да.

Шаг 3 . Обновление совместной версии Sysvol

Обновление доли Sysvol контроллера домена. Для этого выполните следующие действия:

  1. Откройте раздел Sysvol контроллера домена. Для этого нажмите кнопку Начните, нажмите кнопку Выполнить, \ \ введите Server_Name \ Sysvol в поле Open, а затем нажмите кнопку Ввод.
  2. Если доля Sysvol не открывается, повторите шаг 1 — измените реестр и шаг 2 — перезапустите службы серверов и рабочих станций.
  3. Повторите шаг 1 — измените реестр и шаг 2 — перезапустите службы Server и Workstation на каждом затронутом контроллере домена, чтобы убедиться, что каждый контроллер домена может получить доступ к своей собственной совместной работе с Sysvol.

Шаг 4 . Настройка параметров политики SMB

После подключения к совместной службе Sysvol для каждого контроллера домена откройте оснастку политики безопасности контроллера домена, а затем установите параметры политики подписи SMB. Для этого выполните следующие действия:

  1. Нажмите кнопку Начните, указать на программы, указать на административные средства, а затем нажмите кнопку Политики безопасности контроллера домена.

  2. В левой области разйдитесь по локальным политикам и нажмите кнопку Параметры безопасности.

  3. В правой области дважды щелкните сетевой сервер Microsoft: цифровые подписываю сообщения (всегда).

    Примечание

    В Windows 2000 Server эквивалентным параметром политики является цифровое взаимодействие с сервером подписи (всегда).

    Важно!

    Если у вас есть клиентские компьютеры в сети, которые не поддерживают подписание SMB, вы не должны включить сетевой сервер Майкрософт: цифровой параметр политики подписываю сообщения (всегда). Если вы включаете этот параметр, вам необходимо подписать SMB для всех клиентских коммуникаций, а клиентские компьютеры, которые не поддерживают подписание SMB, не смогут подключаться к другим компьютерам. Например, клиенты под управлением Apple Macintosh OS X или Microsoft Windows 95 не поддерживают подписание SMB. Если в вашей сети есть клиенты, которые не поддерживают подписание SMB, установите эту политику для отключения.

    Снимок экрана параметров безопасности

  4. Щелкните, чтобы выбрать контрольный окне Определение этого параметра политики, щелкните Включено, а затем нажмите кнопку ОК.

    Снимок экрана параметра Определение этого параметра политики, чтобы включить

  5. Дважды щелкните сетевой сервер Microsoft: цифровые подписываю сообщения (если клиент соглашается).

    Примечание

    Для Windows 2000 Server эквивалентным параметром политики является цифровое подписание серверной связи (по возможности).

  6. Щелкните, чтобы выбрать контрольный окне Определение этого параметра политики, а затем нажмите кнопку Включено.

  7. Нажмите кнопку ОК.

  8. Дважды щелкните сетевой клиент Microsoft: цифровые сообщения подписываю (всегда).

  9. Щелкните, чтобы очистить контрольный окне Определение этого параметра политики, а затем нажмите кнопку ОК.

    Снимок экрана очистки Определите этот параметр политики

  10. Дважды щелкните сетевой клиент Microsoft: цифровой подписывай сообщения (если сервер соглашается).

  11. Щелкните, чтобы очистить контрольный окне Определение этого параметра политики, а затем нажмите кнопку ОК.

Шаг 5 . Запустите утилиту обновления групповой политики

Запустите утилиту обновления групповой политики (Gpupdate.exe) с помощью переключателя силы. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. Скопируйте и введите командную команду в поле Open и нажмите кнопку Ввод.

    Снимок экрана ввода cmd

  3. В командной подсказке введите gpupdate /force и нажмите кнопку Ввод.

    Примечание

    Утилита обновления групповой политики не существует в Windows 2000 Server. В Windows 2000 Server эквивалентная команда secedit /refreshpolicy machine_policy /enforce .

Шаг 6 . Проверка журнала событий приложения

После запуска утилиты обновления групповой политики проверьте журнал событий приложения, чтобы убедиться, что параметры групповой политики были успешно обновлены. После успешного обновления групповой политики контроллер домена в журналы Event ID 1704. Чтобы открыть журнал приложения в viewer событий, выполните следующие действия:

  1. Нажмите кнопку Пуск, а затем последовательно выберите пункты Администрирование и Просмотр событий.

  2. В левой области нажмите кнопку Приложение.

    Снимок экрана нажатия приложения

  3. Дважды щелкните ID события 1704 и подтвердит успешное применение параметра групповой политики.

    Примечание

    Источник события — SceCli.

    Screenshof свойств событий

Шаг 7 . Проверка значений реестра

Проверьте значения реестра, которые были изменены в шаге 1 . Измените реестр, чтобы убедиться, что значения реестра не изменились.

Примечание

Этот шаг позволяет убедиться, что конфликтующий параметр политики не применяется на уровне другого группового или организационного подразделения. Например, если в политике безопасности контроллера домена политика "Не определена" настроена как "Не определена" в сетевом клиенте Microsoft: digitally sign communications (если сервер согласен), но эта же политика настроена как отключенная в политике безопасности домена, подписание SMB будет отключено для службы рабочих станций.

Шаг 8 . Проверка параметров политики подписывания SMB с помощью набора политик resultant (RSoP)

Если значения реестра изменились после запуска утилиты обновления групповой политики, проверьте параметры политики подписания SMB с помощью оснастки RSoP в Windows Server 2003. Для этого выполните следующие действия:

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите rsop.msc в поле Открыть, а затем нажмите кнопку ОК.

    Снимок экрана ввода rsop.msc

  2. В оснастке RSoP параметры подписи SMB расположены по следующему пути: Конфигурация компьютера/Windows Параметры/Безопасность Параметры/Местные политики и параметры безопасности

    Примечание

    Если вы работаете Windows 2000 Server, установите утилиту обновления групповой политики из набора ресурсов Windows 2000 серверов и введите следующее в командной подсказке:gpresult /scope computer /v

  3. После запуска этой команды появляется список объектов прикладной групповой политики. В этом списке показаны все объекты групповой политики, которые применяются к учетной записи компьютера. Проверьте параметры политики подписания SMB для всех этих объектов групповой политики.

Дополнительные ресурсы

Такое поведение возникает, если параметры подписи SMB для службы workstation и службы Server противоречат друг другу. При настройке контроллера домена таким образом служба рабочих станций контроллера домена не может подключиться к совместной работе контроллера домена sysvol. Поэтому нельзя запускать оснастку групповой политики. Кроме того, если политики подписи SMB устанавливаются политикой безопасности контроллера домена по умолчанию, проблема затрагивает все контроллеры домена в сети. Поэтому репликация групповой политики в службе каталогов Active Directory будет невыгодной, и вы не сможете изменить групповую политику, чтобы отменить эти параметры.

Сценарий 1 . При запуске средства диагностики контроллера домена (DcDiag.exe) вы получаете ошибки, аналогичные следующим Windows 2000 Server и Windows Server 2003.

Начальный тест: MachineAccount
Не удалось открыть трубу с [SERVERNAME]:не удалось с 5: доступ отказано.
Не удалось получить NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Отсутствует spn :(null)
* Отсутствует spn :(null)
......................... ServerNAME не удалось протестировать MachineAccount
Начальный тест: Службы
Не удалось открыть удаленный iPC для [SERVERNAME]:не удалось с 5: доступ отказано.
......................... Службы тестирования SERVERNAME
Начальный тест: ObjectsReplicated
......................... SERVERNAME прошел тест ObjectsReplicated
Начальный тест: frssysvol
[SERVERNAME] Не удалось использовать сеть или операцию LsaPolicy с ошибкой 5, доступ отказано..
......................... SERVERNAME не удалось проверить frssysvol
Начальный тест: frsevent
......................... SERVERNAME не удалось проверить frsevent
Начальный тест: kccevent
Не удалось фиксировать записи журнала событий, доступ к ошибке отказано.
......................... ServerNAME не удалось проверить kccevent
Начальный тест: systemlog
Не удалось фиксировать записи журнала событий, доступ к ошибке отказано.
......................... Неудалась система тестирования SERVERNAME

Сценарий 2 . При запуске средства диагностики контроллера домена вы получаете ошибки, аналогичные следующим Windows 2000 Server и Windows Server 2003

Сервер тестирования: Default-First-Site-Name\SERVERNAME
Начальный тест: репликации
......................... SERVERNAME прошла тестовые репликации
Начальный тест: NCSecDesc
......................... SERVERNAME прошел тест NCSecDesc
Начальный тест: NetLogons
[SERVERNAME] С ошибкой 1240 не удалось использовать сеть или операцию LsaPolicy, учетная запись не уполномочена войти из этой станции..
......................... ServerNAME не удалось протестировать NetLogons
Начальный тест: реклама
......................... SERVERNAME прошла тестовую рекламу
Начальный тест: KnowsOfRoleHolders
......................... SERVERNAME прошел тест KnowsOfRoleHolders
Начальный тест: RidManager
......................... SERVERNAME прошел тест RidManager
Начальный тест: MachineAccount
Не удалось открыть трубу с [SERVERNAME]:не удалось с 1240: учетная запись не уполномочена войти из этой станции.
Не удалось получить NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Отсутствует spn :(null)
* Отсутствует spn :(null)
......................... ServerNAME не удалось протестировать MachineAccount
Начальный тест: Службы
Не удалось открыть удаленный iPC для [SERVERNAME]:не удалось с 1240: учетная запись не уполномочена войти с этой станции.
......................... Службы тестирования SERVERNAME
Начальный тест: ObjectsReplicated
......................... SERVERNAME прошел тест ObjectsReplicated
Начальный тест: frssysvol
[SERVERNAME] С ошибкой 1240 не удалось использовать сеть или операцию LsaPolicy, учетная запись не уполномочена войти из этой станции..
......................... SERVERNAME не удалось проверить frssysvol
Начальный тест: frsevent
......................... SERVERNAME не удалось проверить frsevent
Начальный тест: kccevent
Не удалось фиксировать записи журнала событий, ошибка Учетная запись не разрешена для входа из этой станции. ......................... ServerNAME не удалось проверить kccevent
Начальный тест: systemlog
Не удалось фиксировать записи журнала событий, ошибка Учетная запись не разрешена для входа из этой станции. ......................... Неудалась система тестирования SERVERNAME