您無法在域控制器上開啟檔案共享或 群組原則 嵌入式管理單元

本文說明如何解決在域控制器上停用工作站或伺服器服務的SMB簽署時所發生的問題。

適用於：Windows Server 2003
原始 KB 編號： 839499

摘要

您無法在 Windows Server 2003 域控制器或 Windows 2000 Server 域控制器上開啟檔案共用或 群組原則 嵌入式管理單元。 當您在本機登入域控制器，然後嘗試在域控制器上開啟共用時，您會收到重複的密碼提示，而且您無法開啟共用。 您可以藉由變更登錄來解決此問題。

警告

Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.

徵狀

案例 1 - 在域控制器上停用工作站服務的 SMB (SMB) 簽署，但相同域控制器上的伺服器服務需要 SMB 簽署

Windows Server 2003

當您嘗試在域控制器上開啟 群組原則 嵌入式管理單元時，您會收到類似下列的錯誤訊息：

您沒有執行此作業的許可權。 拒絕存取。

網域控制器會每隔五分鐘記錄一次應用程式事件記錄檔中的下列事件：

Windows 2000 Server

當您嘗試在域控制器上開啟 群組原則 嵌入式管理單元時，您會收到類似下列的錯誤訊息：

您沒有執行此作業的許可權。

拒絕存取。 網域控制器會在應用程式事件記錄檔中記錄下列事件：

當您在本機登入域控制器，然後嘗試在域控制器上開啟共用時，您會收到重複的密碼提示，而且您無法開啟共用。

案例 2 - 域控制器上的伺服器服務已停用 SMB 簽署，但相同域控制器上的工作站服務需要 SMB 簽署

Windows Server 2003

無法開啟 群組原則物件。 您可能沒有適當的許可權。

帳戶未獲授權從此月臺登入。

在網路追蹤中，如果在用戶端啟用且需要SMB簽署，並在伺服器上停用，則TCP會話的聯機會在方言交涉之後正常關閉，而用戶端會收到下列錯誤：

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

域控制器每隔五分鐘會在應用程式事件記錄檔中記錄下列事件：當您在本機登入域控制器，然後嘗試在域控制器上開啟檔案共享時，您會收到類似下列的錯誤訊息：

\\\ Server_NameShare_Name無法存取。 您可能沒有使用此網路資源的權限。 請連絡此伺服器的系統管理員，以瞭解您是否具有存取權限。

帳戶未獲授權從此月臺登入。

注意事項

在網路追蹤中，如果已啟用SMB簽署，而且如果用戶端需要SMB簽署並在伺服器上停用，則在方言交涉之後，TCP 會話的聯機會正常關閉。 此外，用戶端會收到下列錯誤訊息：1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

當您嘗試在域控制器上開啟 群組原則 嵌入式管理單元時，您會收到類似下列的錯誤訊息：

無法開啟 群組原則物件。 您可能沒有適當的許可權。

帳戶未獲授權從此月臺登入。

域控制器會在應用程式事件記錄檔中記錄下列事件：當您在本機登入域控制器，然後嘗試在域控制器上開啟檔案共用時，您會收到類似下列的錯誤訊息：

\\\ Server_NameShare_Name無法存取。

帳戶未獲授權從此月臺登入。

注意事項

在網路追蹤中，如果已啟用SMB簽署，而且如果用戶端需要SMB簽署並在伺服器上停用，則在方言交涉之後，TCP 會話的聯機會正常關閉。 此外，用戶端會收到下列錯誤訊息：1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

解決方案

若要解決此行為，請遵循下列步驟：

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而，不當修改登錄可能會發生嚴重的問題。 因此，請務必謹慎地依照這些步驟執行。 為了有多一層保護，請先備份登錄再進行修改。 如此一來，您就可以在發生問題時還原登錄。 如需如何備份和還原登錄的詳細資訊，請參閱 如何在 Windows XP 中備份和還原登錄。

步驟 1 - 變更登錄

變更 enablesecuritysignature 登錄專案的值。 如果要執行這項操作，請依照下列步驟執行：

1. 在域控制器上，按兩下 [ 開始]，然後按兩下[ 執行]。

2. 複製並貼上 (，或在 [開啟] 方塊中輸入 regedit 命令) ，然後按 Enter 鍵。

   

3. 找出並按一下下列登錄子機碼：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

4. 在右窗格中，按兩下 enablesecuritysignature，在 [ 值資料 ] 方塊中輸入 1，然後按兩下 [ 確定]。

5. 按兩下 [requiresecuritysignature]，在 [ 值數據 ] 方塊中輸入 1，然後按兩下 [ 確定]。

6. 找出並按一下下列登錄子機碼：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

7. 在右窗格中，按兩下 enablesecuritysignature，在 [ 值資料 ] 方塊中輸入 1，然後按兩下 [ 確定]。

8. 按兩下 [requiresecuritysignature]，在 [ 值數據 ] 方塊中輸入 0，然後按兩下 [ 確定]。

步驟 2 - 重新啟動伺服器服務和工作站服務 在您變更登錄值之後，請重新啟動伺服器服務和工作站服務。

重要事項

請勿重新啟動域控制器，因為此動作可能會導致 群組原則 將登錄值變更回先前的值。

若要重新啟動伺服器服務和工作站服務，請遵循下列步驟：

1. 按一下 [開始]，指向 [系統管理工具]，然後按一下 [服務]。

2. 以滑鼠右鍵按兩下 [伺服器]，然後按兩下 [ 重新啟動]。

   

3. 以滑鼠右鍵按兩下 [工作站]，然後按兩下 [ 重新啟動]。

注意事項

如果系統提示您重新啟動其他服務，請按兩下 [ 是]。

步驟 3 - 更新 Sysvol 共用

更新域控制器的 Sysvol 共用。 如果要執行這項操作，請依照下列步驟執行：

1. 開啟域控制器的 Sysvol 共用。 若要這樣做，請按兩下 [開始]，按兩下 [執行]，在 [開啟] 方塊中輸入 \\Server_Name\Sysvol，然後按 Enter。
2. 如果 Sysvol 共用未開啟，請重複步驟 1 - 變更登錄和步驟 2 - 重新啟動伺服器和工作站服務 。
3. 重複步驟 1 - 變更登錄和步驟 2 - 在每個受影響的域控制器上重新啟動伺服器和工作站服務，以確保每個域控制器都可以存取自己的 Sysvol 共用。

步驟 4 - 設定 SMB 原則設定

線上到每個域控制器上的 Sysvol 共用之後，請開啟域控制器安全策略嵌入式管理單元，然後設定 SMB 簽署原則設定。 如果要執行這項操作，請依照下列步驟執行：

1. 按兩下 [開始]，指向 [ 程式]，指向 [ 系統管理工具]，然後按兩下 [域控制器安全策略]。

2. 在左窗格中，展開 [ 本機原則]，然後按兩下 [ 安全性選項]。

3. 在右窗格中，按兩下 Microsoft 網路伺服器：數位簽署通訊 (一律) 。

   注意事項

   在 Windows 2000 Server 中，對等的原則設定是 數位簽署伺服器通訊 (一律) 。

   重要事項

   如果您的網路上有不支援SMB簽署的用戶端電腦，則不得啟用 Microsoft 網路伺服器：數位簽署通訊 (一律) 原則設定。 如果啟用此設定，則所有用戶端通訊都必須有SMB簽署，而不支援SMB簽署的用戶端電腦將無法連線到其他電腦。 例如，執行 Apple Macintosh OS X 或 Microsoft Windows 95 的用戶端不支援 SMB 簽署。 如果您的網路包含不支援SMB簽署的用戶端，請將此原則設定為停用。

   

4. 按兩下以選取 [ 定義此原則設定] 複選框，按兩下 [ 已啟用]，然後按兩下 [ 確定]。

   

5. 按兩下 Microsoft 網路伺服器：如果用戶端同意) ，則以數位方式簽署通訊 (。

   注意事項

   針對 Windows 2000 Server，對等的原則設定是盡可能 ) 數位簽署伺服器通訊 (。

6. 按兩下以選取 [ 定義此原則設定] 複選框，然後按兩下[ 啟用]。

7. 按一下確定。

8. 雙擊 Microsoft 網路用戶端：數位簽署通訊 (一律) 。

9. 按兩下以清除 [ 定義此原則設定] 複選框，然後按兩下 [ 確定]。

   

10. 按兩下 Microsoft 網路用戶端：如果伺服器同意) ，則以數位方式簽署通訊 (。

11. 按兩下以清除 [ 定義此原則設定] 複選框，然後按兩下 [ 確定]。

步驟 5 - 執行 群組原則 Update 公用程式

使用 force 參數執行 群組原則 Update 公用程式 (Gpupdate.exe) 。 如果要執行這項操作，請依照下列步驟執行：

1. 按一下 [開始]，再按一下 [執行]。

2. 複製並貼上 (或在 [開啟] 方塊中輸入 cmd 命令) ，然後按 Enter 鍵。

   

3. 在命令提示字元中輸入 gpupdate /force，然後按下 Enter。

   注意事項

   群組原則 Update 公用程式不存在於 Windows 2000 Server 中。 在 Windows 2000 Server 中，對等的命令為 secedit /refreshpolicy machine_policy /enforce。

步驟 6 - 檢查應用程式事件記錄檔

執行 群組原則 Update 公用程式之後，請檢查應用程式事件記錄檔，以確定 群組原則 設定已成功更新。 成功 群組原則 更新之後，域控制器會記錄事件標識碼 1704。 若要在 事件檢視器 中開啟應用程式記錄，請遵循下列步驟：

1. 按兩下 [開始]，指向 [系統管理工具]，然後按兩下 [事件檢視器]。

2. 在左窗格中，按兩下 [ 應用程式]。

   

3. 按兩下事件識別碼 1704，並確認已成功套用 群組原則 設定。

   注意事項

   事件的來源是 SceCli。

   

步驟 7 - 檢查登錄值

檢查您在步驟 1 - 變更登錄中變更的登錄值，以確定登錄值未變更。

注意事項

此步驟可確保不會在 OU) 層級的另一個群組或組織單位 (套用衝突的原則設定。 例如，如果 Microsoft 網路用戶端：如果伺服器同意) 原則在域控制器安全策略中設定為「未定義」，但此原則在網域安全策略中設定為已停用，則會停用工作站服務的 SMB 簽署，以數位方式簽署通訊 (。

步驟 8 - 使用 RSoP) 嵌入式管理單元 (原則結果集來檢查 SMB 簽署原則設定

如果在您執行 群組原則 Update 公用程式之後登錄值已變更，請使用 Windows Server 2003 中的 RSoP 嵌入式管理單元來檢查 SMB 簽署原則設定。 如果要執行這項操作，請依照下列步驟執行：

1. 按兩下 [開始]，按兩下 [ 執行]，在 [ 開 啟] 方塊中輸入 rsop.msc，然後按兩下 [ 確定]。

   

2. 在 RSoP 嵌入式管理單元中，SMB 簽署設定位於下列路徑：計算機設定 /Windows 設定/安全性設定/本機原則/安全性選項

   注意事項

   如果您執行的是 Windows 2000 Server，請從 Windows 2000 Server Resource Kit 安裝 群組原則 Update 公用程序，然後在命令提示字符中輸入下列命令：gpresult /scope computer /v

3. 執行此命令之後，[套用 群組原則 物件] 列表隨即出現。 此清單會顯示套用至電腦帳戶的所有 群組原則物件。 檢查所有這些 群組原則物件的SMB簽署原則設定。

其他資源

如果工作站服務和伺服器服務的SMB簽署設定互相對應，就會發生此行為。 以這種方式設定域控制器時，域控制器上的工作站服務無法連線到域控制器的 Sysvol 共用。 因此，您無法啟動 群組原則 嵌入式管理單元。此外，如果預設域控制器安全策略已設定SMB簽署原則，則問題會影響網路上的所有域控制器。 因此，群組原則 Active Directory 目錄服務中的複寫將會失敗，而且您將無法編輯 群組原則 復原這些設定。

案例 1 - 如果您執行域控制器診斷工具 (DcDiag.exe) ，您會收到類似下列適用於 Windows 2000 Server 和 Windows Server 2003 的錯誤

開始測試：MachineAccount
無法開啟具有 [SERVERNAME]：failed 的管道，5：拒絕存取。
無法取得 NetBIOSDomainName
無法測試 HOST SPN
無法測試 HOST SPN
* 遺漏 SPN ： (null)
* 遺漏 SPN ： (null)
.........................SERVERNAME 測試失敗 MachineAccount
開始測試：服務
無法開啟遠端 ipc 至 [SERVERNAME]：failed，5：拒絕存取。
.........................SERVERNAME 失敗的測試服務
開始測試：ObjectsReplicated
.........................SERVERNAME 通過測試 ObjectsReplicated
開始測試：frssysvol
[SERVERNAME]net use 或 LsaPolicy 作業失敗，發生錯誤 5，拒絕存取。
.........................SERVERNAME 測試失敗frssysvol
開始測試：frsevent
.........................SERVERNAME 失敗的測試frsevent
開始測試：kccevent
無法列舉事件記錄檔記錄，發生拒絕存取錯誤。
.........................SERVERNAME 測試失敗 kccevent
開始測試：systemlog
無法列舉事件記錄檔記錄，發生拒絕存取錯誤。
.........................SERVERNAME 失敗的測試系統記錄

案例 2 - 如果您執行域控制器診斷工具，您會收到類似下列適用於 Windows 2000 Server 和 Windows Server 2003 的錯誤

測試伺服器：Default-First-Site-Name\SERVERNAME
開始測試：複寫
.........................SERVERNAME 通過測試複寫
開始測試：NCSecDesc
.........................SERVERNAME 通過測試 NCSecDesc
開始測試：NetLogons
[SERVERNAME]net use 或 LsaPolicy 作業失敗，錯誤為 1240，帳戶未獲授權從此月臺登入。
.........................SERVERNAME 測試失敗 NetLogons
開始測試：廣告
.........................SERVERNAME 通過測試廣告
開始測試：KnowsOfRoleHolders
.........................SERVERNAME 通過測試 KnowsOfRoleHolders
開始測試：RidManager
.........................SERVERNAME 通過測試 RidManager
開始測試：MachineAccount
無法開啟具有 [SERVERNAME]：failed 的管道，1240：帳戶未獲授權從此月臺登入。
無法取得 NetBIOSDomainName
無法測試 HOST SPN
無法測試 HOST SPN
* 遺漏 SPN ： (null)
* 遺漏 SPN ： (null)
.........................SERVERNAME 測試失敗 MachineAccount
開始測試：服務
無法開啟遠端 ipc 至 [SERVERNAME]：failed，1240：帳戶未獲授權從此月臺登入。
.........................SERVERNAME 失敗的測試服務
開始測試：ObjectsReplicated
.........................SERVERNAME 通過測試 ObjectsReplicated
開始測試：frssysvol
[SERVERNAME]net use 或 LsaPolicy 作業失敗，錯誤為 1240，帳戶未獲授權從此月臺登入。
.........................SERVERNAME 測試失敗frssysvol
開始測試：frsevent
.........................SERVERNAME 失敗的測試frsevent
開始測試：kccevent
無法列舉事件記錄檔記錄，錯誤 帳戶未獲授權從此月臺登入。 .........................SERVERNAME 測試失敗 kccevent
開始測試：systemlog
無法列舉事件記錄檔記錄，錯誤 帳戶未獲授權從此月臺登入。 .........................SERVERNAME 失敗的測試系統記錄