Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie ein Problem beheben, bei dem beim Versuch, einen domänenbasierten Namespace zu erstellen, ein Fehler beim Zugriff verweigert wird.
Gilt für: Alle unterstützten Versionen von Windows Server
Wenn Sie sich bei Windows mit einem Konto anmelden, das zur Gruppe " Domänenadministratoren " gehört, und Sie dann versuchen, einen domänenbasierten Namespace auf einem beliebigen DFS-Namespaceserver (Distributed File System) zu erstellen, schlägt der Vorgang fehl. Windows gibt eine Fehlermeldung zurück, die etwa wie folgt aussieht:
\\contoso.com\Public Der Namespace kann nicht abgefragt werden. Zugriff verweigert.
Wenn dieser Fehler auftritt, können Sie jedoch weiterhin einen eigenständigen Namespace erstellen.
Ursache 1: NTLM-Authentifizierung schlägt fehl
Wenn Sie einen neuen domänenbasierten Namespace erstellen, wird eine DNS-Abfrage (Domain Name System) für den Domänennamen an den DNS-Server gesendet, um eine Liste der A-Einträge für DCs (DCs) zu erhalten. Nach Erhalt der DNS-Antwort wird die NTLM-Authentifizierung (New Technology LAN Manager) für einen dieser DCs ausgeführt.
Da das verwendete Konto Mitglied der Gruppe "Geschützte Benutzer " ist, schlägt die NTLM-Authentifizierung mit dem STATUS_ACCOUNT_RESTRICTION Fehler fehl.
Standardmäßig können Konten, die Mitglieder der Gruppe "Geschützte Benutzer " sind, sich nicht mit der NTLM-Authentifizierung authentifizieren.
Beispiel für die Wireshark-Ablaufverfolgung
192.168.0.42 192.168.0.1 SMB2 681 Session Setup Request, NTLMSSP_AUTH, User: CONTOSO\Testuser
192.168.0.1 192.168.0.42 SMB2 130 Session Setup Response, Error: STATUS_ACCOUNT_RESTRICTION
Lösung für Ursache 1: Entfernen des verwendeten Kontos aus der Gruppe "Geschützte Benutzer"
Notiz
Nachdem Sie die Lösung angewendet haben, entfernen Sie den DFS-Namespace aus der DFS-Verwaltungskonsole, und fügen Sie sie wieder hinzu, oder schließen Sie die Konsole, und öffnen Sie sie erneut, um die Änderungen wirksam zu machen.
Um dieses Problem zu beheben, entfernen Sie das verwendete Konto aus der Gruppe "Geschützte Benutzer ", um die NTLM-Authentifizierung auszuführen. Weitere Informationen finden Sie unter Sicherheitsgruppe „Geschützte Benutzer“.
Ursache 2: Die SMB-Sitzung wird nicht gegenseitig authentifiziert.
Dieser Fehler kann auch auftreten, wenn Sie die gegenseitige Authentifizierung (Server Message Block, SMB) für die Pfade der Domäne implementiert haben (z \\Contoso.com\* . B. oder \\CONTOSO\*).
Der Computer, auf dem die Härtungskonfiguration angewendet wird, kann keine Pipe erstellen netdfs , da sich die SMB-Sitzung nicht gegenseitig authentifiziert.
Sie können überprüfen, ob die Härtungseinstellung in Ihrer Umgebung implementiert ist, indem Sie den gpresult /h Befehl ausführen. Sie können auch die Registrierungseinstellung auf dem betroffenen Computer unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
Sie sollten Einträge für den Domänennamen finden, z. B.:
| Domänenname | Wertname und -daten |
|---|---|
\\corp\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
\\corp.contoso.com\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
Lösung für Ursache 2: Festlegen des Werts "RequireMutualAuthentication" auf Null
Notiz
Nachdem Sie die Lösung angewendet haben, entfernen Sie den DFS-Namespace aus der DFS-Verwaltungskonsole, und fügen Sie sie wieder hinzu, oder schließen Sie die Konsole, und öffnen Sie sie erneut, um die Änderungen wirksam zu machen.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.
Um dieses Problem zu beheben, legen Sie den RequireMutualAuthentication Wert für \\Contoso\* und \\contoso.com\* auf Null fest. Nachdem Sie diese Änderungen vorgenommen haben, können Sie den Namespace erstellen.
Zum Beispiel:
| Domänenname | Wertname und -daten |
|---|---|
\\corp.contoso.com\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
\\corp\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
Beispiel für eine Prozessüberwachungsprotokolldatei für dieses Szenario
10:32:48.8093671 AM mmc.exe 3488 CreateFile \\contoso.com\pipe\netdfs 0xC0000201 Desired Access: Generic Read/Write, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a
Fehler c00000201 gibt an: "Fehler beim Öffnen eines Remotezugriffs, da die Einschränkungen für das Öffnen des Netzwerks nicht erfüllt waren."
Notiz
Die folgenden Prozessüberwachungsfilter sind hilfreich:
PID is 3488, d. h. die PID der DFS-VerwaltungskonsoleIn der vorherigen Ausgabe des Prozessmonitors ist 3488 die PID des DFS-Verwaltungskonsolenprozesses. Bevor Sie diesen Filter verwenden, identifizieren Sie zuerst die PID des DFS-Verwaltungskonsolenprozesses.
Path contains \\contoso.com(oder\\contoso)