Невозможно открыть общие папки или групповая политика оснастки на контроллере домена

В этой статье описывается, как устранить проблему, которая возникает, когда подписывание SMB отключено для рабочей станции или службы сервера на контроллере домена.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 839499

Аннотация

Нельзя открывать общие папки или оснастки групповая политика на контроллере домена Windows Server 2003 или на контроллере домена Windows 2000 Server. При локальном входе на контроллер домена и попытке открыть общие папки на контроллере домена вы получаете повторяющиеся запросы паролей и не можете открыть общие папки. Эту проблему можно решить, изменив реестр.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Симптомы

Сценарий 1. Подписывание блока сообщений сервера (SMB) отключено для службы рабочей станции на контроллере домена, но для службы сервера на том же контроллере домена требуется подписывание SMB.

Windows Server 2003

При попытке открыть оснастки групповая политика на контроллере домена вы получите сообщение об ошибке, похожее на следующее:

У вас нет разрешения на выполнение этой операции. Отказ в доступе.

Контроллер домена регистрирует следующие события в журнале событий приложения каждые пять минут:

Windows 2000 Server

При попытке открыть оснастки групповая политика на контроллере домена вы получите сообщение об ошибке, похожее на следующее:

У вас нет разрешения на выполнение этой операции.

Отказ в доступе. Контроллер домена регистрирует в журнале событий приложения следующее событие:

При локальном входе на контроллер домена и попытке открыть общие папки на контроллере домена вы получаете повторяющиеся запросы паролей и не можете открыть общие папки.

Сценарий 2. Подписывание SMB отключено для службы сервера на контроллере домена, но для службы рабочей станции на том же контроллере домена требуется подписывание SMB.

Windows Server 2003

Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.

Учетная запись не имеет прав на вход с этой станции.

В трассировке сети, если подписывание SMB включено и требуется на клиенте и отключено на сервере, подключение к сеансу TCP корректно закрывается после согласования диалекта, и клиент получает следующую ошибку:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Контроллер домена регистрирует следующие события в журнале событий приложения каждые пять минут: при локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена вы получите сообщение об ошибке, похожее на следующее:

\\\ Server_Name Share_Name недоступен. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Учетная запись не имеет прав на вход с этой станции.

Примечание.

В трассировке сети, если подписывание SMB включено, а подписывание SMB требуется на клиенте и отключено на сервере, подключение к сеансу TCP корректно закрывается после согласования диалекта. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

При попытке открыть оснастки групповая политика на контроллере домена вы получите сообщение об ошибке, похожее на следующее:

Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.

Учетная запись не имеет прав на вход с этой станции.

Контроллер домена регистрирует следующее событие в журнале событий приложения: при локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена вы получите сообщение об ошибке, похожее на следующее:

\\\ Server_Name Share_Name недоступен.

Учетная запись не имеет прав на вход с этой станции.

Примечание.

В трассировке сети, если подписывание SMB включено, а подписывание SMB требуется на клиенте и отключено на сервере, подключение к сеансу TCP корректно закрывается после согласования диалекта. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Решение

Чтобы устранить эту проблему, выполните следующие действия.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе "Резервное копирование и восстановление реестра в Windows XP".

Шаг 1. Изменение реестра

Измените значение записи реестра enablesecuritysignature. Для этого выполните следующие действия:

  1. На контроллере домена нажмите кнопку "Пуск" и нажмите кнопку " Выполнить".

  2. Скопируйте и вставьте (или введите) команду regedit в поле "Открыть", а затем нажмите клавишу ВВОД.

    Снимок экрана: окно запуска с regedit в поле

  3. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. В области справа дважды щелкните enablesecuritysignature, введите 1 в поле данных "Значение" и нажмите кнопку "ОК".

  5. Дважды щелкните requiresecuritysignature, введите 1 в поле данных " Значение" и нажмите кнопку " ОК".

  6. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. В области справа дважды щелкните enablesecuritysignature, введите 1 в поле данных "Значение" и нажмите кнопку "ОК".

  8. Дважды щелкните requiresecuritysignature, введите 0 в поле данных " Значение" и нажмите кнопку " ОК".

Шаг 2. Перезапустите службу сервера и службу рабочей станции после изменения значений реестра, перезапустите службу сервера и службу рабочей станции.

Важно!

Не перезагрузите контроллер домена, так как это действие может групповая политика изменить значения реестра на предыдущие.

Чтобы перезапустить серверную службу и службу рабочей станции, выполните следующие действия.

  1. Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и Службы.

  2. Щелкните правой кнопкой мыши сервер и выберите команду " Перезапустить".

    Снимок экрана: окно

  3. Щелкните правой кнопкой мыши рабочую станцию и выберите команду " Перезапустить".

Примечание.

Если вам будет предложено перезапустить другие службы, нажмите кнопку "Да".

Шаг 3. Обновление общей папки Sysvol

Обновите общую папку Sysvol контроллера домена. Для этого выполните следующие действия:

  1. Откройте общую папку Sysvol контроллера домена. Для этого нажмите кнопку "Пуск", нажмите кнопку "Выполнить",введите \\Server_Name\Sysvol в поле "Открыть", а затем нажмите клавишу ВВОД.
  2. Если общий ресурс Sysvol не открывается, повторите шаг 1 . Изменение реестра и шаг 2 . Перезапуск служб сервера и рабочей станции.
  3. Повторите шаг 1. Изменение реестра и шаг 2. Перезапустите службы сервера и рабочей станции на каждом затронутом контроллере домена, чтобы убедиться, что каждый контроллер домена может получить доступ к собственному общей папке Sysvol.

Шаг 4. Настройка параметров политики SMB

После подключения к общей папке Sysvol на каждом контроллере домена откройте оснастку политики безопасности контроллера домена, а затем настроите параметры политики подписи SMB. Для этого выполните следующие действия:

  1. Нажмите кнопку "Пуск", наведите указатель мыши на программы, наведите указатель мыши на средства администрирования и выберите пункт " Политика безопасности контроллера домена".

  2. В левой области разверните узел "Локальные политики" и нажмите кнопку "Параметры безопасности".

  3. В области справа дважды щелкните сетевой сервер Майкрософт: цифровая подпись (всегда).

    Примечание.

    В Windows 2000 Server эквивалентным параметром политики является digitally sign server communication (always).

    Важно!

    Если в сети есть клиентские компьютеры, не поддерживающие подписывание SMB, не следует включать параметр политики сетевого сервера Майкрософт: цифровая подпись (всегда) для обмена данными. Если этот параметр включен, для всех клиентских подключений требуется подписывание SMB, а клиентские компьютеры, не поддерживающие подписывание SMB, не смогут подключаться к другим компьютерам. Например, клиенты под управлением Apple Macintosh OS X или Microsoft Windows 95 не поддерживают подписывание SMB. Если в сеть входят клиенты, которые не поддерживают подписывание SMB, задайте эту политику как отключенную.

    Снимок экрана: окно параметров безопасности контроллера домена по умолчанию с выбранными параметрами безопасности.

  4. Установите флажок "Определить этот параметр политики", нажмите кнопку "Включено" и нажмите кнопку " ОК".

    Снимок экрана: окно сетевого сервера Майкрософт с выбранным и включенным параметром

  5. Дважды щелкните сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент соглашается).

    Примечание.

    Для Windows 2000 Server эквивалентным параметром политики является digitally sign server communication (when possible).

  6. Установите флажок "Определить этот параметр политики" и нажмите кнопку " Включено".

  7. Нажмите кнопку ОК.

  8. Дважды щелкните сетевой клиент Майкрософт: цифровая подпись (всегда).

  9. Щелкните, чтобы снять флажок "Определить этот параметр политики", и нажмите кнопку " ОК".

    Снимок экрана: окно сетевого сервера Майкрософт с снятием флажка

  10. Дважды щелкните сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер соглашается).

  11. Щелкните, чтобы снять флажок "Определить этот параметр политики", и нажмите кнопку " ОК".

Шаг 5. Запуск служебной программы групповая политика обновления

Запустите служебную групповая политика обновления (Gpupdate.exe) с помощью принудительного коммутатора. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. Скопируйте и вставьте (или введите) командную команду в поле "Открыть", а затем нажмите клавишу ВВОД.

    Снимок экрана: окно запуска с командой, введите ее в поле

  3. В командной строке введите gpupdate /force, а затем нажмите Ввод.

    Примечание.

    Служебная групповая политика обновления не существует в Windows 2000 Server. В Windows 2000 Server эквивалентной командой является secedit /refreshpolicy machine_policy /enforce.

Шаг 6. Проверка журнала событий приложения

После запуска служебной групповая политика обновления проверьте журнал событий приложения, чтобы убедиться, что групповая политика параметры были успешно обновлены. После успешного обновления групповая политика контроллер домена регистрирует идентификатор события 1704. Чтобы открыть журнал приложений в Просмотр событий, выполните следующие действия.

  1. Нажмите кнопку Пуск, а затем последовательно выберите пункты Администрирование и Просмотр событий.

  2. В левой области щелкните " Приложение".

    Снимок экрана: окно Просмотр событий с выбранным приложением.

  3. Дважды щелкните событие с идентификатором 1704 и убедитесь, что групповая политика был успешно применен.

    Примечание.

    Источником события является SceCli.

    Снимок экрана: окно свойств события с идентификатором 1704.

Шаг 7. Проверка значений реестра

Проверьте значения реестра, которые были изменены на шаге 1. Измените реестр, чтобы убедиться, что значения реестра не изменились.

Примечание.

Этот шаг гарантирует, что конфликтующее значение политики не применяется на уровне другой группы или подразделения. Например, если сетевой клиент Майкрософт: политика обмена данными с цифровой подписью (если сервер соглашается) настроена как "Не определено" в политике безопасности контроллера домена, но эта политика настроена как отключенная в Политике безопасности домена, подписывание SMB будет отключено для службы рабочей станции.

Шаг 8. Проверка параметров политики подписи SMB с помощью оснастки результирующего набора политик (RSoP)

Если значения реестра изменились после запуска служебной программы групповая политика Update, проверьте параметры политики подписи SMB с помощью оснастки RSoP в Windows Server 2003. Для этого выполните следующие действия:

  1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите rsop.msc в поле "Открыть" и нажмите кнопку "ОК".

    Снимок экрана: окно запуска с файлом rsop.msc, введите его в поле

  2. В оснастке RSoP параметры подписи SMB находятся по следующему пути: Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности

    Примечание.

    Если вы используете Windows 2000 Server, установите служебную программу групповая политика Update из комплекта ресурсов сервера Windows 2000 и введите в командной строке следующую команду:gpresult /scope computer /v

  3. После выполнения этой команды отобразится список групповая политика объектов Applied. В этом списке групповая политика объекты, примененные к учетной записи компьютера. Проверьте параметры политики подписи SMB для всех этих групповая политика объектов.

Дополнительные ресурсы

Такое поведение возникает, если параметры подписи SMB для службы рабочей станции и службы сервера несовместимы друг с другом. При настройке контроллера домена таким образом служба рабочей станции на контроллере домена не может подключиться к общей папке Sysvol контроллера домена. Таким образом, вы не можете групповая политика оснастки. Кроме того, если политики подписи SMB заданы политикой безопасности контроллера домена по умолчанию, проблема затрагивает все контроллеры домена в сети. Таким образом, групповая политика репликации в службе каталогов Active Directory завершится сбоем, и вы не сможете изменить групповая политика, чтобы отменить эти параметры.

Сценарий 1. При запуске средства диагностики контроллера домена (DcDiag.exe) вы получите ошибки, аналогичные приведенным ниже для Windows 2000 Server и Windows Server 2003.

Запуск теста: MachineAccount
Не удалось открыть канал с [SERVERNAME]:failed with 5: Access is denied.
Не удалось получить NetBIOSDomainName
Не удалось проверить имя участника-службы HOST
Не удалось проверить имя участника-службы HOST
* Отсутствует имя субъекта-службы :( null)
* Отсутствует имя субъекта-службы :( null)
......................... ServerNAME не удалось проверить MachineAccount
Начальный тест: службы
Не удалось открыть удаленный ipc в [SERVERNAME]:failed with 5: Access is denied.
......................... Службы тестирования SERVERNAME завершилось сбоем
Начальный тест: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Начальный тест: frssysvol
[SERVERNAME] Не удалось выполнить операцию net use или LsaPolicy с ошибкой 5, доступ запрещен.
......................... ServerNAME failed test frssysvol
Запуск теста: frsevent
......................... ServerNAME failed test frsevent
Запуск теста: kccevent
Не удалось перечислить записи журнала событий, ошибка Access запрещена.
......................... ServerNAME failed test kccevent
Запуск теста: systemlog
Не удалось перечислить записи журнала событий, ошибка Access запрещена.
......................... Системный журнал тестирования SERVERNAME завершился сбоем

Сценарий 2. При запуске средства диагностики контроллера домена вы получите ошибки, аналогичные приведенным ниже для Windows 2000 Server и Windows Server 2003.

Сервер тестирования: Default-First-Site-Name\SERVERNAME
Запуск теста: репликации
......................... ServerNAME, пройденные тестовой репликацией
Начальный тест: NCSecDesc
......................... ServerNAME прошел тест NCSecDesc
Начальный тест: NetLogons
[SERVERNAME] Не удалось выполнить операцию net use или LsaPolicy с ошибкой 1240. Учетная запись не имеет прав на вход с этой станции.
......................... ServerNAME не удалось проверить NetLogons
Начальный тест: реклама
......................... ServerNAME прошел тестовую рекламу
Начальный тест: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHolders
Начальный тест: RidManager
......................... ServerNAME прошел тест RidManager
Запуск теста: MachineAccount
Не удалось открыть канал с [SERVERNAME]:failed с кодом 1240: учетная запись не имеет прав на вход с этой станции.
Не удалось получить NetBIOSDomainName
Не удалось проверить имя участника-службы HOST
Не удалось проверить имя участника-службы HOST
* Отсутствует имя субъекта-службы :( null)
* Отсутствует имя субъекта-службы :( null)
......................... ServerNAME не удалось проверить MachineAccount
Начальный тест: службы
Не удалось открыть удаленный ipc в [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... Службы тестирования SERVERNAME завершилось сбоем
Начальный тест: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Начальный тест: frssysvol
[SERVERNAME] Не удалось выполнить операцию net use или LsaPolicy с ошибкой 1240. Учетная запись не имеет прав на вход с этой станции.
......................... ServerNAME failed test frssysvol
Запуск теста: frsevent
......................... ServerNAME failed test frsevent
Запуск теста: kccevent
Не удалось перечислить записи журнала событий, ошибка Учетная запись не авторизована для входа с этой станции. ......................... ServerNAME failed test kccevent
Запуск теста: systemlog
Не удалось перечислить записи журнала событий, ошибка Учетная запись не авторизована для входа с этой станции. ......................... Системный журнал тестирования SERVERNAME завершился сбоем