Невозможно открыть общие папки или групповая политика оснастки на контроллере домена

  • Статья

В этой статье описывается, как устранить проблему, возникающую при отключении подписывания SMB для рабочей станции или службы сервера на контроллере домена.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 839499

Сводка

Общие папки или оснастки групповая политика нельзя открыть на контроллере домена Windows Server 2003 или на контроллере домена Windows 2000 Server. При локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена вы получите повторяющиеся запросы пароля, и вы не сможете открыть общие папки. Эту проблему можно устранить, изменив реестр.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Симптомы

Сценарий 1. Подписывание SMB для службы рабочей станции на контроллере домена отключено, но для службы сервера на том же контроллере домена требуется подпись SMB.

Windows Server 2003

При попытке открыть групповая политика оснастки на контроллере домена появляется сообщение об ошибке, примерно следующее:

У вас нет разрешения на выполнение этой операции. Отказ в доступе.

Контроллер домена регистрирует следующие события в журнале событий приложения каждые пять минут:

Windows 2000 Server

При попытке открыть групповая политика оснастки на контроллере домена появляется сообщение об ошибке, примерно следующее:

У вас нет разрешения на выполнение этой операции.

Отказ в доступе. Контроллер домена регистрирует следующее событие в журнале событий приложения:

При локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена вы получите повторяющиеся запросы пароля, и вы не сможете открыть общие папки.

Сценарий 2. Подписывание SMB отключено для службы сервера на контроллере домена, но подписывание SMB требуется для службы рабочей станции на том же контроллере домена.

Windows Server 2003

Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.

Учетная запись не авторизована на вход с этой станции.

В трассировке сети, если подпись SMB включена и требуется на клиенте и отключена на сервере, подключение к сеансу TCP корректно закрывается после согласования диалектов, и клиент получает следующую ошибку:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Контроллер домена регистрирует следующие события в журнале событий приложений каждые пять минут. При локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена появляется сообщение об ошибке следующего вида:

\\\ Server_NameShare_Name недоступна. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Учетная запись не авторизована на вход с этой станции.

Примечание.

В трассировке сети, если подписывание SMB включено и подписывание SMB требуется на клиенте и отключено на сервере, подключение к сеансу TCP корректно закрывается после согласования диалекта. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION).

Windows 2000 Server

При попытке открыть групповая политика оснастки на контроллере домена появляется сообщение об ошибке, примерно следующее:

Не удалось открыть объект групповая политика. Возможно, у вас нет соответствующих прав.

Учетная запись не авторизована на вход с этой станции.

Контроллер домена регистрирует следующее событие в журнале событий приложения. При локальном входе в контроллер домена и попытке открыть общие папки на контроллере домена появляется сообщение об ошибке, похожее на следующее:

\\\ Server_NameShare_Name недоступна.

Учетная запись не авторизована на вход с этой станции.

Примечание.

В трассировке сети, если подписывание SMB включено и подписывание SMB требуется на клиенте и отключено на сервере, подключение к сеансу TCP корректно закрывается после согласования диалекта. Кроме того, клиент получает следующее сообщение об ошибке: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION).

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в статье Резервное копирование и восстановление реестра в Windows XP.

Шаг 1. Изменение реестра

Измените значение записи реестра enablesecuritysignature. Для этого выполните следующие действия:

  1. На контроллере домена нажмите кнопку Пуск, а затем — Выполнить.

  2. Скопируйте и вставьте команду regedit (или введите) в поле Открыть, а затем нажмите клавишу ВВОД.

    Снимок экрана: окно запуска с regedit, введенным в поле Открыть.

  3. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. В правой области дважды щелкните enablesecuritysignature, введите 1 в поле Значение и нажмите кнопку ОК.

  5. Дважды щелкните requiresecuritysignature, введите 1 в поле Значение и нажмите кнопку ОК.

  6. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. В правой области дважды щелкните enablesecuritysignature, введите 1 в поле Значение и нажмите кнопку ОК.

  8. Дважды щелкните requiresecuritysignature, введите 0 в поле Значение и нажмите кнопку ОК.

Шаг 2. Перезапустите службу сервера и рабочую станцию После изменения значений реестра перезапустите службу сервера и службу рабочей станции.

Важно!

Не перезагружайте контроллер домена, так как это действие может привести к тому, что групповая политика изменит значения реестра на предыдущие значения.

Чтобы перезапустить службу сервера и рабочую станцию, выполните следующие действия.

  1. Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и Службы.

  2. Щелкните правой кнопкой мыши сервер и выберите пункт Перезапустить.

    Снимок экрана: окно

  3. Щелкните правой кнопкой мыши рабочую станцию и выберите пункт Перезапустить.

Примечание.

Если вам будет предложено перезапустить другие службы, нажмите кнопку Да.

Шаг 3. Обновление общей папки Sysvol

Обновите общую папку Sysvol контроллера домена. Для этого выполните следующие действия:

  1. Откройте общую папку Sysvol контроллера домена. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите \\Server_Name\Sysvol в поле Открыть и нажмите клавишу ВВОД.
  2. Если общая папка Sysvol не открывается, повторите шаг 1. Изменение реестра и шаг 2. Перезагрузите службы сервера и рабочей станции.
  3. Повторите шаг 1. Измените реестр и шаг 2. Перезапустите службы сервера и рабочей станции на каждом затронутом контроллере домена, чтобы убедиться, что каждый контроллер домена может получить доступ к собственной общей папке Sysvol.

Шаг 4. Настройка параметров политики SMB

После подключения к общей папке Sysvol на каждом контроллере домена откройте оснастку "Политика безопасности контроллера домена", а затем настройте параметры политики подписывания SMB. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Политика безопасности контроллера домена.

  2. В левой области разверните узел Локальные политики, а затем щелкните Параметры безопасности.

  3. В области справа дважды щелкните microsoft network server: Digitally signs communications (always)).

    Примечание.

    В Windows 2000 Server эквивалентным параметром политики является обмен данными с сервером цифровой подписи (всегда).

    Важно!

    Если в сети есть клиентские компьютеры, которые не поддерживают подписывание SMB, не следует включать параметр политики Microsoft Network Server: Digitally signs communications (всегда). Если этот параметр включен, необходимо иметь подпись SMB для всех клиентских подключений, а клиентские компьютеры, которые не поддерживают подписывание SMB, не смогут подключаться к другим компьютерам. Например, клиенты под управлением Apple Macintosh OS X или Microsoft Windows 95 не поддерживают подписывание SMB. Если ваша сеть включает клиенты, которые не поддерживают подписывание SMB, задайте для этой политики значение отключено.

    Снимок экрана: окно параметров безопасности контроллера домена по умолчанию с выбранным параметром

  4. Установите флажок Определить этот параметр политики проверка, нажмите кнопку Включено, а затем нажмите кнопку ОК.

    Снимок экрана: окно сетевого сервера Майкрософт с выбранным и включенным параметром

  5. Дважды щелкните сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент согласен).

    Примечание.

    Для Windows 2000 Server эквивалентным параметром политики является цифровая подпись связи с сервером (если это возможно).

  6. Установите флажок Определить этот параметр политики проверка, а затем щелкните Включено.

  7. Нажмите кнопку OK.

  8. Дважды щелкните microsoft network client: digitally signs communications (always)).

  9. Снимите флажок Определить этот параметр политики проверка, а затем нажмите кнопку ОК.

    Снимок экрана: окно сетевого сервера Майкрософт с очищенным полем Определить этот параметр политики проверка.

  10. Дважды щелкните microsoft network client: digital signs communications (если сервер согласен).

  11. Снимите флажок Определить этот параметр политики проверка, а затем нажмите кнопку ОК.

Шаг 5. Запуск программы обновления групповая политика

Запустите служебную программу обновления групповая политика (Gpupdate.exe) с параметром force. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. Скопируйте и вставьте (или введите) команду cmd в поле Открыть, а затем нажмите клавишу ВВОД.

    Снимок экрана: окно запуска с командой cmd, введенной в поле Открыть.

  3. В командной строке введите gpupdate /force, а затем нажмите Ввод.

    Примечание.

    Служебная программа обновления групповая политика не существует в Windows 2000 Server. В Windows 2000 Server эквивалентная команда — secedit /refreshpolicy machine_policy /enforce.

Шаг 6. Проверка журнала событий приложения

После запуска программы обновления групповая политика проверка журнал событий приложения, чтобы убедиться, что параметры групповая политика были успешно обновлены. После успешного групповая политика обновления контроллер домена регистрирует событие с идентификатором 1704. Чтобы открыть журнал приложения в Просмотр событий, выполните следующие действия.

  1. Нажмите кнопку Пуск, а затем последовательно выберите пункты Администрирование и Просмотр событий.

  2. В левой области щелкните Приложение.

    Снимок экрана: окно Просмотр событий с выбранным приложением.

  3. Дважды щелкните событие с идентификатором 1704 и убедитесь, что параметр групповая политика успешно применен.

    Примечание.

    Источником события является SceCli.

    Снимок экрана: окно свойств события с идентификатором 1704.

Шаг 7. Проверка значений реестра

Проверьте значения реестра, измененные на шаге 1. Изменение реестра, чтобы убедиться, что значения реестра не изменились.

Примечание.

Этот шаг гарантирует, что конфликтующий параметр политики не применяется на уровне другой группы или подразделения. Например, если в политике безопасности контроллера домена сетевой клиент Майкрософт: цифровая подпись (если сервер согласен) настроена политика "Не определена", но эта же политика настроена как отключенная в политике безопасности домена, подписывание SMB будет отключено для службы рабочей станции.

Шаг 8. Проверка параметров политики подписывания SMB с помощью оснастки Результирующий набор политик (RSoP)

Если значения реестра изменились после запуска программы обновления групповая политика, проверка параметры политики подписывания SMB с помощью оснастки RSoP в Windows Server 2003. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите rsop.msc в поле Открыть и нажмите кнопку ОК.

    Снимок экрана: окно запуска с rsop.msc, введенным в поле Открыть.

  2. В оснастке RSoP параметры подписывания SMB находятся по следующему пути: Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности

    Примечание.

    Если вы используете Windows 2000 Server, установите служебную программу обновления групповая политика из комплекта ресурсов Windows 2000 Server, а затем введите в командной строке следующую команду:gpresult /scope computer /v

  3. После выполнения этой команды появится список Примененные объекты групповая политика. В этом списке показаны все объекты групповая политика, которые применяются к учетной записи компьютера. Проверьте параметры политики подписывания SMB для всех этих объектов групповая политика.

Дополнительные ресурсы

Это происходит, если параметры подписывания SMB для службы рабочей станции и службы сервера противоречат друг другу. При такой настройке контроллера домена служба рабочей станции на контроллере домена не может подключиться к общей папке Sysvol контроллера домена. Поэтому вы не можете запустить групповая политика оснастки. Кроме того, если политики подписывания SMB задаются политикой безопасности контроллера домена по умолчанию, проблема затрагивает все контроллеры домена в сети. Таким образом, групповая политика репликация в службе каталогов Active Directory завершится сбоем, и вы не сможете изменить групповая политика, чтобы отменить эти параметры.

Сценарий 1. При запуске средства диагностики контроллера домена (DcDiag.exe) возникают ошибки, аналогичные приведенным ниже для Windows 2000 Server и Windows Server 2003.

Запуск теста: MachineAccount
Не удалось открыть канал с [SERVERNAME]:failed с 5: доступ запрещен.
Не удалось получить NetBIOSDomainName
Сбой не удается проверить имя субъекта-службы host
Сбой не удается проверить имя субъекта-службы host
* Отсутствует имя субъекта-службы :(null)
* Отсутствует имя субъекта-службы :(null)
......................... ServerNAME не удалось проверить MachineAccount
Запуск теста: службы
Не удалось открыть remote ipc to [SERVERNAME]:failed с 5: доступ запрещен.
......................... Сервер SERVERNAME завершился сбоем тестовых служб
Начальный тест: ObjectsReplicated
......................... SERVERNAME прошел тестовые объектыReplicated
Начальный тест: frssysvol
[ИМЯ_СЕРВЕРА] Сбой операции net use или LsaPolicy с ошибкой 5. Доступ запрещен..
......................... ServerNAME не удалось проверить frssysvol
Начальный тест: frsevent
......................... ServerNAME не удалось проверить frsevent
Начальный тест: kccevent
Не удалось перечислить записи журнала событий, ошибка Доступ запрещен.
......................... ServerNAME не удалось проверить kccevent
Запуск теста: systemlog
Не удалось перечислить записи журнала событий, ошибка Доступ запрещен.
......................... Сбой тестового системного журнала SERVERNAME

Сценарий 2. При запуске средства диагностики контроллера домена возникают ошибки, аналогичные приведенным ниже для Windows 2000 Server и Windows Server 2003.

Сервер тестирования: Default-First-Site-Name\SERVERNAME
Начальный тест: репликация
......................... SERVERNAME прошел тестовые репликации
Начальный тест: NCSecDesc
......................... SERVERNAME прошел тест NCSecDesc
Начальный тест: NetLogons
[ИМЯ_СЕРВЕРА] Сбой операции net use или LsaPolicy с ошибкой 1240. Учетная запись не авторизована на вход с этой станции.
......................... ServerNAME не удалось проверить NetLogons
Начальный тест: Реклама
......................... SERVERNAME прошел тестовую рекламу
Начальный тест: KnowsOfRoleHolders
......................... SERVERNAME прошел тест KnowsOfRoleHolders
Запуск теста: RidManager
......................... SERVERNAME прошел тест RidManager
Запуск теста: MachineAccount
Не удалось открыть канал с параметром [SERVERNAME]:failed с 1240: учетная запись не авторизована на вход с этой станции.
Не удалось получить NetBIOSDomainName
Сбой не удается проверить имя субъекта-службы host
Сбой не удается проверить имя субъекта-службы host
* Отсутствует имя субъекта-службы :(null)
* Отсутствует имя субъекта-службы :(null)
......................... ServerNAME не удалось проверить MachineAccount
Запуск теста: службы
Не удалось открыть remote ipc to [SERVERNAME]:failed с 1240: учетная запись не авторизована на вход с этой станции.
......................... Сервер SERVERNAME завершился сбоем тестовых служб
Начальный тест: ObjectsReplicated
......................... SERVERNAME прошел тестовые объектыReplicated
Начальный тест: frssysvol
[ИМЯ_СЕРВЕРА] Сбой операции net use или LsaPolicy с ошибкой 1240. Учетная запись не авторизована на вход с этой станции.
......................... ServerNAME не удалось проверить frssysvol
Начальный тест: frsevent
......................... ServerNAME не удалось проверить frsevent
Начальный тест: kccevent
Не удалось перечислить записи журнала событий, ошибка Учетная запись не авторизована для входа с этой станции. ......................... ServerNAME не удалось проверить kccevent
Запуск теста: systemlog
Не удалось перечислить записи журнала событий, ошибка Учетная запись не авторизована для входа с этой станции. ......................... Сбой тестового системного журнала SERVERNAME