Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как устранить проблему, из-за которой при попытке создать пространство имен на основе домена возникает ошибка отказа в доступе.
Область применения: все поддерживаемые версии Windows Server
При входе в Windows с помощью учетной записи, которая принадлежит группе администраторов домена, а затем пытаетесь создать пространство имен на основе домена на любом сервере пространства имен распределенной файловой системы (DFS), операция завершается ошибкой. Windows возвращает сообщение об ошибке, похожее на следующее:
\\contoso.com\Public Пространство имен не может быть запрошено. Отказано в доступе.
Однако при возникновении этой ошибки можно по-прежнему успешно создать автономное пространство имен.
Причина 1. Проверка подлинности NTLM завершается ошибкой
При создании нового пространства имен на основе домена запрос системы доменных имен (DNS) отправляется dns-серверу для получения списка записей A для контроллеров домена (DCs). После получения ответа DNS проверка подлинности New Technology LAN Manager (NTLM) выполняется для одного из этих контроллеров домена.
Так как используемая учетная запись является членом группы защищенных пользователей , проверка подлинности NTLM завершается ошибкой STATUS_ACCOUNT_RESTRICTION .
По умолчанию учетные записи, которые являются членами группы защищенных пользователей , не могут пройти проверку подлинности с помощью проверки подлинности NTLM.
Пример трассировки Wireshark
192.168.0.42 192.168.0.1 SMB2 681 Session Setup Request, NTLMSSP_AUTH, User: CONTOSO\Testuser
192.168.0.1 192.168.0.42 SMB2 130 Session Setup Response, Error: STATUS_ACCOUNT_RESTRICTION
Разрешение для причины 1. Удаление используемой учетной записи из группы "Защищенные пользователи"
Примечание.
После применения решения удалите пространство имен DFS из консоли управления DFS и добавьте его обратно или закройте и снова откройте консоль, чтобы внести изменения в силу.
Чтобы устранить эту проблему, удалите используемую учетную запись из группы защищенных пользователей , чтобы выполнить проверку подлинности NTLM. Дополнительные сведения см. в разделе Группа безопасности "Защищенные пользователи".
Причина 2. Сеанс SMB не проходит взаимную проверку подлинности
Эта ошибка также может возникать при реализации жесткой защиты (взаимной проверки подлинности блока сообщений сервера (SMB) на путях домена (например, \\Contoso.com\* или \\CONTOSO\*).
Компьютер, применяющий конфигурацию защиты, не может создать netdfs канал, так как сеанс SMB не проходит взаимную проверку подлинности.
Вы можете проверить, реализован ли параметр защиты в среде, выполнив gpresult /h команду. Вы также можете проверить параметр реестра на затронутом компьютере в разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
Вы должны найти записи для доменного имени, например:
| Доменное имя | Имя значения и данные |
|---|---|
\\corp\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
\\corp.contoso.com\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
Разрешение для причины 2. Задайте для значения RequireMutualAuthentication значение нулю
Примечание.
После применения решения удалите пространство имен DFS из консоли управления DFS и добавьте его обратно или закройте и снова откройте консоль, чтобы внести изменения в силу.
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для защиты создайте резервную копию реестра перед его изменением, чтобы в случае возникновения проблем можно было восстановить его. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы устранить эту проблему, задайте RequireMutualAuthentication значение для \\Contoso\* и \\contoso.com\* равное нулю. После внесения этих изменений можно создать пространство имен.
Например:
| Доменное имя | Имя значения и данные |
|---|---|
\\corp.contoso.com\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
\\corp\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
Пример файла журнала монитора процессов для этого сценария
10:32:48.8093671 AM mmc.exe 3488 CreateFile \\contoso.com\pipe\netdfs 0xC0000201 Desired Access: Generic Read/Write, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a
Ошибка c0000201 указывает: "Удаленная открытая ошибка, так как ограничения, открытые сетью, не были удовлетворены".
Примечание.
Ниже приведены фильтры монитора процессов:
PID is 3488, который является ИДЕНТИФИКАТОРом консоли управления DFSВ предыдущих выходных данных монитора процессов 3488 — это ИДЕНТИФИКАТОР консоли управления DFS. Прежде чем использовать этот фильтр, сначала определите ИДЕНТИФИКАТОР консоли управления DFS.
Path contains \\contoso.com(или\\contoso)