home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows Server

ไม่สามารถเข้าถึงโฟลเดอร์ SYSVOL และ NETLOGON จาก Windows 10

ฉันสังเกตเห็นสิ่งแปลก ๆ เมื่อพยายามเข้าถึง SYSVOL และ NETLOGON โฟลเดอร์ในโดเมนจาก Windows 10/Windows Server 2016 เมื่อฉันพยายามเข้าถึงโดเมนโดยใช้เส้นทาง UNC \\<domain.com>\SYSVOL หรือโดยที่อยู่ IP ของตัวควบคุมโดเมน \\192.168.100.10\Netlogon ปรากฏว่า 'การเข้าถึงถูกปฏิเสธ ' และพรอมต์ความปลอดภัยของ Windows ให้ป้อนข้อมูลประจำตัวผู้ใช้เพื่อเข้าถึงโฟลเดอร์ หลังจากป้อนผู้ใช้โดเมนที่ถูกต้องหรือแม้แต่ข้อมูลประจำตัวของผู้ดูแลระบบโดเมน โฟลเดอร์ก็ยังไม่เปิดขึ้น

ไม่สามารถเข้าถึงโฟลเดอร์ SYSVOL และ NETLOGON จาก Windows 10

ในขณะเดียวกัน โฟลเดอร์ Sysvol/Netlogon เดียวกันจะเปิดขึ้นตามปกติ (ไม่มีรหัสผ่าน) หากคุณระบุโฮสต์ตัวควบคุมโดเมนหรือชื่อ FQDN:\\be-dc1.domain.com\sysvol หรือเพียงแค่ \\be-dc1\sysvol .

นอกจากนี้ ปัญหาในการใช้นโยบายกลุ่มอาจเกิดขึ้นบนคอมพิวเตอร์ที่มีปัญหา คุณสามารถค้นหาข้อผิดพลาดด้วย EventID 1058 ในบันทึก Event Viewer:

The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

สิ่งนี้เกี่ยวข้องกับการตั้งค่าความปลอดภัยของ Windows ใหม่ที่ปกป้องคอมพิวเตอร์โดเมนจากการเรียกใช้โค้ด (สคริปต์การเข้าสู่ระบบ ไฟล์เรียกทำงาน) และรับไฟล์การกำหนดค่านโยบายจากแหล่งที่ไม่น่าเชื่อถือ — การเสริมความแข็งแกร่งของ UNC . การตั้งค่าความปลอดภัยของ Windows 10/Windows Server 2016 ต้องใช้ระดับความปลอดภัยต่อไปนี้เพื่อเข้าถึงไดเรกทอรี UNC พร้อมความปลอดภัยขั้นสูง (โฟลเดอร์แชร์ SYSVOL และ NETLOGON):

  • การตรวจสอบความถูกต้องร่วมกัน ของเซิร์ฟเวอร์และไคลเอนต์ Kerberos ใช้สำหรับการรับรองความถูกต้อง (ไม่รองรับ NTLM) นี่คือสาเหตุที่คุณไม่สามารถเข้าถึง SYSVOL และ NETLOGON ที่แชร์บนตัวควบคุมโดเมนด้วยที่อยู่ IP โดยค่าเริ่มต้น RequireMutualAuthentication=1 .
  • ความซื่อสัตย์ คือการตรวจสอบลายเซ็น SMB ช่วยให้มั่นใจได้ว่าข้อมูลในเซสชัน SMB จะไม่ได้รับการแก้ไขในระหว่างการส่ง รองรับลายเซ็น SMB ใน SMB 2.0 หรือสูงกว่า (SMB เวอร์ชัน 1 ไม่รองรับการลงชื่อเซสชัน SMB) ค่าเริ่มต้นคือ RequireIntegrity=1 .
  • ความเป็นส่วนตัว เกี่ยวข้องกับการเข้ารหัสข้อมูลในเซสชัน SMB รองรับตั้งแต่ SMB v 3.0 (Windows 8/Windows Server 2012 หรือใหม่กว่า) ค่าเริ่มต้นคือ RequirePrivacy=0 . หากคุณมีคอมพิวเตอร์หรือตัวควบคุมโดเมนที่มี Windows เวอร์ชันเก่า (Windows 7/Windows Server 2008 R2 หรือเก่ากว่า) ในเครือข่ายของคุณ อย่าใช้ตัวเลือก RequirePrivacy=1 มิฉะนั้น ไคลเอ็นต์รุ่นเก่าจะไม่สามารถเข้าถึงโฟลเดอร์แชร์ของเครือข่ายบนตัวควบคุมโดเมนได้

ในขั้นต้น การเปลี่ยนแปลงเหล่านี้เกิดขึ้นใน Windows 10 ในปี 2015 โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัย MS15-011 และ MS15-014 ส่งผลให้เกิดการเปลี่ยนแปลงใน ผู้ให้บริการ UNC หลายราย (MUP) อัลกอริธึมที่ใช้กฎพิเศษในการเข้าถึงโฟลเดอร์ที่สำคัญบนตัวควบคุมโดเมน:\\*\SYSVOL และ \\*\NETLOGON .

เส้นทาง UNC ที่มีการป้องกันถูกปิดใช้งานโดยค่าเริ่มต้นใน Windows 7 และ Windows 8.1

ในการเข้าถึง SYSVOL และ NETLOGON คุณสามารถเปลี่ยนการตั้งค่าการชุบแข็งของ UNC ใน Windows 10 ได้โดยใช้นโยบายกลุ่ม คุณสามารถใช้การตั้งค่าความปลอดภัยพิเศษเพื่อเข้าถึงเส้นทาง UNC ต่างๆ ใน ​​เส้นทาง UNC ที่แข็งตัวแล้ว นโยบาย

  1. เปิดตัวแก้ไขนโยบายกลุ่มภายในเครื่อง (gpedit.msc);
  2. ไปที่ส่วนนโยบาย การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> เครือข่าย -> ผู้ให้บริการเครือข่าย
  3. เปิดใช้งาน เส้นทาง UNC ที่แข็งตัว นโยบาย; ไม่สามารถเข้าถึงโฟลเดอร์ SYSVOL และ NETLOGON จาก Windows 10
  4. คลิกปุ่ม แสดง ปุ่มและสร้างรายการสำหรับเส้นทาง UNC ไปยัง Netlogon และ Sysvol หากต้องการปิดใช้งานการชุบแข็ง UNC อย่างสมบูรณ์สำหรับโฟลเดอร์เฉพาะ (ไม่แนะนำ!) ให้ระบุค่าต่อไปนี้:RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
คุณสามารถใช้รูปแบบเส้นทาง UNC ต่อไปนี้ได้:

  • \\192.168.200.2 (ที่อยู่ IP ของตัวควบคุมโดเมน)
  • \\domain.com
  • \\DCName

หรือคุณสามารถอนุญาตให้เข้าถึง Sysvol และ Netlogon โดยไม่ขึ้นกับเส้นทาง UNC (บน DC ใดก็ได้):

  • \\*\SYSVOL
  • \\*\NETLOGON

ระบุชื่อโดเมน (ตัวควบคุมโดเมน) หรือที่อยู่ IP ทั้งหมดที่คุณต้องการ

Microsoft แนะนำให้ใช้การตั้งค่าเหล่านี้เพื่อปลอดภัย เข้าถึงไดเรกทอรี UNC ที่สำคัญ:

  • \\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
  • \\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

ไม่สามารถเข้าถึงโฟลเดอร์ SYSVOL และ NETLOGON จาก Windows 10

ตอนนี้คุณเพียงแค่ต้องอัปเดตนโยบายบนคอมพิวเตอร์ของคุณโดยใช้ gpupdate /force คำสั่งและตรวจสอบให้แน่ใจว่าคุณสามารถเข้าถึง Sysvol และ Netlogon ได้

คุณสามารถกำหนดค่าพารามิเตอร์เหล่านี้โดยใช้โดเมนส่วนกลาง GPO หรือคำสั่งต่อไปนี้บนไคลเอนต์:(คำสั่งเหล่านี้จะปิดใช้งานการรับรองความถูกต้อง Kerberos เมื่อคุณเข้าถึงโฟลเดอร์ SYSVOL และ NETLOGON บนตัวควบคุมโดเมน NTLM จะถูกใช้แทน และคุณจะสามารถเปิดได้ โฟลเดอร์ที่ได้รับการป้องกันใน DC ตามที่อยู่ IP)

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

คำสั่งเหล่านี้อาจมีประโยชน์หาก:

  • คุณมีเทมเพลตการดูแลระบบเวอร์ชันเก่าบนตัวควบคุมโดเมน (DC ที่ใช้ Windows Server 2008 R2/ Windows Server 2012) โดยไม่มีพารามิเตอร์ UNC Paths ที่แข็งตัว
  • ไคลเอนต์ไม่สามารถรับการตั้งค่านโยบายโดเมนได้เนื่องจากการไม่สามารถเข้าถึง Sysvol และคุณไม่สามารถปรับใช้การตั้งค่ารีจิสทรีเหล่านี้ได้