none
přístup ke sdíleným složkám na win2000server z win7 home

    Dotaz

  • Situace:
    - Windows 2000 server, který je řadičem domény a má sdílenou složku "install", v AD vytvořen úž. účet "roman" s heslem xxx, je členem Administrators a Enterprise Admins
    - pc s Windows XP Prof SP3, který není členem domény, přihlášen lokální "roman" s heslem xxx, do \\server\install má přístup. pokusně nasdílen celý disk D
    - nový notebook s win7 HP, OEM verze od asusu, není členem domény. přihlášen lokální "roman" s heslem xxx - obojí stejné jako v AD, pokusně nasdílen disk D

    z notebooku se bez problémů připojím k \\pc\d (nic to nechce, bere to údaje přihlášeného uživatele), ale zaboha ne k \\server\install - pokaždé na mě vyskočí okno dožadující se zadání jména a hesla. Když dám "roman" a xxx, tedy to samé, co je v AD, okno po pár vteřinách opět vyskočí. Přitom ze serveru se bez problémů dostanu do \\ntb\d i do \\pc\d aníž bych musel cokoliv zadávat. Kde je zakopaný pes? Zkoušel jsem to i pod obyčejným lokálním uživatelem, který byl samozřejmě také založen v AD se stejným heslem a ani pod ním to neběželo.

    Ze stolního pc se ke sdílením na serveru dostanu a toto pc není členem domény, stejně jako notebook.

    Podotýkám, že takhle se to chová i s vypnutými firewally a ping mezi jednotlivými počítači funguje ať už se použije ip adresa nebo jméno počítače. Samožřejmě jsem zkoušel i \\192.168.0.250\install namísto \\server\install. Na win7 je připojení k síti metalickým kabelem a je ve skupině "pracovní" nebo tak nějak, rozhodně to není "doma" ani "veřejné"

    Napadají mne dvě možnosti, ale nevím, jestli se ubírám správným směrem - buď windows7 home nějak poznají, že je sdílení na win serveru s doménou, a protože doménové přihlášení nepodporují, tak odmítají s winserverem vůbec komunikovat a to i PŘESTO, že nejsou vřazeny do domény (vím, že to nejde a nechci nic crackovat a podobně) a upřímně ani o to nemám zájem. (tytéž win7 HP nemají problémy se sdíleními na linuxovém stroji se Sambou, ani se sdíleními na winXP) Nebo je potřeba v nich něco zapnout - dočetl jsem se cosi o nutnosti zapnutého admin sdílení - ale to bylo v souvislosti s tím, že práva win7 mají být samy poskytovatelem sdílení, ne klientem.

    Tak mám další záhadu, ten neposlušný notebook měl předinstalované w7home. nyní si organizace pořídila druhý, úplně stejný notes od stejného výrobce, se stejnými w7home a ty se ke sdílením na w2000serveru připojují bez mrknutí oka ! Zkontroloval jsem nastavení sítě a sdílení, v tom to není, na obou strojích to vypadá úplně stejně.

    Díky za každý nápad.

    23. června 2011 10:36

Odpovědi

  • Samba pouziva SMB jako Windows, ale verze se lisi. Vyssi verze Windows pouzivaji SMB verze 2 a 2.1, tedy Windows Vista a Windows 2008 pouzivaji verzi 2.0 a Windows 7 a Windows 2008 R2 pouzivaji verzi 2.1. U Samby to bude verze 1, a proto nizsi verze Windows jako je edice XP nemaji problem. Vyssi verze Windows samozrejme lze dat do kompatibilniho modu, aby pracovaly v rezimu SMB 1, a to nasledujicimi  prikazy. Prikazy provedte postupne na Windows 7 presne tak, jak jsou zde uvedene, vcetne vlozene mezery:

    sc config lanmanworkstation depend= bowser/mrxsmb10/nsi

    sc config mrxsmb20 start= disabled

    Namapovani adresare provedete z prikazoveho radku Windows 7 takto:

    net use t: \\server\sdileni heslo /user:domena\uzivatelske_jmeno

    Zruseni mapovani takto:

    net use t: /delete

    Alternativni cesta: Ke sdilenemu  adresari na serveru se muzete dostat primo take prikazem

    explorer \\server\sdileni 

    a se zadanim jmena a hesla. "Zruseni" pristupu je ekvivalentni uzavreni okna windows exploreru, ktery jste predeslym prikazem otevrel

    Nutnost zmeny SIDu je "mytus", ne vzdy je nutnosti. POdivejte se na clanek  http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

    23. června 2011 19:27
    Moderátor

Všechny reakce

  • Muzete vas dotaz nejak "ucesat"? Srovnavate nesrovnatelne a vkladate do textu podivne logicke skoky "odmítají s winserverem vůbec komunikovat a to i PŘESTO, že nejsou vřazeny do domény". Nevkladejte nepodstatne fakta do otazky: Jestlize se nejaky operacni system  pripoji k Sambe, jeste neznamena, ze se musi bez uprav pripojit k Windows Serveru.
    23. června 2011 12:50
    Moderátor
  • Samba a Windows používají stejný protokol SMB pro sdílení souborů, takže by měly být záměnné. Ale to jen tak na okraj.

    Podstata problému je v tom, že win7 HP se nepřipojí ke složce sdílené na win2000serveru, který je sice řadičem domény, ale win7 HP nejsou do ní vřazené. Tedy z pohledu win7HP by se měl chovat jakožto obyčejné sdílení. Když jsem si na pracovní stanici s winXPprof nasdílel disk D, tak se k němu win7hp bezchybně připojily.

    Na serveru i na stanici s xp je založen uživatel "roman" s heslem xxx.

    Když založím stejného uživatele na win7HP se stejným heslem xxx, tak se při pokusu o přístup ke sdíleným složkám serveru dostanu k hlášce win7, že mám zadat jméno a heslo. Zadám "roman" a heslo xxx  jako je na serveru i v ostatních pc a zase - jméno nebo heslo je špatné, zadej... Pokud k úplně stejné složce přistupuji z pc s winXPprof nebo win2000prof nebo win7prof, kde je také "roman" s identickým heslem xxx, tak se systém na nic neptá a složku zobrazí.

    Problém ve win7hp se sdílením jsem testoval tak, že jsem na nich nasdílel disk D a k němu se bez potíží připojím jak ze serveru, tak i okolních počítačů.

    Ping mezi win7hp a serverem funguje, firewally vypnuté, žádné routery mezi nimi...

    A aby nebylo málo záhad, tak máme nový notes asus (úplně stejný jako ten zlobivý - mimochodem je jich celkem pět, takže se nejedná o náhodnou chybu) s úplně stejnými předinstalovanými win7hp a ten se ve stejné síti bez problémů připojuje ke sdílení na win2000serveru. Jediný rozdíl je v tom, že tento se kupoval o dva týdny později.

     

    Doplnění: win7, které se nepřipojí ke sdílení, také nevidí server v okolních počítačích. na \\server reagují žádostí o jméno a heslo, stejně jako na \\server\install. stejně jako na \\192.168.1.250. Takže kromě pingu s ním opravdu nekomunikují. Tím, že nejsou vřazeny do domény chci říct, že jsem je nijak neupravoval, aby se z win7hp staly "prof". vím, že na netu jsou návody, jak to přes registry udělat - chtěl jsem zdůraznit, že jde o neupravované houmky, od nichž opravdu chci jen to, aby se připojily na sdílenou složku. A jak je vidět na posledně koupeném notasu, tak to určitě umí, jenom nevím, kde je v těch předchozích pěti zakopaný pes.


    23. června 2011 13:48
  • Pokud jsou opravdu stejne, udelejte obraz partition a obnovte ji na ty notebooky ktere nefunguji. Pak uz jen programem NewSID a je to.

     


    ing. Jan Chaloupek
    23. června 2011 16:36
  • Samba pouziva SMB jako Windows, ale verze se lisi. Vyssi verze Windows pouzivaji SMB verze 2 a 2.1, tedy Windows Vista a Windows 2008 pouzivaji verzi 2.0 a Windows 7 a Windows 2008 R2 pouzivaji verzi 2.1. U Samby to bude verze 1, a proto nizsi verze Windows jako je edice XP nemaji problem. Vyssi verze Windows samozrejme lze dat do kompatibilniho modu, aby pracovaly v rezimu SMB 1, a to nasledujicimi  prikazy. Prikazy provedte postupne na Windows 7 presne tak, jak jsou zde uvedene, vcetne vlozene mezery:

    sc config lanmanworkstation depend= bowser/mrxsmb10/nsi

    sc config mrxsmb20 start= disabled

    Namapovani adresare provedete z prikazoveho radku Windows 7 takto:

    net use t: \\server\sdileni heslo /user:domena\uzivatelske_jmeno

    Zruseni mapovani takto:

    net use t: /delete

    Alternativni cesta: Ke sdilenemu  adresari na serveru se muzete dostat primo take prikazem

    explorer \\server\sdileni 

    a se zadanim jmena a hesla. "Zruseni" pristupu je ekvivalentni uzavreni okna windows exploreru, ktery jste predeslym prikazem otevrel

    Nutnost zmeny SIDu je "mytus", ne vzdy je nutnosti. POdivejte se na clanek  http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

    23. června 2011 19:27
    Moderátor
  • Tak jsem zkusil uvedené příkazy a nejspíš se neprovedly. Posílám výpis příkazového řádku:

    C:\Users\roman>sc config lanmanworkstation depend=browser/mrxsmb10/nsi
    Popis:
            Změní položku služby v registru a v databázi služeb.
    Použití:
            sc <server> config [název služby] <možnost1> <možnost2>...

    Možnosti:
    Poznámka: Název možnosti obsahuje znak rovná se.
              Mezi znakem rovná se a hodnotou musí být mezera.
     type= <own|share|interact|kernel|filesys|rec|adapt>
     start= <boot|system|auto|demand|disabled|delayed-auto>
     error= <normal|severe|critical|ignore>
     binPath=  <Název_binární_cesty>
     group= <Pořadí_zavádění_skupin>
     tag= <yes|no>
     depend= <Závislosti (oddělené lomítkem (/))>
     obj= <Název_účtu|Název_objektu>
     DisplayName= <zobrazovaný název>
     password= <heslo>

    C:\Users\roman>sc config mrxsmb20 start=disabled
    Popis:
            Změní položku služby v registru a v databázi služeb.
    Použití:
            sc <server> config [název služby] <možnost1> <možnost2>...

    Možnosti:
    Poznámka: Název možnosti obsahuje znak rovná se.
              Mezi znakem rovná se a hodnotou musí být mezera.
     type= <own|share|interact|kernel|filesys|rec|adapt>
     start= <boot|system|auto|demand|disabled|delayed-auto>
     error= <normal|severe|critical|ignore>
     binPath=  <Název_binární_cesty>
     group= <Pořadí_zavádění_skupin>
     tag= <yes|no>
     depend= <Závislosti (oddělené lomítkem (/))>
     obj= <Název_účtu|Název_objektu>
     DisplayName= <zobrazovaný název>
     password= <heslo>

    Podíval jsem se regeditem na položku HKLM\system\CCS\services\lanmanworkstation\DependOnService a tam jsou hodnoty v tomto pořadí: browser MRxSmb10 MRxSmb20 NSI

    stejné je to i v HKLM\system\CS001\services\lanmanworkstation\DependOnService a v HKLM\system\CS002\services\lanmanworkstation\DependOnService

    Podle tohoto by se při prohlížení sítě vzít nejprve protokol smb1 a pak teprve smb2 ?

    Problém bohužel přetrvává, na sdílení ve win2000serveru se nepřipojím a nepřipojím...


    Doplnění: tak v příkazu je chyba v syntaxi, nevšiml jsem si mezery za rovnítkem. Moje chyba. Ale i když ji tam udělám, tak příkaz

    sc config lanmanworkstation depend= bowser/mrxsmb10/nsi

    mi hodí chybu 1059 - byla zadána cyklická závislost služeb. Takže tudy cesta asi nevede.

    29. června 2011 9:09
  • DD,

    neopsal jste prikaz spravne.

     

    Chybove hlaseni vam to rika presne: Mezi znakem rovná se a hodnotou musí být mezera.

    Pan Puchta vas na to dokonce upozornoval: > Prikazy provedte postupne na Windows 7 presne tak, jak jsou zde uvedene, vcetne vlozene mezery

     

    Zkuste to jeste jednou.

     


    ing. Jan Chaloupek
    29. června 2011 9:22
  • Už jsem na to taky přišel, a do dotazu dopsal, že jsem si té mezery nevšiml. Zlozvyk z linuxu, kde jsou mezery buď na obou stranách rovnítka nebo na obou stranách nejsou.


    Doplnění: mám takový pocit, že si win7hp nerozumí s win2000serverem při posílání jmén a hesel. Zkusil jsem nástroj Odstranit potíže z Centra síťových připojení a sdílení, a ten mi řekl, že účet nemá oprávnění k přístupu. Věřil bych tomu, kdyby úplně stejně pojmenovaný účet s úplně stejným heslem na winXP měl stejné potíže. Spíš mi to přijde jakoby win7 posílaly login a passwd v takové podobě, že jim win2000server nerozumí. Zkusil jsem v pokročilém nastavení sdílení na sedmách povolit sdílení souborů pro zařízení používající 40 nebo 56 bitů šifrování, restartoval a nepomohlo to.

    Někde je zakopaný pes, přeci není jen tak, aby si dva produkty od stejného výrobce takto nerozuměly.

    29. června 2011 9:25
  • No to je prave pravdepodobne. Windows7 pouzivaji implicitne smb verze 2. Win2K umi jen smb 1. Musite donutit W7 aby pouzivali smb 1.
    ing. Jan Chaloupek
    29. června 2011 13:44
  • Tak to napisi jeste jednou, protoze mam pocit, ze tento test nebyl udelany :-) Pro namapovani disku pouzijte prikaz:

    net use t: \\server\sdileni heslo /user:domena\uzivatelske_jmeno

    Jaka je odezva systemu a co je v protokolech udalosti?  Pro jistotu jeste disejblujte FW na W 7. Pokud W 7 nerozlisi jmeno serveru, muzete za \\ dat IP adresu serveru. Roli bude hrat pouzity spolecny autentikacni mechanismus

    Na W 7 si nainstalujte Network Monitor a odchytte komunikaci. Uvidite sam, co se na siti deje. Vysledek bud filtrujte, nebo vse co nebudete potrebovat vypnete nebo disejblujte. Zde je odkaz na network monitor http://www.microsoft.com/download/en/details.aspx?id=4865

    Kompatibilita:

    Mate dvoji cestu k nastaveni

    1.  HKLM\SYSTEM\CurrentControlSet\Control/Lsa   uprava hodnoty LMCompatibilityLevel (0 az 5 > nizsi uroven odpovida zpetne kompatibilite)

    2. secpol.msc  v LocalPolicies -> Security Options najdete polozku Network Security:LAN Manager level  Zde se rokliknutim dostanete k volbe urovne.



    29. června 2011 15:00
    Moderátor
  • Dobrý den,

    už je po problému. Příkaz net use jsem nezkoušel z toho důvodu, že notebooky mají být putovní, tedy má se o ně dělit více uživatelů s různými potřebami přístupu k serveru. Takže pokud bych nechtěl udělat sdílení celého serverového disku s tím, že by si pak lidé vybírali složky, tak je net use dost nepoužitelný. Pro jednoho by to třeba bylo net use \\server\install, pro jiného \\server\skoleni apod. A protože bych nikdy dopředu nevěděl, kdo bude ten stroj mít, tak by to bylo dost kostrbaté. Přeci jenom naučit je napsat \\server\složka do adresního řádku mi trvalo rok a půl :-)

    A jaké je řešení? Aktualisace. Problém s přístupem k win2000 serveru se mi objevoval na čistě instalovaných základních win7 home premium. Ty se po připojení k síti chtějí hned aktualisovat asi 70-ti položkami. No a protože tu nemám zrovna nejrychlejší linku a jen stažení mi trvá asi hodinu, rozhodl jsem se na aktualisace prozatím vybodnout s tím, že se automaticky provedou později za provozu, až budou notebooky rozdané mezi lid.

    Nevím, která z balíku aktualisací tuto chybu opravuje. Myslím, že by bylo zajímavé, kdyby to někdo od MS dokázal zjistit - pak by stačilo použít jen jednu místo sedmi desítek, což by mi docela urychlilo práci - těch notesů už je celkem sedm, přikoupili další dva :-(

    Díky všem za cenné tipy a rady, dost věcí jsem se přiučil.


    Doplnění: tak jsem byl moc velký optimista, aktualisace odstranily problém pouze na třech strojích. Další tři jsem aktualisoval úplně všemi dostupnými soubory (včetně volitelných) a ke sdílení na win2000serveru se prostě nepřipojí - pořád se dožadují jména a hesla - myslím, že neselhává samotné sdílení, ale proces autentisace. I tak jsem zkusil ty příkazy pro verzi samby, ani tak jsem neuspěl.

    Zkusím ještě na jednom funkčním stroji vyrobit bitovou kopii a tu pak dát do nefunkčního a uvidím. Ale i tady jsem se již setkal s tím, že se bitové kopie win7prof na hw identických strojích chovají vůči síti a sdílením rozdílně - že by to byla kopie jen podle názvu? (ve stručnosti: pc1, instalované aktualisované -> kopie -> pc2 -> přejmenovat pc. pak oba kabelem napojeni na síť, vloženi do domény "xxx" řízené linuxem + samba. poté ovl. panely -> uživatelé -> vytvořit nového -> jméno "admin" doména "xxx" -> další -> role administrator -> OK. A nyní jeden počítač uživatele vytvoří a druhý hodí hlášku, že selhal vztah důvěryhodnosti mezi pc a řadičem domény - JAK TO????, když jsou oba hw úplně stejní a díky bitové kopii jsou i sw stejní!)

    No taky mě napadá cesta upgr. win7hp na prof (ale proč platit navíc za funkce, co nepotřebuji) nebo upgradovat win2000srv na 2008srv (ale k čemu, když na sdílení souborů, dhcp a doménu pro 60 pc bez cest. profilů bohatě stačí) nebo server předělat na linux + samba. Možná třeba do konce prázdnin vyjde od MS nějaké aktualisace, jejíž použití tento problém vyřeší.

    Má někdo nějaký nápad, co bych mohl vyzkoušet?

    11. července 2011 12:53
  • DD,

    a to se divite? Zaplatovani je opravdu to prvni co je potrebne udelat. Pokud to delate opakovane, stahnete si zaplaty a nainstalujte je hromadne davkou (nebudete je muset porad tahat z internetu).

    Na takoveto problemy slouzi WSUS ale ten asi nemate.

     


    ing. Jan Chaloupek
    11. července 2011 15:08
  • DD,

    WSUS opravdu nemám, ale přišel jsem na to, že to je buď KB2492386 nebo KB2533623. Dvě jsou ve srovnání s téměř osmdesáti pořád dobrý výsledek.

    Mimochodem, dávková instalace záplat mě omrzela již před lety ve chvíli, kdy se snad každá druhá ptala na souhlas s licencí nebo čímsi podobným a zasekla instalaci dalších záplat, dokud jsem nepřišel a neklikl. Měl jsem jich takto narafičených asi devadesát na dvaceti počítačích a dávku rozbíhal prakticky současně logon skript - asi si umíte představit jak se prvotní optimismus z ušetřené práce postupně měnil v zuřivost a posléze hlubokou depresi. Od té doby jsem to takto hromadně již nikdy nezkoušel. Dnes si na síťově sdílený disk stahuji jen vetší balíky, třeba MSIE9, SPx, WMP, které mají desítky až stovky MB a skutečně je není nutné nechat pokaždé znovu a znovu stahovat.

    14. července 2011 10:54
  • DD,

    je tam vzdycky parametr na tichou instalaci, prave pro takoveto pripady.

     


    ing. Jan Chaloupek
    14. července 2011 11:56
  • Doplnění: tak jsem byl moc velký optimista, aktualisace odstranily problém pouze na třech strojích. Další tři jsem aktualisoval úplně všemi dostupnými soubory (včetně volitelných) a ke sdílení na win2000serveru se prostě nepřipojí - pořád se dožadují jména a hesla - myslím, že neselhává samotné sdílení, ale proces autentisace. I tak jsem zkusil ty příkazy pro verzi samby, ani tak jsem neuspěl.

    Zkusím ještě na jednom funkčním stroji vyrobit bitovou kopii a tu pak dát do nefunkčního a uvidím. Ale i tady jsem se již setkal s tím, že se bitové kopie win7prof na hw identických strojích chovají vůči síti a sdílením rozdílně - že by to byla kopie jen podle názvu? (ve stručnosti: pc1, instalované aktualisované -> kopie -> pc2 -> přejmenovat pc. pak oba kabelem napojeni na síť, vloženi do domény "xxx" řízené linuxem + samba. poté ovl. panely -> uživatelé -> vytvořit nového -> jméno "admin" doména "xxx" -> další -> role administrator -> OK. A nyní jeden počítač uživatele vytvoří a druhý hodí hlášku, že selhal vztah důvěryhodnosti mezi pc a řadičem domény - JAK TO????, když jsou oba hw úplně stejní a díky bitové kopii jsou i sw stejní!)

    No taky mě napadá cesta upgr. win7hp na prof (ale proč platit ještě jednou za licenci?) nebo upgradovat win2000srv na 2008srv (ale k čemu, když na sdílení souborů, dhcp a doménu pro 60 pc bez cest. profilů bohatě stačí) nebo server předělat na linux + samba (ale proč, když klient již má zakoupenou licenci na server + CALy?). Možná třeba do konce prázdnin vyjde od MS nějaké aktualisace, jejíž použití tento problém vyřeší.

    Má někdo nějaký nápad, co bych mohl vyzkoušet?

    A jedna drobnost, která s tímto nesouvisí - jsem zvyklý, že po spuštění windows mám numerickou klávesnici aktivní. Jde to zařídit nastavením HKU/.DEFAULT/Control Panel/Keyboard/InitialKeyboardIndicators na 2. Zajímavé je, že zatímco "čerstvá" 2000/XP mají tuto hodnotu po instalaci nastavenu na 0 (chápu, nic nezapínat), win7 tam mají "214748348" - není to náhodou telefonní číslo na českou pobočku MS? :-) Nebo má těch devět číslic nějaký význam? Pokud se ručně přepíší na dvojku, numerika se zapne se startem windows...

    27. července 2011 9:35
  • Chtěl bych se jenom autora dotazu zeptat, jak to nakonec s tím sdílením na W2000 dopadlo. Dík.
    3. září 2011 19:24