none
Как дать службе доступ к сетевым ресурсам RRS feed

  • Вопрос

  • На Win2008R2 работает FTP-сервер Serv-U 10. Появилась необходимость дать пользователю качестве домашней директории ресурс из сети.

    Serv-U запускается как служба.

    На сервере подключен сетевой ресурс \\pc12\share\ в качесестве диска S:\. Если запускать Serv-U как службу, то при выборе расположения домашней папки встроенный обозреватель Serv-U  не видит этого диска S:\. А если запустить Serv-U как процесс из под текущего пользователя, то диск S:\ виден и доступ к нему через FTP есть, и даже если прописать в качестве домашнего каталого \\pc12\share\,  то и так тоже работает. Но когда Serv-U запущен как служба то доступа к сети для неё нет, я пробовал прописывать вручную пути, в этом случае клиенту при подключении сообщатся что не найден домашний каталог.

    Я пробовал в настройках службы Serv-U указывать текущую учетную запись, под которой доступен сетевой ресурс и подключена буква. Но разницы никакой нет, все также как и под системной учеткой.

    7 февраля 2011 г. 9:47

Ответы

  • Продолжаем. local администратор доступа к сетевым ресурсам иметь не должен, или же у Вас доступ на ресурс предоставлен учётке Все?

    администратор домена для этих целей вовсе не нужен. нужна обычная запись доменного пользователя, не более. И, естественно, путь в самом serv-u должен быть указан UNC, то есть в виде \\fqdn-сервера\шара$(если скрытая)\.... Естественно, можно и DFS использовать, в том числе и доменный, но через UNC пути.

    Таким образом Вы предоставите доступ самой службе. Второй вопрос - от чьего имени запрос к ресурсу будет выполнять Serv-U? Он, случаем, имперсонализацию не выполняет, как любой нормальный IIS? То есть, если к сервису, поддерживаемому Serv-U, обращается некий юзер, под какой учёткой serv-u пойдёт в этом случае на ресурс? нет ли там возможности задать что-то типа anonymous account, как это делается в iis? Если есть, необходимо задать учётку доменную с правама только на этот ресурс (на чтение достаточно должно быть).

    Масса служб запущена таким образом (с ресурсами в сети), начиная с ftp на iis7 (ресурсы вообще в dfs), кончая всякими продуктами TopSystems. И всё нормально работает.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    9 февраля 2011 г. 7:23

Все ответы

  • Что еще подключается к файловым ресурсам PC12 с вашего сервера, другие службы подключаются?

    Также поищите, нет ли описания вашей проблемы в базе знаний по Serv-U

    http://rhinosoft.com/KnowledgeBase/kbarticle.asp?RefNo=1048&prod=rs

    или задайте вопрос на специализированном форуме по Serv-U

    http://groups.google.com/group/rhinosoft-user-group

     

    8 февраля 2011 г. 7:12
    Модератор
  • Всё банально. допустим, ваш хост - host. тогда Вам следует дать доступ к файловому ресурсу учётной записи host$ (учётной записи хоста, на которой запускаете службу). Но это верно при условии, что Вы запускаете службу от local system.

    Либо же (что более правильно, как мне кажется) создайте отдельную учётную запись, запускайте службу от имени этой учётной записи. И этой учётной записи дайте доступ к файловым ресурсам. и всё.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    8 февраля 2011 г. 20:26
  • Сетевой ресурс на удаеленной машине доступен всем прользователями,

    да и к тому же, если я запускаю сервер как процесс от учетной записью "local_machine\Админиcтратор" то доступ к ресурсам есть, а если же я запускаю сервер как службу и под тойже учетной записью "local_machine\Админиcтратор" то сеть не доступна.

    Получается в Windows есть какие-то ограничения конкретно для служб?

    PS: также пробовалась учетная запись "Domain\Администратор"

    9 февраля 2011 г. 7:15
  • Продолжаем. local администратор доступа к сетевым ресурсам иметь не должен, или же у Вас доступ на ресурс предоставлен учётке Все?

    администратор домена для этих целей вовсе не нужен. нужна обычная запись доменного пользователя, не более. И, естественно, путь в самом serv-u должен быть указан UNC, то есть в виде \\fqdn-сервера\шара$(если скрытая)\.... Естественно, можно и DFS использовать, в том числе и доменный, но через UNC пути.

    Таким образом Вы предоставите доступ самой службе. Второй вопрос - от чьего имени запрос к ресурсу будет выполнять Serv-U? Он, случаем, имперсонализацию не выполняет, как любой нормальный IIS? То есть, если к сервису, поддерживаемому Serv-U, обращается некий юзер, под какой учёткой serv-u пойдёт в этом случае на ресурс? нет ли там возможности задать что-то типа anonymous account, как это делается в iis? Если есть, необходимо задать учётку доменную с правама только на этот ресурс (на чтение достаточно должно быть).

    Масса служб запущена таким образом (с ресурсами в сети), начиная с ftp на iis7 (ресурсы вообще в dfs), кончая всякими продуктами TopSystems. И всё нормально работает.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    9 февраля 2011 г. 7:23
  • Да доступ стоит для "Все".

    Я пробовал указывать и UNC путь в качетве домашнего каталога - Serv-U при этом сразу пердупреждает о том, что не доступен путь. DFS в этом случае нет необходимости использовать.

    Насколько я понимаю алгоритм работы служб Windows, запрос к ресурсам от Serv-U будет осуществляться от учетной записи для входа в систему указанной в свойствах службы?

    А права на доступ для внутренних учеток настраиваются непосредственно в Serv-U, и при обращении FTP-клинта, доступ к ресурсам Windows осуществляется на правах самого Serv-U, при этом он управляет  доступом для каждой своей учетки, и эти учетки никак не зависят от Windows.

    9 февраля 2011 г. 7:47
  • Насколько я понимаю алгоритм работы служб Windows, запрос к ресурсам от Serv-U будет осуществляться от учетной записи для входа в систему указанной в свойствах службы?
    Это еще зависит от того, как написана служба, вам правильно заметил Бетке Сергей Сергеевич, что служба может выполнять имперсонализацию. Все же рекомендую задать вопрос на специализированных форумах по этому продукту - больше вероятность получить ответ.
    9 февраля 2011 г. 8:31
    Модератор
  • с имперсонализацией (точнее - с её отсутствием) в Serv-U всё ясно.

    Не очень понял проблему с unc путём. То есть serv-u в принципе не понимает unc пути? А как же информацию в первом посте о том, что всё работает с unc путями?

    Итого, из под какой учётной записи сейчас у Вас запущен Serv-U как служба, каков путь к ресурсу (который Вы ему указали)?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    9 февраля 2011 г. 8:32
  • Вообщем все работает, не знаю что я раньше делал не так. Сделал отдельную учетку для FTP, дал ей доступ к нужной шаре, и поставил чтоб от её имени запускалась служба на FTP-сервере, и все. Доступ к шаре осущствляется от имени этой учетки. Хотя раньше делал те же самые манипуляции от имени админстратора и не получалось. С UNC-путями у Serv-U все в порядке. Единственный недостаток - служба не стартует пока не будет запущен контроллер домена.

    Спасибо вам большое. Помогли разобраться что к чему.

    10 февраля 2011 г. 12:57