Remove From My Forums

SMB в разных сборках Windows 10

Вопрос
0

Нужно войти
Всем привет!

Имеем:
Рабочие станции в организации, преимущественно на Windows 10 2016 LTSB, т.е. сборка 1607.
МФУ SHARP MX-2301N, который помимо всего сканирует в сетевые папки на рабочие станции.

Проблема:
Среди рабочих станций появилось несколько на Windows 10 Ent сборка 1803. При идентичных настройках при сканировании в сетевую папку на Win 10 1803 получаем ошибку.

На LTSB проблем никаких нет. Все идентично вплоть до названия шары. Доменный пользователь, который указан в настройках сканирования на МФУ один и тот же, файрвол отключен групповыми политиками, антивирус одинаков вплоть до сборки. На LTSB сканы приходят, на 1803 - нет.

Сравнил конфигурации SMB на разных рабочих станциях. Оказалось, что на 1803 был отключен SMBv1. Включил. Ситуация не поменялась. Все так же МФУ SHARP MX-2301N при сканировании в сетевую папку на Win 10 1803 выдает ошибку.

Конфигурация SMB на 1803:

AnnounceComment : AnnounceServer : False AsynchronousCredits : 64 AuditSmb1Access : False AutoDisconnectTimeout : 15 AutoShareServer : True AutoShareWorkstation : True CachedOpenLimit : 10 DurableHandleV2TimeoutInSeconds : 180 EnableAuthenticateUserSharing : False EnableDownlevelTimewarp : False EnableForcedLogoff : True EnableLeasing : True EnableMultiChannel : True EnableOplocks : True EnableSecuritySignature : False EnableSMB1Protocol : True EnableSMB2Protocol : True EnableStrictNameChecking : True EncryptData : False IrpStackSize : 15 KeepAliveTime : 2 MaxChannelPerSession : 32 MaxMpxCount : 50 MaxSessionPerConnection : 16384 MaxThreadsPerQueue : 20 MaxWorkItems : 1 NullSessionPipes : NullSessionShares : OplockBreakWait : 35 PendingClientTimeoutInSeconds : 120 RejectUnencryptedAccess : True RequireSecuritySignature : False ServerHidden : True Smb2CreditsMax : 2048 Smb2CreditsMin : 128 SmbServerNameHardeningLevel : 0 TreatHostAsStableStorage : False ValidateAliasNotCircular : True ValidateShareScope : True ValidateShareScopeNotAliased : True ValidateTargetName : True

Господа! Был бы очень благодарен, если б направили в нужную сторону для поиска проблемы. Возможно, у SMB есть еще какие-то замуты. Почему в разных сборках 10-ки работа SMB отличается?
- Изменено centneroff 1 июля 2019 г. 10:38
1 июля 2019 г. 10:25

Ответить

|

Цитировать

Все ответы

Нужно войти

у меня было такое из-за обновления, сканировал, а после обновления перестал, но на 2012...

может быть вообще отключить 2 и 3 и проверить только с 1?:

https://support.microsoft.com/ru-ru/help/4034314/smbv1-is-not-installed-by-default-in-windows

https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server

https://infusionsoftware.zendesk.com/hc/en-us/articles/360000487035-How-to-Check-the-SMB-Version-in-Use

Как определить состояние, включить и отключить протоколы SMB на SMB-сервере

Для Windows 8 и Windows Server 2012

В Windows 8 и Windows Server 2012 представлен новый командлет Windows PowerShell Set-SMBServerConfiguration. Он позволяет включать или отключать протоколы SMB версии 1, 2 и 3 на сервере.

Примечание.

При включении или отключении протокола SMB версии 2 в Windows 8 или Windows Server 2012 также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.

SMB версии 1 на SMB-сервере

Обнаружение:	Get-SmbServerConfiguration \| Select EnableSMB1Protocol
Отключение:	Set-SmbServerConfiguration -EnableSMB1Protocol $false
Включение:	Set-SmbServerConfiguration -EnableSMB1Protocol $true

Дополнительные сведения см. в статье блога Серверное хранилище Майкрософт.

SMB версий 2 и 3 на SMB-сервере

Обнаружение:	Get-SmbServerConfiguration \| Select EnableSMB2Protocol
Отключение:	Set-SmbServerConfiguration -EnableSMB2Protocol $false
Включение:	Set-SmbServerConfiguration -EnableSMB2Protocol $true

Изменено Sergey2005 1 июля 2019 г. 20:06

1 июля 2019 г. 19:51

0

Нужно войти

Спасибо за ответ!

Не, отключение SMB v2 и v3 результатов не дало...

2 июля 2019 г. 7:35

Ответить

|

Цитировать
1

Нужно войти
мы кстати используем файловый сервер для сканирования, под каждую МФУ просто своя папка, к примеру целый отдел сканирует в одну сетевую папку, что на сервере... зачем ее привязывать к ПК пользователя, а если он выключен... папка на сервере чистится каждую неделю по шедалеру+ опция сканирования в почту настроена... ну это так..

а с какой ошибкой отлетает?
- Изменено Sergey2005 2 июля 2019 г. 8:09
2 июля 2019 г. 8:06

Ответить

|

Цитировать
0

Нужно войти

Вот как раз дело в том, что мы не хотим засорять сканами файловые серверы.

Сканы на комп пользователя устраивает и нас, и пользователей.

Ошибка на МФУ - CE-00

2 июля 2019 г. 9:05

Ответить

|

Цитировать
0

Нужно войти

абстрактная ошибка... а если логи посмотреть на компе, например лог безопасности, никакого следа не остается в это время?

п.с. мы что бы сканами не засорять файловый сервер чистим папку по шедалеру раз в неделю... зато папка всегда доступна, не зависит от включенного пк пользователя, управлять всем этим хозяйством проще, все папки в одном месте по сути... права там выдавать и пр...

2 июля 2019 г. 9:42

Ответить

|

Цитировать
0

Нужно войти

если залогиниться под этой УЗ(мфу) на другой пк, можно на открытой шаре создавать файлы?

2 июля 2019 г. 10:18

Ответить

|

Цитировать
0

Нужно войти

Да, можно. Пробовал даже на виртуалке с XP это проделывать, там SMB v1 используется. Тоже без проблем записываются файлы. Да и на LTSB с этой же учеткой с этого же сканера все без проблем.

2 июля 2019 г. 10:21

Ответить

|

Цитировать
0

Нужно войти

как вариант в виртуалку чистую ОС без обнов поставить и проверить.

Точно такое же было, но на 2012 после установки обновы... как я рассказывал у нас на такой системе все мфу сидят и у всех разом сканирование в папку прекратилось, было весело.

2 июля 2019 г. 11:23

Ответить

|

Цитировать
0

Нужно войти

На восьмёрке нужно было выполнить 2 команды, разрешить SMBv1 и понизить уровень проверки подлинности (LanMan). NTLM отрублена по умолчанию. Копните в том направлении (Administrative Tools → Local Security Policy → Local Policies → Security Options)

И ещё пишут, что в десятке нет драйвера v1 ( Lanman Server -- свойства -- зависимости)

2 июля 2019 г. 12:31

Ответить

|

Цитировать
0

Нужно войти

smbv1 установить(а не включить). включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение

2 июля 2019 г. 12:42

Ответить

|

Цитировать
0

Нужно войти

включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение
было отключено в одном из обновлений, кажется, ещё до Пети.

2 июля 2019 г. 12:57

Ответить

|

Цитировать
0

Нужно войти

это не суть важно, он мог и сам отключить. я за то, что не улавливаю связь между smb и upnp

2 июля 2019 г. 13:24

Ответить

|

Цитировать
0

Нужно войти

smbv1 установить(а не включить). включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение
Сделал. Нет результатов...

2 июля 2019 г. 15:14

Ответить

|

Цитировать
0

Нужно войти

И ещё пишут, что в десятке нет драйвера v1 ( Lanman Server -- свойства -- зависимости)

В LTSB видимо есть...

2 июля 2019 г. 15:15

Ответить

|

Цитировать
0

Нужно войти

тодыть не знаю. после того, как вынесли smbv1, и всякие роутеры, принтеры и прочие поделки с самбой показали фиг, именно эти действия вернули всё взад. я всё это проделывал не единожды, как на рабочей системе, так и на новой. может ты уже накуролесил там лишнего чего? попробуй на машине, которая ещё не подвергалась издевательствам

2 июля 2019 г. 16:58

Ответить

|

Цитировать
0

Нужно войти

возможно зависит от того, как далеко она проапгрейдилась. то нововведение, если не склероз, и на ltsb прилетало

2 июля 2019 г. 17:01

Ответить

|

Цитировать
0

Нужно войти

и ещё там, если не склероз, было забавное поведение со встроенным гостем- если он активирован, то переставало заходить на шары по аккаунту. но это было уже так давно, что возможно всё смешалось в доме обломовых

2 июля 2019 г. 17:09

Ответить

|

Цитировать
0

Нужно войти

Скажите, вы пробовали в адресной книге мфу пересоздать целевую папку назначения?

Попробуйте создать новую учётную запись и в адресной книге от нее создать адрес назначения (сетевую папку) и проверить.

2 июля 2019 г. 17:22

Ответить

|

Цитировать
0

Нужно войти

и ещё там, если не склероз, было забавное поведение со встроенным гостем- если он активирован, то переставало заходить на шары по аккаунту. но это было уже так давно, что возможно всё смешалось в доме обломовых

Тут про 2008 сервер. Не знаю, подходит ли статья к описываемой ситуации, но указаны разделы реестра, в которых можно поковыряться в качестве workaround. Страница на англ более читабельна, чем на русском. https://support.microsoft.com/en-us/help/950876/group-policy-settings-are-not-applied-on-member-computers-that-are-run

3 июля 2019 г. 0:11

Ответить

|

Цитировать
0

Нужно войти

И ещё пишут, что в десятке нет драйвера v1 ( Lanman Server -- свойства -- зависимости)

В LTSB видимо есть...

Проверить не долго. Это где нету

3 июля 2019 г. 0:31

Ответить

|

Цитировать
0

Нужно войти

Пробовал чистую виртуалку. Даже несоклько.

Сборки 1803,1809,1903 - ставил с нуля, не вводил в домен дабы исключить влияние групповых политик.

Такая же хрень...

3 июля 2019 г. 6:20

Ответить

|

Цитировать
0

Нужно войти

тодыть не знаю. после того, как вынесли smbv1, и всякие роутеры, принтеры и прочие поделки с самбой показали фиг, именно эти действия вернули всё взад. я всё это проделывал не единожды, как на рабочей системе, так и на новой. может ты уже накуролесил там лишнего чего? попробуй на машине, которая ещё не подвергалась издевательствам
Пробовал с нуля ставить и не вводить в домен - такая же хрень.

3 июля 2019 г. 6:23

Ответить

|

Цитировать
0

Нужно войти
Скажите, вы пробовали в адресной книге мфу пересоздать целевую папку назначения?

Попробуйте создать новую учётную запись и в адресной книге от нее создать адрес назначения (сетевую папку) и проверить.

Пробовал с нуля ставить Windows на виртуалку. На МФУ новую запись в адресную книгу добавлял. Без результатов...
- Изменено centneroff 3 июля 2019 г. 6:29
3 июля 2019 г. 6:24

Ответить

|

Цитировать
0

Нужно войти

И ещё пишут, что в десятке нет драйвера v1 ( Lanman Server -- свойства -- зависимости)

В LTSB видимо есть...

Проверить не долго. Это где нету

SMV v2.XXX - и на LTSB, и на 1803

3 июля 2019 г. 6:25

Ответить

|

Цитировать
0

Нужно войти
Скачал журнал задания с МФУ.

Там код ошибки:

Результат Причина Ошибки Ош. Передачи 80-0000
3 июля 2019 г. 7:28

Ответить

|

Цитировать
0

Нужно войти

не показатель. у меня та же картина, однако smbv1 есть, поскольку работает. смотреть надо через это- Get-SmbServerConfiguration

3 июля 2019 г. 8:06

Ответить

|

Цитировать
0

Нужно войти

не показатель. у меня та же картина, однако smbv1 есть, поскольку работает. смотреть надо через это- Get-SmbServerConfiguration
Get-SmbServerConfiguration приводил в первом сообщении

3 июля 2019 г. 8:10

Ответить

|

Цитировать
0

Нужно войти

а юзера такого создал? ты же под доменной учёткой на шару лезешь. ещё раз проверь каждый этап, даже те, что не вызывают подозрений. я, вот, пару дней назад наступил на грабли, когда проблема была в том, на что никак не подумал бы, и только проверка отдельно каждого звена выявила. если у тебя обращение к шаре по имени, то замени для теста на ip- так надёжнее. снаружи вручную стукнись на порты smb(хотя бы на 445). ну тут уже негде прятаться чудесам, осталась только сеть между ними

3 июля 2019 г. 8:20

Ответить

|

Цитировать
0

Нужно войти

да я ж не тебе написал, а другому оратору

3 июля 2019 г. 8:22

Ответить

|

Цитировать
0

Нужно войти

а юзера такого создал? ты же под доменной учёткой на шару лезешь. ещё раз проверь каждый этап, даже те, что не вызывают подозрений. я, вот, пару дней назад наступил на грабли, когда проблема была в том, на что никак не подумал бы, и только проверка отдельно каждого звена выявила. если у тебя обращение к шаре по имени, то замени для теста на ip- так надёжнее. снаружи вручную стукнись на порты smb(хотя бы на 445). ну тут уже негде прятаться чудесам, осталась только сеть между ними

Юзер да, доменный.

По IP пробовал - без результатов.

Порты доступны.

Где-то все же чудеса...

3 июля 2019 г. 10:38

Ответить

|

Цитировать
0

Нужно войти

я к тому, что на тестовую машину с шарой, которая не в домене, ты лезешь с доменной учёткой. надоть на машине с шарой создать такую же учётку, и чтобы она имела доступ к шаре. на домен, насколько помню, в этом случае ей будет насрать.. но могу ошибаться(для теста можно и отключить).

ну вот сам посуди. smbv1 для самбы сканера поднят. окружение, в виде upnp и сетевого обнаружения(для всех сетей(для теста), с доступом по паролю- этот момент проверяй, так как без работающего upnp опции применяются, но не работают(сбрасываются обратно)) поднято. лезет именно на эту машину, и порты у неё доступны. учётка существует и имеет разрешение на доступ к шаре. что ещё? там нет ничего больше

3 июля 2019 г. 11:20

Ответить

|

Цитировать
0

Нужно войти
я к тому, что на тестовую машину с шарой, которая не в домене, ты лезешь с доменной учёткой. надоть на машине с шарой создать такую же учётку, и чтобы она имела доступ к шаре. на домен, насколько помню, в этом случае ей будет насрать.. но могу ошибаться(для теста можно и отключить).

ну вот сам посуди. smbv1 для самбы сканера поднят. окружение, в виде upnp и сетевого обнаружения(для всех сетей(для теста), с доступом по паролю- этот момент проверяй, так как без работающего upnp опции применяются, но не работают(сбрасываются обратно)) поднято. лезет именно на эту машину, и порты у неё доступны. учётка существует и имеет разрешение на доступ к шаре. что ещё? там нет ничего больше

Это в теории...

А на практике видим загаду.

Вот здесь описан процесс сеанcа SMB: https://richardkok.wordpress.com/2011/02/03/wireshark-determining-a-smb-and-ntlm-version-in-a-windows-environment/

Так вот, у нас на 1803 пакеты только 1 и 2 шагов. Т.е. Negotiate Request от принтера и Negotiate Response от рабочей станции. Дальше все.

Я сравнивал negotiate response'ы от LTSB(где все хорошо) и от 1803(где плохо). Отличия минимальны.

Вот это в респонсе от LTSB:

Security Blob: 607606062b0601050502a06c306aa03c303a060a2b060104… GSS-API Generic Security Service Application Program Interface OID: 1.3.6.1.5.5.2 (SPNEGO - Simple Protected Negotiation) Simple Protected Negotiation negTokenInit mechTypes: 5 items MechType: 1.3.6.1.4.1.311.2.2.30 (NEGOEX - SPNEGO Extended Negotiation Security Mechanism) MechType: 1.2.840.48018.1.2.2 (MS KRB5 - Microsoft Kerberos 5) MechType: 1.2.840.113554.1.2.2 (KRB5 - Kerberos 5) MechType: 1.2.840.113554.1.2.2.3 (KRB5 - Kerberos 5 - User to User) MechType: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support Provider) negHints hintName: not_defined_in_RFC4178@please_ignore

Вот это в респонсе от 1803:

Security Blob: 6082013c06062b0601050502a08201303082012ca01a3018… GSS-API Generic Security Service Application Program Interface OID: 1.3.6.1.5.5.2 (SPNEGO - Simple Protected Negotiation) Simple Protected Negotiation negTokenInit mechTypes: 2 items MechType: 1.3.6.1.4.1.311.2.2.30 (NEGOEX - SPNEGO Extended Negotiation Security Mechanism) MechType: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support Provider) mechToken: 4e45474f4558545301000000000000006000000070000000…

Т.е. в случае LTSB на пример приходит еще инфа, что авторизоваться можно и по Kerberos.

Но далее по пакетам сессии SMB видно, что используется именно NTLMSSP, который в респонсе от 1803 присутствует. Вопщем, загадка.

Но разница в SMB Negotiate Responce от разных сборок Windows 10 все же есть...
3 июля 2019 г. 11:46

Ответить

|

Цитировать
0

Нужно войти

так понимаю, что в тот момент ltsb была в домене, а 1803 нет? если да, то пробовал ли обращаться сканером к 1803 с учёткой без указания домена(но которая локально существует на 1803)? если да, то успешно ли?

3 июля 2019 г. 12:15

Ответить

|

Цитировать
0

Нужно войти

Не, с локальной учеткой тоже не прокатывает...

4 июля 2019 г. 6:12

Ответить

|

Цитировать
0

Нужно войти

В компонентах проверь smb1 что включено, согласно конфигу сервер smb на кленте отключен.

4 июля 2019 г. 14:25

Ответить

|

Цитировать

Нужно войти

smb1 точно включен:

SMB1Protocol                                          | Включен
SMB1Protocol-Client                                   | Включен
SMB1Protocol-Server                                   | Включен

4 июля 2019 г. 15:29

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Спрашивающий