none
SMB в разных сборках Windows 10 RRS feed

  • Вопрос

  • Всем привет! 

    Имеем: 
    Рабочие станции в организации, преимущественно на Windows 10 2016 LTSB, т.е. сборка 1607. 
    МФУ SHARP MX-2301N, который помимо всего сканирует в сетевые папки на рабочие станции. 

    Проблема: 
    Среди рабочих станций появилось несколько на Windows 10 Ent сборка 1803. При идентичных настройках при сканировании в сетевую папку на Win 10 1803 получаем ошибку. 

    На LTSB проблем никаких нет. Все идентично вплоть до названия шары. Доменный пользователь, который указан в настройках сканирования на МФУ один и тот же, файрвол отключен групповыми политиками, антивирус одинаков вплоть до сборки. На LTSB сканы приходят, на 1803 - нет. 

    Сравнил конфигурации SMB на разных рабочих станциях. Оказалось, что на 1803 был отключен SMBv1. Включил. Ситуация не поменялась. Все так же МФУ SHARP MX-2301N при сканировании в сетевую папку на Win 10 1803 выдает ошибку. 

    Конфигурация SMB на 1803: 

    AnnounceComment                 : 
    AnnounceServer                  : False 
    AsynchronousCredits             : 64 
    AuditSmb1Access                 : False 
    AutoDisconnectTimeout           : 15 
    AutoShareServer                 : True 
    AutoShareWorkstation            : True 
    CachedOpenLimit                 : 10 
    DurableHandleV2TimeoutInSeconds : 180 
    EnableAuthenticateUserSharing   : False 
    EnableDownlevelTimewarp         : False 
    EnableForcedLogoff              : True 
    EnableLeasing                   : True 
    EnableMultiChannel              : True 
    EnableOplocks                   : True 
    EnableSecuritySignature         : False 
    EnableSMB1Protocol              : True 
    EnableSMB2Protocol              : True 
    EnableStrictNameChecking        : True 
    EncryptData                     : False 
    IrpStackSize                    : 15 
    KeepAliveTime                   : 2 
    MaxChannelPerSession            : 32 
    MaxMpxCount                     : 50 
    MaxSessionPerConnection         : 16384 
    MaxThreadsPerQueue              : 20 
    MaxWorkItems                    : 1 
    NullSessionPipes                : 
    NullSessionShares               : 
    OplockBreakWait                 : 35 
    PendingClientTimeoutInSeconds   : 120 
    RejectUnencryptedAccess         : True 
    RequireSecuritySignature        : False 
    ServerHidden                    : True 
    Smb2CreditsMax                  : 2048 
    Smb2CreditsMin                  : 128 
    SmbServerNameHardeningLevel     : 0 
    TreatHostAsStableStorage        : False 
    ValidateAliasNotCircular        : True 
    ValidateShareScope              : True 
    ValidateShareScopeNotAliased    : True 
    ValidateTargetName              : True


     Господа! Был бы очень благодарен, если б направили в нужную сторону для поиска проблемы. Возможно, у SMB есть еще какие-то замуты. Почему в разных сборках 10-ки работа SMB отличается?

    • Изменено centneroff 1 июля 2019 г. 10:38
    1 июля 2019 г. 10:25

Все ответы

  • у меня было такое из-за обновления, сканировал, а после обновления перестал, но на 2012... 

    может быть вообще отключить 2 и 3 и проверить только с 1?:

    https://support.microsoft.com/ru-ru/help/4034314/smbv1-is-not-installed-by-default-in-windows

    https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server


    https://infusionsoftware.zendesk.com/hc/en-us/articles/360000487035-How-to-Check-the-SMB-Version-in-Use

    Как определить состояние, включить и отключить протоколы SMB на SMB-сервере


    Для Windows 8 и Windows Server 2012

    В Windows 8 и Windows Server 2012 представлен новый командлет Windows PowerShell Set-SMBServerConfiguration. Он позволяет включать или отключать протоколы SMB версии 1, 2 и 3 на сервере. 

    Примечание.

    При включении или отключении протокола SMB версии 2 в Windows 8 или Windows Server 2012 также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.


    После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.

    SMB версии 1 на SMB-сервере
    Обнаружение: Get-SmbServerConfiguration | Select EnableSMB1Protocol
    Отключение: Set-SmbServerConfiguration -EnableSMB1Protocol $false
    Включение: Set-SmbServerConfiguration -EnableSMB1Protocol $true

    Дополнительные сведения см. в статье блога Серверное хранилище Майкрософт.

    SMB версий 2 и 3 на SMB-сервере
    Обнаружение: Get-SmbServerConfiguration | Select EnableSMB2Protocol
    Отключение: Set-SmbServerConfiguration -EnableSMB2Protocol $false
    Включение:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true





    • Изменено Sergey2005 1 июля 2019 г. 20:06
    1 июля 2019 г. 19:51
  • Спасибо за ответ!

    Не, отключение SMB v2 и v3 результатов не дало...

  • мы кстати используем файловый сервер для сканирования, под каждую МФУ просто своя папка, к примеру целый отдел сканирует в одну сетевую папку, что на сервере... зачем ее привязывать к ПК пользователя, а если он выключен... папка на сервере чистится каждую неделю по шедалеру+ опция сканирования в почту настроена...  ну это так..

    а с какой ошибкой отлетает?




    • Изменено Sergey2005 2 июля 2019 г. 8:09
  • Вот как раз дело в том, что мы не хотим засорять сканами файловые серверы.

    Сканы на комп пользователя устраивает и нас, и пользователей. 

    Ошибка на МФУ - CE-00

  • абстрактная ошибка... а если логи посмотреть на компе, например лог безопасности, никакого следа не остается в это время?

    п.с. мы что бы сканами не засорять файловый сервер чистим папку по шедалеру раз в неделю... зато папка всегда доступна, не зависит от включенного пк пользователя, управлять всем этим хозяйством проще, все папки в одном месте по сути... права там выдавать и пр...

  • если залогиниться под этой УЗ(мфу) на другой пк, можно на открытой шаре создавать файлы?
    2 июля 2019 г. 10:18
  • Да, можно. Пробовал даже на виртуалке с XP это проделывать, там SMB v1 используется. Тоже без проблем записываются файлы. Да и на LTSB с этой же учеткой с этого же сканера все без проблем.

    2 июля 2019 г. 10:21
  • как вариант в виртуалку чистую ОС без обнов поставить и проверить.

    Точно такое же было, но на 2012 после установки обновы... как я рассказывал у нас на такой системе все мфу сидят и у всех разом сканирование в папку прекратилось, было весело.

    2 июля 2019 г. 11:23
  • На восьмёрке нужно было выполнить 2 команды, разрешить SMBv1 и понизить уровень проверки подлинности (LanMan). NTLM отрублена по умолчанию. Копните в том направлении (Administrative Tools → Local Security Policy → Local Policies → Security Options)

    И ещё пишут, что в десятке нет драйвера v1  ( Lanman Server -- свойства -- зависимости) 

    2 июля 2019 г. 12:31
  • smbv1 установить(а не включить). включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение
    2 июля 2019 г. 12:42
  •  включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение
    было отключено в одном из обновлений, кажется, ещё до Пети.
    2 июля 2019 г. 12:57
  • это не суть важно, он мог и сам отключить. я за то, что не улавливаю связь между smb и upnp
    2 июля 2019 г. 13:24
  • smbv1 установить(а не включить). включить upnp host(да, я тоже удивлён), затем проверить, что включено сетевое обнаружение
    Сделал. Нет результатов...
    2 июля 2019 г. 15:14

  • И ещё пишут, что в десятке нет драйвера v1  ( Lanman Server -- свойства -- зависимости) 

    В LTSB видимо есть...
    2 июля 2019 г. 15:15
  • тодыть не знаю. после того, как вынесли smbv1, и всякие роутеры, принтеры и прочие поделки с самбой показали фиг, именно эти действия вернули всё взад. я всё это проделывал не единожды, как на рабочей системе, так и на новой. может ты уже накуролесил там лишнего чего? попробуй на машине, которая ещё не подвергалась издевательствам
    2 июля 2019 г. 16:58
  • возможно зависит от того, как далеко она проапгрейдилась. то нововведение, если не склероз, и на ltsb прилетало
    2 июля 2019 г. 17:01
  • и ещё там, если не склероз, было забавное поведение со встроенным гостем- если он активирован, то переставало заходить на шары по аккаунту. но это было уже так давно, что возможно всё смешалось в доме обломовых
    2 июля 2019 г. 17:09
  • Скажите, вы пробовали в адресной книге мфу пересоздать целевую папку назначения?

    Попробуйте создать новую учётную запись и в адресной книге от нее создать адрес назначения  (сетевую папку) и проверить.

    2 июля 2019 г. 17:22
  • и ещё там, если не склероз, было забавное поведение со встроенным гостем- если он активирован, то переставало заходить на шары по аккаунту. но это было уже так давно, что возможно всё смешалось в доме обломовых

    Тут про 2008 сервер. Не знаю, подходит ли статья к описываемой ситуации, но указаны разделы реестра, в которых можно поковыряться в качестве workaround. Страница на англ более читабельна, чем на русском. https://support.microsoft.com/en-us/help/950876/group-policy-settings-are-not-applied-on-member-computers-that-are-run


  • И ещё пишут, что в десятке нет драйвера v1  ( Lanman Server -- свойства -- зависимости) 

    В LTSB видимо есть...

    Проверить не долго. Это где нету

  • Пробовал чистую виртуалку. Даже несоклько.

    Сборки 1803,1809,1903 - ставил с нуля, не вводил в домен дабы исключить влияние групповых политик.

    Такая же хрень...

  • тодыть не знаю. после того, как вынесли smbv1, и всякие роутеры, принтеры и прочие поделки с самбой показали фиг, именно эти действия вернули всё взад. я всё это проделывал не единожды, как на рабочей системе, так и на новой. может ты уже накуролесил там лишнего чего? попробуй на машине, которая ещё не подвергалась издевательствам
    Пробовал с нуля ставить и не вводить в домен - такая же хрень.
  • Скажите, вы пробовали в адресной книге мфу пересоздать целевую папку назначения?

    Попробуйте создать новую учётную запись и в адресной книге от нее создать адрес назначения  (сетевую папку) и проверить.

    Пробовал с нуля ставить Windows на виртуалку. На МФУ новую запись в адресную книгу добавлял. Без результатов...
    • Изменено centneroff 3 июля 2019 г. 6:29

  • И ещё пишут, что в десятке нет драйвера v1  ( Lanman Server -- свойства -- зависимости) 

    В LTSB видимо есть...

    Проверить не долго. Это где нету

    SMV v2.XXX - и на LTSB, и на 1803
  • Скачал журнал задания с МФУ.

    Там код ошибки:

    Результат	Причина Ошибки
    Ош. Передачи	80-0000
    

  • не показатель. у меня та же картина, однако smbv1 есть, поскольку работает. смотреть надо через это- Get-SmbServerConfiguration
  • не показатель. у меня та же картина, однако smbv1 есть, поскольку работает. смотреть надо через это- Get-SmbServerConfiguration
    Get-SmbServerConfiguration приводил в первом сообщении
  • а юзера такого создал? ты же под доменной учёткой на шару лезешь. ещё раз проверь каждый этап, даже те, что не вызывают подозрений. я, вот, пару дней назад наступил на грабли, когда проблема была в том, на что никак не подумал бы, и только проверка отдельно каждого звена выявила. если у тебя обращение к шаре по имени, то замени для теста на ip- так надёжнее. снаружи вручную стукнись на порты smb(хотя бы на 445). ну тут уже негде прятаться чудесам, осталась только сеть между ними
  • да я ж не тебе написал, а другому оратору
  • а юзера такого создал? ты же под доменной учёткой на шару лезешь. ещё раз проверь каждый этап, даже те, что не вызывают подозрений. я, вот, пару дней назад наступил на грабли, когда проблема была в том, на что никак не подумал бы, и только проверка отдельно каждого звена выявила. если у тебя обращение к шаре по имени, то замени для теста на ip- так надёжнее. снаружи вручную стукнись на порты smb(хотя бы на 445). ну тут уже негде прятаться чудесам, осталась только сеть между ними

    Юзер да, доменный.

    По IP пробовал - без результатов.

    Порты доступны.

    Где-то все же чудеса...

    3 июля 2019 г. 10:38
  • я к тому, что на тестовую машину с шарой, которая не в домене, ты лезешь с доменной учёткой. надоть на машине с шарой создать такую же учётку, и чтобы она имела доступ к шаре. на домен, насколько помню, в этом случае ей будет насрать.. но могу ошибаться(для теста можно и отключить).

    ну вот сам посуди. smbv1 для самбы сканера поднят. окружение, в виде upnp и сетевого обнаружения(для всех сетей(для теста), с доступом по паролю- этот момент проверяй, так как без работающего upnp опции применяются, но не работают(сбрасываются обратно)) поднято. лезет именно на эту машину, и порты у неё доступны. учётка существует и имеет разрешение на доступ к шаре. что ещё? там нет ничего больше

    3 июля 2019 г. 11:20
  • я к тому, что на тестовую машину с шарой, которая не в домене, ты лезешь с доменной учёткой. надоть на машине с шарой создать такую же учётку, и чтобы она имела доступ к шаре. на домен, насколько помню, в этом случае ей будет насрать.. но могу ошибаться(для теста можно и отключить).

    ну вот сам посуди. smbv1 для самбы сканера поднят. окружение, в виде upnp и сетевого обнаружения(для всех сетей(для теста), с доступом по паролю- этот момент проверяй, так как без работающего upnp опции применяются, но не работают(сбрасываются обратно)) поднято. лезет именно на эту машину, и порты у неё доступны. учётка существует и имеет разрешение на доступ к шаре. что ещё? там нет ничего больше

    Это в теории...

    А на практике видим загаду.

    Вот здесь описан процесс сеанcа SMB: https://richardkok.wordpress.com/2011/02/03/wireshark-determining-a-smb-and-ntlm-version-in-a-windows-environment/

    Так вот, у нас на 1803 пакеты только 1 и 2 шагов. Т.е. Negotiate Request от принтера и Negotiate Response от рабочей станции. Дальше все.

    Я сравнивал negotiate response'ы от LTSB(где все хорошо) и от 1803(где плохо). Отличия минимальны.

    Вот это в респонсе от LTSB:

    Security Blob: 607606062b0601050502a06c306aa03c303a060a2b060104…
                GSS-API Generic Security Service Application Program Interface
                    OID: 1.3.6.1.5.5.2 (SPNEGO - Simple Protected Negotiation)
                    Simple Protected Negotiation
                        negTokenInit
                            mechTypes: 5 items
                                MechType: 1.3.6.1.4.1.311.2.2.30 (NEGOEX - SPNEGO Extended Negotiation Security Mechanism)
                                MechType: 1.2.840.48018.1.2.2 (MS KRB5 - Microsoft Kerberos 5)
                                MechType: 1.2.840.113554.1.2.2 (KRB5 - Kerberos 5)
                                MechType: 1.2.840.113554.1.2.2.3 (KRB5 - Kerberos 5 - User to User)
                                MechType: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support Provider)
                            negHints
                                hintName: not_defined_in_RFC4178@please_ignore

    Вот это в респонсе от 1803:

     Security Blob: 6082013c06062b0601050502a08201303082012ca01a3018…
                GSS-API Generic Security Service Application Program Interface
                    OID: 1.3.6.1.5.5.2 (SPNEGO - Simple Protected Negotiation)
                    Simple Protected Negotiation
                        negTokenInit
                            mechTypes: 2 items
                                MechType: 1.3.6.1.4.1.311.2.2.30 (NEGOEX - SPNEGO Extended Negotiation Security Mechanism)
                                MechType: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support Provider)
                            mechToken: 4e45474f4558545301000000000000006000000070000000…
    

    Т.е. в случае LTSB на пример приходит еще инфа, что авторизоваться можно и по Kerberos.

    Но далее по пакетам сессии SMB видно, что используется именно NTLMSSP, который в респонсе от 1803 присутствует. Вопщем, загадка.

    Но разница в SMB Negotiate Responce от разных сборок Windows 10 все же есть...

    3 июля 2019 г. 11:46
  • так понимаю, что в тот момент ltsb была в домене, а 1803 нет? если да, то пробовал ли обращаться сканером к 1803 с учёткой без указания домена(но которая локально существует на 1803)? если да, то успешно ли?
    3 июля 2019 г. 12:15
  • Не, с локальной учеткой тоже не прокатывает...
  • В компонентах проверь smb1 что включено, согласно конфигу сервер smb на кленте отключен.
    4 июля 2019 г. 14:25
  • smb1 точно включен:

    SMB1Protocol                                          | Включен
    SMB1Protocol-Client                                   | Включен
    SMB1Protocol-Server                                   | Включен


    4 июля 2019 г. 15:29