none
Не доступа к общим папкам по ip адресу запрашивает логи/пароль RRS feed

  • Вопрос

  • Добрый день!

    Есть домен на windows server 2012, на нем есть папки с общим доступом. Под учетной записью вхожу в домен на ПК, потом пытаюсь подключиться к общим папкам домена по ip-адресу, он запрашивает логин/пароль и отказано в доступе. По имени домена подключиться могу к общим папкам домена. В чём ошибка, понять не могу? Помогите!!!

    12 февраля 2020 г. 14:02

Ответы

  • То есть, по факту, вы ликвидировали несколько возможных причин проблемы (подозрительное обновление, блокировка NTLM в политиках), и у вас получилось. Поздравляю. Но в чем именно была причина - это так и осталось неизвестным. Жаль.

    PS Что касается KB3175024, то на вашу ситуцию не похоже: там, как сказано в статье MS KB с этим номером причина прблемы в том, что при установке обновления не устанавливается нужная версия DLL, обрабатывающая аутентификацию NTLM через защищенный канал - а у вас аутентификация не работает локально. Кроме того, это обновление - старое, и не исключено, но ещё более версия DLL уже входит в новые обновления и уже установлена в системе. В любом случае, сносить обновление безопасности, каковым является KB3175024 (оно исправляет уязвимость MS16-111 )  - не лучшая идея: в таких случая лучше найти и поставить обновление, которое исправляет эту конкретную ошибку. В данном случае, как сказано в статье это - обновление KB3195799. Оно может и не поставиться с сообщением, что оно не требуется, если все обновляемые файлы были заменены в более новом обновлении - тогда вообще можно было бы ничего не делать.


    Слава России!

    17 февраля 2020 г. 17:05

Все ответы

  • Вот и мы понять не можем.

    Зачем подключаться по IP-адресу к шарам, если есть сервис DNS и если подключение по NETBIOS/FQDN при этом успешно работает.

    12 февраля 2020 г. 14:30
  • У всех пользователей настроено подключение по ip-адресу, до сбоя. Просто пользователей много, чтобы всех переподключать. Подскажите , где искать? В чем причина?
    12 февраля 2020 г. 14:36
  • 1. А точно этот адрес резолвится в то, что нужно? Может у вас дубликат в сети.

    2. Сбою не предшествовала процедура установки обновлений с отключением SMB v1.0 например?

    3. Переподключить людей via GPO и маппингом нужного ресурса обычно занимает немного времени.

    • Помечено в качестве ответа Russeloff 12 февраля 2020 г. 16:08
    • Снята пометка об ответе Russeloff 12 февраля 2020 г. 16:09
    12 февраля 2020 г. 14:56
  • Дубликата в сети нет. А вот отключение SMB проверю. 
    12 февраля 2020 г. 16:15
  • У всех пользователей настроено подключение по ip-адресу, до сбоя. Просто пользователей много, чтобы всех переподключать. Подскажите , где искать? В чем причина?
    Посмотрите на сервере с общей папкой, нет ли в журнале событий системы ошибок от Netlogon, что он не может найти контроллер домена и т.п.

    Слава России!

    12 февраля 2020 г. 18:40
  • Добрый день!

    Сбою не предшествовала процедура установки обновлений с отключением SMB v1.0 например? - я проверил с этим не связано.

    А что еще может быть? По имени домена шара в сети открывается, а по ip нет!!! Как будто что-то отключено или не зарегистрировано. 

    13 февраля 2020 г. 11:30
  • Я нормально логинюсь под учетной записью домена на ПК. Потом хочу зайти к расшаренным ресурсам по ip и он выдает табличку "введите логин и пароль", ввожу учетку домена(логин и пароль), пишит в доступе отказано. Хотя я уже залогинился под учеткой домена. Зато по имени домена расшаренные ресурсы , открываются на ура!!! Что делать у меня у всех пользователей стоит доступ к шарам по ip!!!!
    13 февраля 2020 г. 12:29
  • 1. В сообщениях пишите как можно больше восклицательных знаков - это ускорит решение вашей проблемы.

    2. Тот ресурс, где у вас расположены шары - он в домене или нет?

    3. Давно бы уже GPO сделали на подключение шары пользователям.

    13 февраля 2020 г. 12:59
  • Этот ресурс и есть контроллер домена , и он в домене.

    Я понимаю что давно мог сделать GPO на подключение шары пользователям, просто хочу разрешить эту проблему с ip.

    13 февраля 2020 г. 13:43
  • Из вас клещами нужно всю информацию вытягивать? Пишите про шары и молчите о том, что они на КД.

    Проверьте какие настройки у вас в этой политике

    13 февраля 2020 г. 13:48
  • Настройки NTLM - не определено
    13 февраля 2020 г. 14:18
  • Этот ресурс и есть контроллер домена , и он в домене.

    Я понимаю что давно мог сделать GPO на подключение шары пользователям, просто хочу разрешить эту проблему с ip.

    Попробуйте зайти в общую папку \\IP.контроллера.домена\SYSVOL

    Так можно будет понять, это у вас проблема с аутентификацией по NTLM или же с разрешениями на конкретную общую папку: если, к примеру, там используется Dynamic Access Control (т.е. условные разрешения), то для их работы необходим Kerberos.


    Слава России!

    13 февраля 2020 г. 16:36
  • Попробовал зайти \\192.168.0.10\SYSVOL , опять выскакивает окно для ввода логина и пароля. ВВожу , но не прокатывает.
    14 февраля 2020 г. 6:03
  • По имени сервера контроллера домена (\\mars\SYSVOL) ,всё открывает!!!
    14 февраля 2020 г. 6:06
  • На КД что выставлено в Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: LAN Manager authentication level ?
    14 февраля 2020 г. 6:35
  • Network security: LAN Manager authentication level - не определено
    14 февраля 2020 г. 7:47
  • Попробовал зайти \\192.168.0.10\SYSVOL , опять выскакивает окно для ввода логина и пароля. ВВожу , но не прокатывает.
    Значит, проблема - в аутентификации, а не в разрешениях. Включите, если не включен (делается это через политики), аудит неудачных попыток входа в систему и смотрите, какое событие пишется в журнал при попытке входа по IP.

    Слава России!

    14 февраля 2020 г. 10:24
  • Платформа фильтрации IP-пакетов Windows заблокировала подключение.

    Сведения о приложении:
    Идентификатор процесса: 3240
    Имя приложения: \device\harddiskvolume2\windows\system32\dns.exe

    Сведения о сети:
    Направление: Входящие
    Адрес источника: 192.168.0.10
    Порт источника: 53
    Адрес назначения: 192.168.0.113
    Порт назначения: 62884
    Протокол: 17

    14 февраля 2020 г. 11:23
  • К вашей проблеме это отношение вряд ли имеет. Вам надо смотреть события неудачного входа на КД.

    А что до этого события, то если 192.168.0.10 - это у вас легальный сервер DNS, то такое бывает - ответ DNS пришел со слишком  большой задержкой, и брандмауэр уже забыл про запрос, на который пришел ответ.

    А вот если нет - то это у вас там кто-то подделкой DNS и засорением кэша развлекается, с ним надо разобраться.


    Слава России!


    • Изменено M.V.V. _ 14 февраля 2020 г. 12:13
    14 февраля 2020 г. 12:13
  • Добрый день!

    Вариантов много,

    самый простой, нет разрешения в настройках безопасности для "пользователей домена", даже если права назначены, советую попробовать переназначить.

    либо, как описано выше, включить в компонентах Windows SMB 1.0 (но это для XP)

    дальше, как вариант сохранен либо локальный пароль, либо гостевой вход, проверить можно через команду net use в командной строке,

    либо через "выполнить" control userpasswords2 вкладка "Дополнительно" > "управление паролями" > "учетные данные Windows"


    • Изменено Stuck-X 14 февраля 2020 г. 13:17
    14 февраля 2020 г. 13:16
  • либо, как описано выше, включить в компонентах Windows SMB 1.0 (но это для XP)


    Все разговоры про SMB 1.0 здесь не в тему: раз есть доступ по имени, значит, SMB работает. Проблема - со входом в систему (разрешения как причну, вроде как, исключили).

    Сохраненные учетные данные проверить не помешает, но если проблема возникает у всех пользователей, то в качестве причины это сильно сомнительно.


    Слава России!

    14 февраля 2020 г. 15:09
  • Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: администратор@dez
    Домен учетной записи:

    Сведения об ошибке:
    Причина ошибки: Ошибка при входе.
    Состояние: 0xC0000022
    Подсостояние: 0x0

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции: HAMMFOLL
    Сетевой адрес источника: 192.168.0.119
    Порт источника: 65032

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp 
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
    16 февраля 2020 г. 8:48
  • 1 администратор@dez (имя - администратор, домен - dez) - это именно та учетная запись, под которой вы зашли на ПК? Если нет - проверяйте сохраненные учетные данные.

    2. Судя по коду ошибки, использованной учетной записи просто запрещен доступ. Надо понять, почему. Получите отчет о действующей на КД групповой политике командой gpresut /h файл.htm и посмотрите в этом файле, какие параметры из группы "Network security:..." ("Сетевая безопасность:...") у вас установлены политикой. Для надежности, проверьте, не установлены ли эти параметры в локальной политике КД (с помощью консоли gpedit.msc). Наиболее интересен параметр "Network Security: Restrict NTLM: Incoming NTLM traffic" ("Сетевая безопасность: Ограничения NTLM: Входящий трафик"). Но и другие параметры из этой группы тоже могут влиять.

    3. Если проблема существует только для учетной записи администратора - проверьте, не входит ли она в группу Protected Users.


    Слава России!

    16 февраля 2020 г. 11:26
  • Благодарю всех за помощь.

    Восстановил доступ по ip, но сделал по следующему варианту. В инете я накопал только один сайт где говорилось про обновление KB3175024 -  то что возможно из-за него происходит ошибка 0xC0000022!!!

    Я его удалил и почистил реестр. После чего еще сбросил настройки GPO :

    secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

    RD /S /Q "%WinDir%\System32\GroupPolicy" RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

    и сделал перезагрузку, и все заработало!!!!

    17 февраля 2020 г. 14:44
  • То есть, по факту, вы ликвидировали несколько возможных причин проблемы (подозрительное обновление, блокировка NTLM в политиках), и у вас получилось. Поздравляю. Но в чем именно была причина - это так и осталось неизвестным. Жаль.

    PS Что касается KB3175024, то на вашу ситуцию не похоже: там, как сказано в статье MS KB с этим номером причина прблемы в том, что при установке обновления не устанавливается нужная версия DLL, обрабатывающая аутентификацию NTLM через защищенный канал - а у вас аутентификация не работает локально. Кроме того, это обновление - старое, и не исключено, но ещё более версия DLL уже входит в новые обновления и уже установлена в системе. В любом случае, сносить обновление безопасности, каковым является KB3175024 (оно исправляет уязвимость MS16-111 )  - не лучшая идея: в таких случая лучше найти и поставить обновление, которое исправляет эту конкретную ошибку. В данном случае, как сказано в статье это - обновление KB3195799. Оно может и не поставиться с сообщением, что оно не требуется, если все обновляемые файлы были заменены в более новом обновлении - тогда вообще можно было бы ничего не делать.


    Слава России!

    17 февраля 2020 г. 17:05