none
Ошибка доступа к ресурсам NLB кластера RRS feed

  • Вопрос

  • Доброго времени суток.

    Проблема следующая есть кластер NLB состоящий из 2ух узлов, который настраивал не я.

    На узлах стоят сервисы, которые общаются по имени кластера к кластерной шаре. По какой то причине аунтефикация по DNS имени не проходит внутри этих серверов не проходит выдавая ошибку:

    Logon failure: unknown user name or bad password.

    если обращатся к шаре по ip адресу проблем нет.

    Если заходить на эту шару из вне так же проблем нет, как по ip, так и по dns имени.


    8 апреля 2014 г. 13:47

Ответы

  • Если так, то не стоит дальше искать причину вслепую: включите аудит неудачных попыток входа в систему и смотрите, по какой причине не проходит аутентификация.

    Если она не проходит исключительно с того самого сервера при обращении к нему по другому имени (а с доменных клиентов всё работает нормально), то причной может быть блокировка закольцовки (loopback) при аутентифкации NTLM (с целью сделать невозможными некоторые виды атак).

    Попробуйте для проверки отключить эту блокировку - см. ст. 896861 MS KB метод 2. Если дело в этом, то предпочтительным вариантом решения проблемы является метод 1 из той же статьи, но можно и просто оставить блокировку отключеной.


    Слава России!

    • Помечено в качестве ответа AndreyX86 15 апреля 2014 г. 8:04
    10 апреля 2014 г. 11:30

Все ответы

  • Наверное, внутри у вас происходит попытка аутентифицикации по Kerberos (метод HTTP-аутентификации Negotiate внутри домена работает именно так - я предполагаю, что сервисы реально-таки работают по протоколу HTTP, потому как протокол SMB для работы с кластером NLB не предназначен). Как именно отключить Negotiate и оставить только NTLM (или Basic) - это надо смотреть в описании сервиса.


    Слава России!

    8 апреля 2014 г. 20:09
  • Такая же проблема наблюдается и при попытки зайти на сайт, который располагается на этом кластере. Из вне аутентификация проходит нормально. Если заходить на сайт изнутри ноды, то опять не пускает.
    9 апреля 2014 г. 6:29
  • На iis варианты аунтентификации пробовали менять? 
    9 апреля 2014 г. 7:12
  • Да ставил windows и anonymous аутентификацию. Результат тот же. Просто не совсем понятно почему если заходить на этот сайт с своего компьютера проблем не возникает. Если же с узла кластера NLB, то аутентификацию не проходит. На IIS никаких отдельных настроек для работы нет.
    9 апреля 2014 г. 7:35
  • Логи  iis посмотрите, может они что то подскажут
    • Изменено budreev 9 апреля 2014 г. 7:42
    9 апреля 2014 г. 7:39
  • Не понятно почему по ip-адресу доступ к шаре есть, по dns имени нет.
    9 апреля 2014 г. 8:47
  • Если сервер в домене, то это связано с Kerberos, т.к. при доступе по IP используется NTLM. Только я не пойму, по какому протоколу вы пытаетесь получить доступ к данным. По http или smb?

    9 апреля 2014 г. 9:08
  • К сайту доступ по http. Используется windows аутентификация в начале NTLM, потом Negotiate. Можно конкретнее относительно Kerberos? Т.е. при попытке получить доступ к ресурсам кластера с сервер, с которого происходит подключение аутентифицируется по Kerberos, в то время как сам кластер работает по NTLM?
    • Изменено AndreyX86 9 апреля 2014 г. 10:26
    9 апреля 2014 г. 10:20
  • Короче, попробуйте отключить тип аутентификации Negotiate:

    appcmd set config /section:windowsAuthentication /-providers.[value='Negotiate']

    (подробнее см. здесь ).


    Слава России!

    9 апреля 2014 г. 19:27
  • Я так понимю, эта команда аналог отключения режима negotiate в Windows аутентификации через GUI и эту процедуру уже выполнял.
    10 апреля 2014 г. 9:05
  • Если так, то не стоит дальше искать причину вслепую: включите аудит неудачных попыток входа в систему и смотрите, по какой причине не проходит аутентификация.

    Если она не проходит исключительно с того самого сервера при обращении к нему по другому имени (а с доменных клиентов всё работает нормально), то причной может быть блокировка закольцовки (loopback) при аутентифкации NTLM (с целью сделать невозможными некоторые виды атак).

    Попробуйте для проверки отключить эту блокировку - см. ст. 896861 MS KB метод 2. Если дело в этом, то предпочтительным вариантом решения проблемы является метод 1 из той же статьи, но можно и просто оставить блокировку отключеной.


    Слава России!

    • Помечено в качестве ответа AndreyX86 15 апреля 2014 г. 8:04
    10 апреля 2014 г. 11:30
  • Все проблема решена, большое спасибо за помощь. Информация по настройки NLB кластера, как раз есть пункт касательно настроек.

    http://technet.microsoft.com/en-us/library/cc281307.aspx


    • Изменено AndreyX86 14 апреля 2014 г. 13:19
    14 апреля 2014 г. 12:23
  • Совсем не дал? Нет сообщений о попытке неудачного входа в систему вжурнале событий Безопасность? Попроуйте включить (в свойствах папки в Проводнике) аудит неудачных попыток доступа к папке для Все, чтобы хотя бы увидеть, от чьего имени происходит попытка доступа.

    Тогда, есле вам еще нужна помощь, опишите подробнее, что именно вы делаете, а то я не совсем понимаю, откуда работает вход, а откуда - не работает.


    Слава России!

    14 апреля 2014 г. 13:20