none
Проблемы с общей папкой RRS feed

  • Вопрос

  • Доброго. Пользователям, которые работают через туннель с нашим офисом, были подключены общие папки из DFS. У части пользователей выскакивает ошибка что "Указанное сетевое расположение более недоступно". При вводе "\\IPAddress\" Показывает папки на сервере, но в сами папки нельзя войти. Войти получается только в те которые локально на сервере лежат и к DFS не прикручены. При вводе "\\IPAddress\Folder1\Folder2" указании более конкретного места выводит - Запрошенная операция не была выполнена так как пользователь не зарегистрирован...

    Кто нибудь сталкивался с подобным?

    20 октября 2015 г. 8:27

Ответы

  • Кто нибудь сталкивался с подобным?

    Вы таки ищете товарищей по несчастью, или вам надо решить проблему?

    Если первое, то тут я вам помочь не могу, а если второе, то попробую.

    У вас используется домен? Если да, то есть подозрение, что пользователи, имеющие проблему аутентифицируются не по протоколу Kerberos через контроллер домена (из-за его недоступности по тем или иным причинам), а по сохранённым на локальном компьютере учётным данным. После чего они не могут использовать аутентификацию по Kerberos на файл-сервере (именно она осуществляется при обращении к нему по имени), в том числе - и по ссылкам DFS (которые как раз содержат имена). Первичное же обращение по IP проходит, потому что там используется другой механизм аутентификации - NTLM - ну а дальше DFS возвращает ссылки с именами, обращение к которым с аутентифкацией по Kerberos проваливается.

    Для проверки включите на проблемном компьютере аудит успешных попыток входа в систему, если он не включен (сели не включен, то включать надо через локальную политику, т.к. доменная групповая политика может не работать), и посмотрите в сообщениях о входе пользователя, какой там тип входа: если 11, то это  - как раз рассматриваемый случай, если 2 - то нет, но в этом случае посмотрите на пакет аутентификации: если там стоит NTLM, то это может говорить о неработоспособности Kerberos по каким-то другим причинам.

    Кроме того, работоспособность Kerberos можно оценить по списку имеющихся у клиента в кэше билетов (смотреть командой  klist) - если кэш пуст, то Kerberos не работает.

    Полезно для диагностики может быть включение протоколирования ошибок Kerberos на клиенте и сервере (по умолчанию оно включено только на контроллере домена) - см. ст. 262177 MS KB, при этом ошибки будут записываться в журнал системы.


    Слава России!

    • Помечено в качестве ответа Павел_ 21 октября 2015 г. 13:30
    20 октября 2015 г. 14:35

Все ответы

  • Кто нибудь сталкивался с подобным?

    Вы таки ищете товарищей по несчастью, или вам надо решить проблему?

    Если первое, то тут я вам помочь не могу, а если второе, то попробую.

    У вас используется домен? Если да, то есть подозрение, что пользователи, имеющие проблему аутентифицируются не по протоколу Kerberos через контроллер домена (из-за его недоступности по тем или иным причинам), а по сохранённым на локальном компьютере учётным данным. После чего они не могут использовать аутентификацию по Kerberos на файл-сервере (именно она осуществляется при обращении к нему по имени), в том числе - и по ссылкам DFS (которые как раз содержат имена). Первичное же обращение по IP проходит, потому что там используется другой механизм аутентификации - NTLM - ну а дальше DFS возвращает ссылки с именами, обращение к которым с аутентифкацией по Kerberos проваливается.

    Для проверки включите на проблемном компьютере аудит успешных попыток входа в систему, если он не включен (сели не включен, то включать надо через локальную политику, т.к. доменная групповая политика может не работать), и посмотрите в сообщениях о входе пользователя, какой там тип входа: если 11, то это  - как раз рассматриваемый случай, если 2 - то нет, но в этом случае посмотрите на пакет аутентификации: если там стоит NTLM, то это может говорить о неработоспособности Kerberos по каким-то другим причинам.

    Кроме того, работоспособность Kerberos можно оценить по списку имеющихся у клиента в кэше билетов (смотреть командой  klist) - если кэш пуст, то Kerberos не работает.

    Полезно для диагностики может быть включение протоколирования ошибок Kerberos на клиенте и сервере (по умолчанию оно включено только на контроллере домена) - см. ст. 262177 MS KB, при этом ошибки будут записываться в журнал системы.


    Слава России!

    • Помечено в качестве ответа Павел_ 21 октября 2015 г. 13:30
    20 октября 2015 г. 14:35
  • Большое спасибо за данную информацию!
    21 октября 2015 г. 13:30