none
доступ к шарам сервера RRS feed

  • Общие обсуждения

  • Доброго времени суток.

    Есть домен, в нем файловый сервак. Внутри домена пользователи нормально получают доступ к папкам.
    Возникла необходимость предоставить доступ к папке пользователям из удаленного подразделения, находящимся в дружественном домене.
    В NTFS прописал доступ для учеток из другого домена, вроде бы все должно работать, но не работает.

    С удаленной площадки сервер пингуется, даже позволяет зайти через удаленный рабочий стол, но листинг шар недоступен. В браузере пытаюсь достучаться через ИП сервера - пишет что удаленный компьютер защищен брендмауэром проверки подлинности и данная учетка не проходит проверку. Хотя все разрешения есть, встроенный виндовый фаерволл выключен.

    Всю голову себе сломал уже.
    17 февраля 2009 г. 5:03

Все ответы

  • А что такое дружественный домен? Лес один?
    17 февраля 2009 г. 5:21
  • Нет, лас другой. Дружба на уровне доменов.
    Физический доступ к серверу есть.
    Если в проводнике забиваешь \\ИП сервера - пишет нет доступа
    17 февраля 2009 г. 6:04
  •  А Вы не используете CNAME? http://www.danshin.ms/2007/12/smb-windows-2000-windows-server-2003.html
    MCP, http://danshin.ms
    17 февраля 2009 г. 6:29
    Модератор
  • В строке браузера забиваю IP сервера, CNAME здесь не причем, да и ошибка выходит не про дублирование имен, а об отказе в доступе. Вот только понять не могу где режется доступ. В NTFS - все ОК, физический доступ (ICMP, mstsc) - OK

    Причем ситуация становится еще интереснее: Есть другой сервер в моем домене и на него с удаленного сервера хожу на шары нормально. Доступ настроен аналогично проблемному серверу. Куда копать?
    17 февраля 2009 г. 7:03
  • Сетевой интерфейс один? Права на шару будут приоритетнее, в данном случае. Включите аудит на папку и проверьте журнал системы безопасности.


    MCP, http://danshin.ms
    17 февраля 2009 г. 7:06
    Модератор
  • ИП сервера допустим 192,168,0,2
    В строке браузера вбиваю \\192.168.0.2 и получаю отлуп. На какую папку включать аудит в этом случае?
    Сетевой интерфейс 1
    На уровне шары полные права
    17 февраля 2009 г. 7:11
  • А тут тоже все нормально?
     

    Смотрите через gppedit.msc или rsop.msc
    MCP, http://danshin.ms
    17 февраля 2009 г. 7:18
    Модератор
  • Обе эти политики не определены.
    Сравнил с соседним сервером (на который получаю доступ) там также
    17 февраля 2009 г. 7:30
  • Dobriy написал:

    Обе эти политики не определены.
    Сравнил с соседним сервером (на который получаю доступ) там также



    Не определены - значит не регулируются доменной политикой. Значит действуют локальные. Смотрите через gpedit.msc непосредственно на компьютере.
    MCP, http://danshin.ms
    17 февраля 2009 г. 7:32
    Модератор
  •  А как у вас безопасность построена? Может кто-то блокирует доступ по SMB (cifs)? Это можно определить используя Microsoft Network Monitor. Можно взять тот, который идет в поставке с Windows а можно скачать третью версию с сайта. Он покажет доходит ли SMB запрос до сервера и какой ответ возвращается, если вообще возвращается. И проверьте вы наконец журнал событий.
    MCP, http://danshin.ms
    17 февраля 2009 г. 7:38
    Модератор
  • В локальной политике прописан доступ к компьютеру из сети для групп: Администраторы. пользователи, все, операторы архива, опытные пользователи.
    В журнале событий по этому поводу ничего нет, на удаленном сервере недоступна вкладка Безопасность
    Запускать монитор я так полагаю нужно с того сервера, с которого пытаюсь получить доступ?

    17 февраля 2009 г. 7:50
  • Dobriy написал:

    на удаленном сервере недоступна вкладка Безопасность

    на каком объекте?

    Dobriy написал:

    Запускать монитор я так полагаю нужно с того сервера, с которого пытаюсь получить доступ?

    Да.


    MCP, http://danshin.ms
    17 февраля 2009 г. 7:52
    Модератор
  • когда вы прописываете \\IP_Address, то у вас не используется Kerberos аутентификация, а NTLM, которая по понятным причинам вас аутентифицировать не может.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 7:54
  •  О как! А логично, однако! :)
    MCP, http://danshin.ms
    17 февраля 2009 г. 7:56
    Модератор
  • Набираю через два слэша другой ИП адрес из того же домена и вуаля - доступ есть.
    Почему на одном сервере аутентикацию по ИП прохожу, а на другом нет?

    17 февраля 2009 г. 8:08
  • видимо, ваши учётные данные совпадают с учётными данными второго компьютера. Вы должны обеспечить механизм разрешения имён между доменами посредством DNS и использовать имя компьютера для доступа к его ресурсам.  Либо же оба DC (обоих доменов) находятся в непосредственной близости.
    почитайте: http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 8:26
  • То есть если я пропишу в ДНС удаленного домена алиас (CNAME) на адрес сервера, и буду заходить по этому алиасу - все будет ок?
    В данный момент ДНСы работают тока в одну сторону. Реверсные зоны не настроены
    17 февраля 2009 г. 9:05
  • зачем вам CNAME? Вам нужно на своём DNS сервере сделать условную пересылку для второго домена, который будет указывать на DNS сервер второго домена. Для успешной работы Kerberos так же необходимо во втором домене на DNS сервере сделать условную пересылку для первого домена, которая будет показывать на DNS сервер первого домена.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 9:43
  • Форвардинг между ДНС серверами дружественных доменов настроен
    17 февраля 2009 г. 9:50
  • что вы понимаете под форвардингом? Если у вас настроена перекрёстная условная пересылка между доменами, то зачем вы ходите за ресурсами по IP? Или вам DNS был дан для красоты?
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 9:52
  • Набираю \\FQDN сервера - результат тот же. Есть ощущение, что не на уровне доменов затык, а конкретно в проблемном сервере, в его настройках. Вот только где искать. Телнет на 139 порт - успешно.
    nslookup fqdn - успешно
    nslookup ip не разрешает
    17 февраля 2009 г. 10:14
  • что говорит аудит входов? Точный текст сообщений приведите. А так же и ошибки в других журналах покажите (они там скорее всего будут присустствовать.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 10:18
  • В журнале безопасности присутствуют записи аудит отказов 537 Ошибка входа
    Авторизация действительно NTLM
    В других журналах чисто
    17 февраля 2009 г. 11:04
  • а ошибки Kerberos в журналах присуствуют? И на контроллерах доменов. Проверьте время, а так же попробуйте залогиниться на локальную рабочую станцию по UPN имени (вида user@domain.com) и попробовать по имени зайти на ресурс.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 11:54
  • Ошибок Керберос нет в журналах, ни на принимающем сервере ни на принимающем КД. Логинился под UPN и пытался зайти по имени. Сравнил журнал безопасности на доступном сервере. Там вообще нет никаких записей с просящего сервера. По идее должен быть какойто аудит успеха? Или не так. 
    17 февраля 2009 г. 12:27
  • Dobriy написал:

    В журнале безопасности присутствуют записи аудит отказов 537 Ошибка входа
    Авторизация действительно NTLM
    В других журналах чисто

    Если у Вас настроено доверие между доменами, а не между лесами, то авторизация и должна быть по NTLM.
    А чтобы понять, в чем проблема, нужен, как минимум, полный текст ошибки 537.

    PS Один из вариантов, куда копать - это посмотреть, не настроено ли селективное доверие и не отсутствуют ли права на аутентнификацию у пользователей другого домена на этом сервере (разрешение "Разрешено проверить подлинность" на учтетную запись компьютера). Только лучше IMHO не копать куда попало, а диагностировать реальную проблему. А для этого нужен текст ошибки.

    War is peace, freedom is slavery, ignorance is power
    17 февраля 2009 г. 12:41
  • как тут вставить картинку?
    17 февраля 2009 г. 12:54
  •  откройте нужный эвент и нажмите кнопку с двумя листками бумаги. Это скопирует всё сообщение в буфер обмена и вставляете сюда как текст.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    17 февраля 2009 г. 12:56
  • dsdgsdgsd написал:

    как тут вставить картинку?

    1. Сделайте картинку доступную online
    2. Перейдите в режим редактирования HTML (см. картинку) и вставьте вот такой код:
     
    <img src="http://pic.ipicture.ru/uploads/090217/1789/3PxbkFDRKo.jpg" border="0">


    MCP, http://danshin.ms
    17 февраля 2009 г. 13:32
    Модератор
  • Тип события:    Аудит отказов
    Источник события:    Security
    Категория события:    Вход/выход
    Код события:    537
    Дата:        17.02.2009
    Время:        17:02:12
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ARR10
    Описание:
    Сбой входа в систему:
         Причина:        Ошибка при входе
         Пользователь:    test
         Домен:        UPRO
         Тип входа:    3
         Процесс входа:    NtLmSsp
         Пакет проверки:    NTLM
         Рабочая станция:    TERMINAL
         Код состояния:    0xC0000413
         Код подсостояния:    0x0
         Имя вызывающего пользователя:    -
         Домен вызывающего:    -
         Код входа вызывающего:    -
         Код процесса вызывающего:    -
         Промежуточные службы:    -
         Адрес сети источника:    10.200.0.225
         Порт источника:    0


    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    18 февраля 2009 г. 2:57
  • M.V.V. написал:

    Dobriy написал:

    В журнале безопасности присутствуют записи аудит отказов 537 Ошибка входа
    Авторизация действительно NTLM
    В других журналах чисто

    Если у Вас настроено доверие между доменами, а не между лесами, то авторизация и должна быть по NTLM.
    А чтобы понять, в чем проблема, нужен, как минимум, полный текст ошибки 537.

    PS Один из вариантов, куда копать - это посмотреть, не настроено ли селективное доверие и не отсутствуют ли права на аутентнификацию у пользователей другого домена на этом сервере (разрешение "Разрешено проверить подлинность" на учтетную запись компьютера). Только лучше IMHO не копать куда попало, а диагностировать реальную проблему. А для этого нужен текст ошибки.

    War is peace, freedom is slavery, ignorance is power



    а почему должен использоваться NTLM?
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    18 февраля 2009 г. 8:39
  • dsdgsdgsd написал:

    Тип события:    Аудит отказов
    Источник события:    Security
    Категория события:    Вход/выход
    Код события:    537
    Дата:        17.02.2009
    Время:        17:02:12
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ARR10
    Описание:
    Сбой входа в систему:
         Причина:        Ошибка при входе
         Пользователь:    test
         Домен:        UPRO
         Тип входа:    3
         Процесс входа:    NtLmSsp
         Пакет проверки:    NTLM
         Рабочая станция:    TERMINAL
         Код состояния:    0xC0000413
         Код подсостояния:    0x0
         Имя вызывающего пользователя:    -
         Домен вызывающего:    -
         Код входа вызывающего:    -
         Код процесса вызывающего:    -
         Промежуточные службы:    -
         Адрес сети источника:    10.200.0.225
         Порт источника:    0


    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


    Очень похоже, что проблема именно в упомянутой выше селективной аутентификации (по крайней мере, код ошибки тот же - см. например http://www.marc-antho-etc.net/blog/post/Authentication-fails-against-SharePoint-when-user-is-from-another-forest-with-error-0xc0000413.aspx ).
    Проще всего, наверное, Вам будет решить эту проблему так: посмотрить, какие разрешения даны группам из доверенного домена на учетную запись того сервера, где доступ есть (вкладка безопасность свойств учетной записи, требуется включить Дополнительные возможности в меню Вид) и дать такие же на учетную запись этого сервера.
    Реально, как я уже писал, нужно разрешение проверить подлинность для подходящей группы (скорее всего - Пользователей домена), можете сразу попробовать дать именно его.



    War is peace, freedom is slavery, ignorance is power
    18 февраля 2009 г. 8:51
  • Спасибо, Вы гений.
    Сделал разрешение проверки подлинности для группы пользователи домена и все заработало.
    На другом сервере это разрешение было дано для Всех


    18 февраля 2009 г. 9:54