На сервере Windows 2012 у меня есть общие сетевые папки. Проблема в том, что я могу получить доступ к этим ресурсам через подключение к удаленному рабочему столу, но когда я использую \serverIP, также запрашивает у меня имя пользователя и пароль, я ввожу запрошенные данные, но отвечаю сообщением "доступ запрещен". Пожалуйста помоги.

Это событие регистрируется в журналах безопасности Windows на сервере, когда я пытаюсь подключиться к общему ресурсу:

- System 
  - Provider 
   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 
   Version 0 
   Level 0 
   Task 12544
   Opcode 0
   Keywords 0x8010000000000000 

  - TimeCreated
   [ SystemTime]  2016-09-29T13:15:42.325867400Z
   EventRecordID 35148404 
   Correlation

  - Execution
   [ ProcessID]  764 
   [ ThreadID]  4188      
   Channel Security
   Computer ZFSERVER.zonafrancapc.co
   Security

- EventData     
  SubjectUserSid S-1-0-0
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName Sistemas 
  TargetDomainName SISTEMAS-ZFPC 
  Status 0xc0000022 
  FailureReason %%2304 
  SubStatus 0x0 
  LogonType 3 
  LogonProcessName NtLmSsp 
  AuthenticationPackageName NTLM 
  WorkstationName SISTEMAS-ZFPC 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress 192.168.250.110 
  IpPort 57825 

2 ответа2

1

Если я правильно читаю текст события, сервер, к которому вы пытаетесь подключиться, называется "ZFSERVER", рабочая станция, с которой вы подключаетесь, - «SISTEMAS-ZFPC», а имя пользователя, к которому вы пытаетесь подключиться, - "Системас".

Но, исходя из этого:

TargetUserName Sistemas
TargetDomainName SISTEMAS-ZFPC

Похоже, вы пытаетесь подключиться как «SISTEMAS-ZFPC\Sistemas», который не является действительным пользователем ZFSSERVER.

Хороший способ определить, с каким именем пользователя вы должны войти в систему, это войти в систему с помощью RDP, перейти в командную строку и запустить whoami. Домен \ имя пользователя, которое отображается, это то, что должно быть введено, когда вас попросят ввести учетные данные.

Если вы уверены, что уже вводите эту информацию при запросе учетных данных, возможно, вы не соответствовали настройкам "Сетевая безопасность" между сервером и рабочей станцией. Чтобы проверить это, запустите «secpol.msc» в каждой системе и сравните параметры в:

Security Settings
  Local Polices
    Security Options
      - Domain member: *
      - Microsoft network server: *
      - Microsoft network client: *
      - Network security: *

Обратите особое внимание на следующие настройки, которые вызывали у меня проблемы в прошлом:

<префикс сверху>: цифровое шифрование или подпись данных защищенного канала (всегда)
<префикс сверху>: цифровое шифрование данных защищенного канала (когда это возможно)
<префикс сверху>: цифровая подпись данных защищенного канала (когда это возможно)
Сетевая безопасность: уровень аутентификации LAN Manager

(У меня сейчас нет сервера Windows 2012 передо мной, но я считаю, что эти настройки названы одинаково в 2012 году.)

ПРИМЕЧАНИЕ. Возможно, вам потребуется перезагрузить рабочую станцию, чтобы изменения, которые вы сделали, были эффективными.

1

В нашем разговоре в комментариях к вашему вопросу кажется, что вы клиент и сервер в разных подсетях.

В этом случае сервер и / или клиент могут быть усилены (через обновление для системы безопасности) для предотвращения прохождения трафика "SMB через NetBIOS" за пределы локальной подсети.

Если это так, вы можете обойти вашу проблему, добавив / изменив значение реестра ниже (как описано в статье MS, ссылки на которую приведены выше).

Связь NETBIOS за пределами локальной подсети защищена. Поэтому по умолчанию некоторые функции, которые зависят от NETBIOS (например, SMB через NETBIOS), не будут работать вне локальной подсети. Чтобы изменить это новое поведение по умолчанию, создайте следующую запись реестра:

SUBKEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Имя значения: AllowNBToInternet
Тип: Меч
Значение: 1
Значение флага по умолчанию: 0

Не ясно, нужно ли вам обновлять / добавлять это значение как на клиенте, так и на сервере, и у меня нет среды, чтобы проверить это в данный момент.

Я бы просто добавил / обновил запись реестра как на клиенте, так и на сервере и посмотрел, исправляет ли это (возможно, потребуется перезагрузить один или оба). Если это все-таки исправит, то вы можете поэкспериментировать с удалением одного или другого (и, пожалуйста, сообщите нам, что вы узнали).

НОТА:

Если вы в конечном итоге используете это как постоянное решение, вам следует рассмотреть возможность отключения WPAD, чтобы смягчить начальную уязвимость, как описано в исходном бюллетене по безопасности (вам нужно будет проверить, чтобы впоследствии просмотр веб-страниц работал должным образом).

обходные

  • Остановите WPAD, используя запись файла хоста

    1. Откройте файл хоста, расположенный в следующем месте с правами администратора:% systemdrive%\Windows\System32\Drivers\etc\hosts

    2. Создайте следующую запись для WPAD в файле хоста:255.255.255.255 wpad.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .