Windows-Server-2008-R2

訪問 Windows 群集文件 Server 2008 R2 中的共享文件夾時出現問題

  • January 15, 2021

首先,我需要為我糟糕的技術和語言技能道歉。我會盡可能詳細地描述一個問題。

有子網 172.16.10.0/24 在這個子網中我有 3 個伺服器 1 個儲存和 7 個工作站(實際數量更多)。所有這些機器都連接到 1 個單核交換機。

172.16.10.15/24 gw 172.16.10.1 - windows domain controller sovi.sk (FQDN dcsrv.sovi.sk) win serv 2008r2
172.16.10.11/24 gw 172.16.10.1 - Cluster1 (FQDN Cluster1.sovi.sk) win serv 2008r2
172.16.10.12/24 gw 172.16.10.1 - Cluster2 (FQDN Cluster2.sovi.sk) win serv 2008r2
172.16.10.13-14/24             - IBM system storage
172.16.10.1                    - VPN router.        
172.16.10.9                    - file server role (NetBios Name ClusterFS)  
10.62.17.130                   - windows domain controller System911.com (win serv 2008r2)

兩台伺服器和儲存是故障轉移集群的一部分。集群所需的 Sovi.sk Windows 域控制器。我們使用集群作為內部子網 172.16.10.0/24 的故障轉移文件伺服器。有很多文件夾為 sovi.sk 使用者配置了 SMB 和 NTLM 權限。

我稍後描述的 7 個工作站 (win 7 x64 pro) 172.16.10.101-107/24 gw 1​​72.16.10.1 dns 10.62.17.130 是我們另一個域 System911.com 的一部分。

域 system911 是位於雲服務(虛擬機 VMware)中的 Windows 域控制器,在 172.16.10.1 上配置的 NAT 允許我們的工作站訪問域 System911.com(IP 10.62.17.130),但不適用於 sovi.sk 伺服器。

7台工作站正在使用System911.com的帳號登錄。一切正常。我正在使用 netbios 名稱 \ClusterFS\Share 通過網路路徑從文件伺服器上的這 7 個工作站訪問文件伺服器。Netbios 名稱 ClusterFS 我寫在工作站 System911.com 的文件主機中(之前我在 System911.com 域上創建了一條 A 記錄,但後來我刪除了它)。共享是文件夾的名稱。在我錄下這個網路路徑後,視窗會要求我輸入使用者名和密碼。我正在使用 sovi.sk 帳戶,例如 admin@sovi.sk 並輸入密碼或 sovi\admin 並輸入密碼。我更喜歡第二種變體。在那之後,奇怪的事情開始了。出現視窗並顯示“\ClusterFS\Share 無法訪問錯誤 0x800704cf”的消息。在我選擇一個診斷按鈕後,共享文件夾出現了!行,之後一切正常。但大約幾個小時後,文件夾變得無法訪問。我試圖再次訪問一個文件夾,出現新的授權視窗,需要再次輸入使用者名和密碼(輸入正確的使用者名和密碼不能解決問題)授權視窗包含一條消息“系統檢測到可能嘗試危及安全。請確保您可以聯繫對您進行身份驗證的伺服器。” Windows 安全日誌​​通知審計失敗。t 解決問題)授權視窗包含一條消息“系統檢測到可能嘗試破壞安全性。請確保您可以聯繫對您進行身份驗證的伺服器。” Windows 安全日誌​​通知審計失敗。t 解決問題)授權視窗包含一條消息“系統檢測到可能嘗試破壞安全性。請確保您可以聯繫對您進行身份驗證的伺服器。” Windows 安全日誌​​通知審計失敗。

帳戶無法登錄。

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3  (network access)

Account For Which Logon Failed:
Security ID:        NULL SID
Account Name:       1011120         (this is username of system911.com)
Account Domain:     system911.com

Failure Information:
Failure Reason:     Unknown user name or bad password.
Status:         0xC000006D
Sub Status:     0xC0000064

Process Information:
Caller Process ID:  0x0
Caller Process Name:    -

Network Information:
Workstation Name:   system911-PC1
Source Network Address: 172.16.10.101
Source Port:        57380

Detailed Authentication Information:
Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

我啟用了所有 NTLM 審計,但它沒有提供任何適當的資訊。在閱讀了很多論壇後,我發現很多答案都認為這是 NULL SID 的攻擊,但事實並非如此。子網 172.16.10.0 和 Internet 之間沒有訪問權限。這個工作站系統 911-PC1 和另外 6 個沒有任何病毒。工作 NTLM、SMB、Kerberos 所需的所有埠都在伺服器和工作站上打開。我什至嘗試禁用伺服器和工作站上的防火牆。在網路適配器上啟用 TCP\IP 網路。

我也無法通過 IP \172.16.10.9\Share 訪問 Share 文件夾。Cmd 命令 net use \ClusterFS 顯示命令成功完成。如果我使用 net use \172.16.10.9 命令顯示錯誤 1231。我在 system911-PC1 工作站上執行此 cmd 命令。集群驗證測試成功通過,但有 1 個警告,只有一個可訪問的子網(建議需要兩個)。

我不知道如何啟用通過 IP 訪問文件夾,例如 \172.16.10.9\Share。我還需要知道當我訪問 ClusterFS 上的共享文件夾時授權發生在哪裡。訪問共享文件夾的授權在哪裡發生?在 ClusterFS 或 sovi.sk 域上,還是在 system911.com 域上?當我的工作站試圖訪問 ClusterFS 上的共享文件夾時,誰詢問授權、ClusterFS、Sovi.sk 域或 system911.com 域?我無法在它們之間配置森林間信任,因為 system911.com 域作為服務從另一家公司提供給我。似乎是 NTLM 問題。但正如我稍後所描述的,在幾個小時內一切正常。關於錯誤“系統檢測到可能試圖破壞安全性。” 文件伺服器系統檢測到工作站的嘗試或系統?關於為什麼幾個小時後文件夾變得無法訪問的任何想法?

OP 報告:“問題已經解決。我要求公司在硬體 vpn 網關上配置 NAT,以讓我的伺服器訪問云服務。現在伺服器是 System911 域的一部分。一切正常,沒有任何安全警告。唯一尚未解決的問題是兩個非從屬域之間的 ntlm 授權。”

引用自:https://serverfault.com/questions/1042846