Bu Windows paylaşımını giriş istemi için nasıl edindim?

14

Veya: "Bu bir şey mi? Ve bunun olup olmadığını nasıl kontrol ederim?"

Etki Alanı Denetleyicisi olmayan bir ortamda , Windows Server 2008 R2 kutusundaki bir paylaşıma erişirken , sunucuda eşleşen bir kullanıcı hesabı olmayan uzak bir bilgisayardan (ve \\SERVERNAME\ShareNameBaşlat menüsünden yazarak bağlanarak ) şu anda aşağıdaki davranışa bağlı olarak gözlemliyorum: "Parola korumalı paylaşım" ayarında (Gelişmiş paylaşım ayarları):

"Parola korumalı paylaşım" açıldığında , denenen tüm bağlantılar 30 saniyeye kadar başarısız olur:

Oturum açma hatası: Kullanıcıya bu bilgisayarda istenen oturum açma türü sağlanmadı.

"Parola korumalı paylaşım" kapalıyken , anonim olarak erişilebilen paylaşımlara bağlantılara izin verilirken, izin kısıtlı paylaşımlar şunlarla başarısız olur:

\ SERVERNAME \ ShareName erişim izniniz yok. Erişim istemek için ağ yöneticinize başvurun.

Bu beklenen bir davranış gibi görünüyor. Anonim oturumlar ile belirli paylaşımlara erişebilmem gerekiyor, bu yüzden bu ayarı varsayılandan kapalı olarak değiştirmek zorunda kaldım .

ANCAK, burada üçüncü bir dava var. ( whaaaaat? )

Eğer bir paylaşıma bağlanmaya çalışırsanız bu ayarı değiştirilmiş almadan (olduğunu, bunun için ayarlanır üzerinde ama bunu tıklandığında hiç), bağlantı benzer davranır üzerinde o göstermek için 30 saniye kadar sürer ki yukarıdaki durumda bir yanıt, ama sonra bir kimlik doğrulama iletişim görüntüler :

Kimlik Doğrulamasını Paylaş İletişim Kutusu

Birkaç saat boyunca kafamı duvara çarptıktan sonra bu önsezi yaşadım ve sadece mevcut paylaşımları olmayan bir sunucuda çoğalttım: Anon-okuma paylaşımı oluşturun, bağlanmaya ve iletişim kurmaya çalışın, ayarı değiştirin, başarıyla bağlanın, ayarı değiştirin geri dönün ve farklı bir hata mesajı alın. (Tüm bunları yeni istemci sistemlerinde test ettik, böylece önbellekleme riski yoktu.)

Tekrarlamak gerekirse: İstemci sistemlerini kontrol ettim. Bu tamamen sunucu ile ilgili görünmektedir.

Bu nedenle, "Parola korumalı paylaşım" ayarının değiştirilmesinin perde arkasında birden fazla şeyi (kayıt defteri anahtarı? Mac-native'im) değiştirdiği ve sistemin birlikte teslim ettiği varsayılan ayarların eşleşmediği açıktır ayar kontrol paneline yansıtılır (veya kontrol panelinin kendisi bozulur ve daha fazla şey değişmelidir).

Yani soru şu: tasarım gereği mi, yoksa bir hata mı? Her iki durumda da, değiştirilen veya değiştirilmeyen "gizli ayar" nedir? Bunu nasıl izlerdiniz? Sınamak için yeni sunucular bitiyor. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
NReilingh
kaynak
Klasördeki EKL nedir ve paylaşımdaki izin nedir?
AWippler
Kayıt defterinin iki anlık görüntüsünü karşılaştırmak için regshot adlı bir proje kullanabilirsiniz (biri sistem başlatıldığında, ayar ayarlandıktan sonra bir, ayar ayarlandıktan sonra üçüncü). Ayrıca "yerel etki alanı / güvenlik ilkesi" ayarlarına göz atın ve "Bu Bilgisayara Ağdan Erişin " ayarını (diğer adıyla SeNetworkLogonRight ) kontrol edin. İşte değişikliklerin bazı bilgiler ve burada ayarlara ilgili bazı bilgiler verilmiştir .
mbrownnyc
@NReilingh: ödülünü gönderdin, hiç çözebildin mi?
charleswj81
@ charleswj81 Cevabınız tam olarak aradığım şeydi! Sadece onunla oturmak için zaman bulmak zorunda kaldı. Şu anda fark ettiğim şey, Bilgisayar Hesaplarını Yönet kontrol panelindeki ve Sunucu Yöneticisi'ndeki Konuk Hesabı listelerinin her zaman etkinleştirilmiş veya eşitlenmemiş olarak görünmediğidir. Bu yüzden şimdi anonim ve şifreli bağlantı açısından test edilecek üç değişkenim var: "Parola Korumalı Paylaşım" açık veya kapalı, Sunucu Yöneticisi'ndeki Konuk hesabı etkin veya devre dışı ve Denetim Masası'ndaki Konuk hesabı açık veya kapalı.
NReilingh

Yanıtlar:

11

Bu gerçekten ilgimi çekti. Laboratuvarımdaki bulgularınızı, tanımladığınız sonuçlarla aynı şekilde kopyalayabildim. Procmon'u hangi değişikliklerin yapıldığını görmek için kullandım ve aşağıdakileri görene kadar neredeyse vazgeçtim:

procmon konuk hesabı değiştirildi

Bu, yerel SAM'a lsass.exe'yi (Yerel Güvenlik Yetkilisi) yazmayı ve yerleşik Guest hesabında (iyi bilinen RID 501) bir değişiklik yapmayı gösterir. Elbette, Konuk hesabının durumunu izlerken senaryonuzu tekrar test ettiğimde, "Parola korumalı paylaşım" devre dışı bırakıldığında etkinleştirildiğini görüyorum. Ancak, "Parola korumalı paylaşım" yeniden etkinleştirildiğinde, konuk hesabı yeniden devre dışı bırakılmaz. Konuk hesabını el ile devre dışı bırakma özgün işlevselliği geri yükler: Kimlik bilgileri istenir (yani üçüncü durumunuz).

Bunun neden böyle davrandığından emin değilim. Dürüst olmak gerekirse, bugün bile "Parola korumalı paylaşım" ayarını hiç değiştirmedim (veya bu konuda fark ettim). Umarım bu projenize yardımcı olur. Başka biri daha fazla kazmakla ilgileniyorsa, bu davranışın Server 2012/2012 R2'de hala mevcut olup olmadığını bilmek ilginç olacaktır ...

Oh ve orijinal sorularınıza (Bu tasarımla mı yoksa bir hata mı?), En ufak bir fikrim yok ...

charleswj81
kaynak
Bunun doğru olduğunu onaylayabilirim. Bugün daha erken bir W2K8 sunucusu kurmak zorunda kaldı ve ben etki alanına katılmadan önce bu çoğaltmak olabilir. Konuk hesabının manuel olarak devre dışı bırakılması gerekir. Bu yapıldıysa, davranış normal olarak kabul ediyorum: Bir zaman aşımı kullanıcısı doğru (sunucu perspektifinden) kimlik bilgilerini sağlamanız istenir. (PS: Bu kanlı zaman aşımının neden bu kadar uzun olduğunu hiç anlamadım. Orijinal kimlik bilgileri zaman aşımı süresi boyunca sihirli bir şekilde geçerli olacak gibi değil. Öyleyse neden beklemiyorsun?)
Tonny
2

Sorunuzu doğru anladıysam, paylaşımların kimlik bilgileri kontrol panelinin altındaki Kimlik Bilgisi Yöneticisi'ne kaydedilir.

Kimlik doğrulama iletişim kutusunu sormak için, kimlik bilgisi Yöneticisi altında bu paylaşımla ilgili kimlik bilgilerini silmeniz yeterlidir.

'Kimlik bilgilerimi hatırla' seçeneğini işaretlediğinizde, bu genellikle Kimlik Bilgisi Yöneticisi altına kaydedilir ve bu şifre yanlışsa, oturum açma hatası hatasını görürsünüz.

Soğuk T
kaynak
Hayır; Her üç vakayı da önbelleğe alınmış kimlik bilgileri olmadan yeni bir istemci sisteminde test ettim. (Ve bu durumda, girilen herhangi kimlik bilgisi Ben erişim izni vermiş olur.) Ben ettik sadece zaman hiç "Parola korumalı paylaşımı" dokundu olmasaydı bu kimlik doğrulama iletişim görülür.
NReilingh
Ben istemi alıyordu ama istemiyordu zıt sorun (burada: serverfault.com/q/619027/175650 ) vardı. Görünüşe göre, kötü bir kimlik kaydım vardı ve yayınınız, silmek ve sorunumu çözmek için beni doğru yönde gösterdi. Teşekkürler!
SenorAmor
0

Size yardım edemeyebilir, ancak olması durumunda - Kullanıcılarımın bir paylaşıma erişemediğini (eski şifreleri Windows tarafından önbelleğe alınır) aramalarım var ve bunları yapmamı sağlıyor:

net kullanım * / D

ETL
kaynak
Soruda söylediğim gibi, müşteri için kontrol ettim. Her test için yeni bir sistem kullandım, bu nedenle kimlik bilgilerini önbellekleme riski yoktu.
NReilingh
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.