Не заходит на файловый сервер
В этой статье предоставляется решение для решения проблем с ошибками доступа к распределенной файловой системе (DFSN).
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 975440
Применение hotfixes (сервер и клиент)
Для Windows 7 и Windows Server 2008 R2 применим следующий Windows 7 Корпоративная фикс:
Кроме того, применим следующие горячие фиксы:
Все ответы
Возможность подключения только по IP, но не по имени - симптом проблем протокола аутентификации Kerberos. Чтобы убедиться, что причина в этом, можно включить регистрацию событий Kerberos на проблемном компьютере и, может быть, на файл-сервере.
PS И, в любом случае, стоит проверить репликацию между контроллерами домена. Для проверки можно использовать на каждом КД (на Win2012R2 - обязательно из командной строки в режиме администратора) команду repadmin /showrepl. Можно вместо нее использовать команду dcdiag /q - она в числе прочих тестов проверяет и репликацию.
На проблемном компьютере время установлено правильное? Такое же как и на сервере (если сравнивать по UTC на клиенте и сервере)?
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
От сервера или для сервера? Подробности можно?
Т.е., если смотреть на нужный билет в выдаче klist, в каком поле "просто рабочая машина" - "Server"(это поле указывает, куда предоставлен доступ) или "Kdc Called"?
PS Правильное содержимое поля Server в билете для доступа - "cifs/имя.файл.сервера" Если такого билета нет - значит, почему-то билет этому пользователю не выдается.
В этой статье данная статья предоставляет решения проблемы, из-за которую псевдоним DNS CNAME не может получить доступ к файлам SMB-серверов.
Применяется к: Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 7 Пакет обновления 1
Исходный номер КБ: 3181029
Проверка параметров реестра
Проверьте параметры следующих значений реестра на файловом сервере:
DFS и конфигурация системы
Даже если подключение и разрешение имен работают правильно, проблемы с конфигурацией DFS могут привести к ошибке клиента. DFS использует данные конфигурации DFS, правильно настроенные параметры службы и конфигурацию сайта Active Directory.
Во-первых, убедитесь, что служба DFS запущена на всех контроллерах домена и на пространстве имен DFS/корневых серверах. Если служба запущена во всех расположениях, убедитесь, что ошибки, связанные с DFS, не сообщаются в журналах событий системы серверов.
Если администратор вносит изменения в пространство имен на основе домена, это изменение производится в мастере эмулятора контроллера основного домена (PDC). Контроллеры домена и корневые серверы DFS периодически опове- Если PDC недоступен или включен режим корневой масштабируемости, задержки репликации Active Directory и сбои могут помешать серверам выдавать правильные рефералы. Дополнительные сведения о режиме корневой масштабируемости см. в обзоре размера DFS Рекомендации.
Один из методов оценки состояния репликации — опрос состояния последней попытки репликации входящие для каждого контроллера домена. Для этого запустите команду repadmin.exe. Необходимый синтаксис для этой команды:
repadmin /showrepl * DN_of_domain
В этой команде * представлены все запрашиваемые контроллеры домена, а DN_of_domain — отличительное имя домена, например dc=contoso,dc=com.
Просмотрите состояние и время последней успешной репликации, чтобы убедиться, что изменения конфигурации DFSN достигли всех контроллеров домена. Необходимо изучить все сбои, которые сообщаются о входящие репликации в DC.
Кроме того, проблемы с конфигурацией сайтов Active Directory могут помешать серверам DFSN правильно определять клиентский сайт. Поэтому при настройке insite эти проблемы могут привести к сбоям в передаче. Служба DFSN передает клиента на сайт, анализируя исходный IP-адрес запроса клиента на направление. Служба DFS также передает каждый корневой целевой сервер на сайт, разрешая имя целевого сервера на IP-адрес. Чтобы оценить, может ли контроллер домена или корневой сервер DFS определить правильный сайт системы, запустите либо следующие команды локально на контроллерах домена и на сервере пространства имен DFS:
Добрый день. Компьютер под Windows 10 перестал заходить на файловый сервер по имени. По ip заходит. Оба участники домена. Файловый сервер на win 2003 является одним из контролеров домена, второй контролер на win2012R2. DNS отрабатывает. Такая проблема наблюдается только под одним пользователем. Под остальными такой проблемы нет. Ошибок в логе тоже не замечено. В какую сторону смотреть?
- Перемещено Dmitriy Vereshchak Microsoft contingent staff, Moderator 29 июля 2020 г. 23:25 Из MS Office
Решение
Чтобы устранить эту проблему на файловом сервере с протоколом SMB версии 1, добавьте значение в DisableStrictNameChecking реестр:
Расположение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Имя DWORD: DisableStrictNameChecking
Значение DWORD: 1
Не используйте DNS CNAMEs в будущем для файловой серверы. Если вы хотите по-прежнему давать альтернативные имена серверам, вы можете сделать это со следующей командой:
NETDOM COMPUTERNAME/ADD
Эта команда автоматически регистрирует SPNs для альтернативных имен.
Мы не рекомендуем устранять эту проблему для файлового сервера, который не Windows, введя следующие команды в окне командной подсказки на Windows компьютере. Необходимо войти в систему с учетными данными администратора домена. Затем нажмите кнопку Ввод в командной подсказке для регистрации SPN для CNAME устройства хранения файлового сервера Windows на основе:
- Если используется кластеризация Windows 2012 г., установите hotfix для клиентов на уровне Windows XP или Windows Server 2003: не удается получить доступ к ресурсу, который находится на Windows Server 2012 основенеудачного кластера .
- Если создается CNAME для кластерного имени, к которое подключаются клиенты, необходимо настроить свойства для этого кластерного имени, чтобы оно отвечало на CNAMEs: Настройка псевдонима для кластерной доли SMBс Windows Server 2012 .
Трассировка сети
Чтобы собрать сетевой след, выполните следующие действия:
Откройте окно командной подсказки, введите следующую команду и нажмите кнопку Ввод:
Удалите все существующие сетевые подключения File Server, заверив следующую команду:
Инициализация кэша всех имен путем удаления существующего кэша:
Чтобы удалить кэш DNS, введите следующую команду и нажмите кнопку Ввод:
Чтобы удалить кэш NetBIOS, введите следующую команду и нажмите кнопку Ввод:
Чтобы удалить кэш Kerberos, введите следующую команду и нажмите кнопку Ввод:
Чтобы удалить кэш ARP, введите следующую команду и нажмите кнопку Ввод:
Попробуйте подключиться к сетевой сети, введя следующую команду и нажав кнопку Ввод:
Чтобы остановить сетевой след в неудачном сценарии, введите следующую команду и нажмите кнопку Ввод:
Разрешение имен
Клиенты должны решить имя пространства имен DFS и всех серверов, на которые размещено пространство имен. Просмотрите выходные данные, ранее созданные dfsutil /pktinfo командами dfsutil /spcinfo и командами. Указанные имена серверов должны быть разрешены клиентом на IP-адреса.
Вы можете использовать следующие методы для проверки правильной функции разрешения имен.
ИМЕНА WINS и NetBIOS
Сбои в разрешении имен NetBIOS могут возникать из-за того, что отсутствуют записи имен или вы получили неправильный IP-адрес для имени. Чтобы проверить это, попробуйте получить доступ к контроллеру домена, используя только его имя компьютера NetBIOS (то есть с помощью net view \\2003server1 команды). Затем убедитесь, что указанные в списке акции являются теми, которые должны быть организованы сервером. В качестве администратора можно просмотреть кэш имен NetBIOS клиента с помощью команды для проверки всех разрешенных имен и nbtstat -c IP-адресов клиента. Рассмотрим приведенный ниже пример.
Имя | NetBIOS | Удаленный тип | Хост-адрес таблицы имен кэша | Life [sec] |
---|---|---|---|---|
2003server1 | UNIQUE | 192.168.1.11 | 462 |
Просмотрите следующие документы, чтобы устранить сбои WINS:
По умолчанию DFSN сохраняет имена NetBIOS для корневых серверов. DFSN также можно настроить для использования имен DNS для сред без серверов WINS. Дополнительные сведения см. в дополнительных сведениях о настройке DFS для использования полностью квалифицированных доменных имен в рефералах.
Вы можете просмотреть кэш разрешения DNS клиента для проверки разрешенных имен DNS. Для этого откройте командную подсказку и введите ipconfig /displaydns команду.
Рассмотрим приведенный ниже пример.
Windows Конфигурация IP
Просмотрите следующие документы, чтобы устранить ошибки DNS:
Захват сети может помочь вам диагностировать сбой разрешения имен. Перед выполнением захвата смойте кэшировать данные именования клиента. Если это сделать, вы не обналичаете проблемы, которые могут возникнуть в захвате, так как кэшировать данные или имена рефералов снова не будут запрашиваться по сети. Чтобы очистить кэши имен, запустите следующие команды в этом порядке:
- nbtstat -RR
- ipconfig /flushdns
- dfsutil /pktflush
- dfsutil /spcflush
Дополнительные сведения о Microsoft Network Monitor 3 см. в дополнительных сведениях о сетевом мониторе 3.
Дополнительные сведения о сетевом трафике, который наблюдается между клиентом и средой DFS на основе домена, см. в руб. Как работает DFS.
Дополнительные сведения о DNS и WINS см. в дополнительных сведениях о технологиях разрешения имен.
Симптомы
- Вы работаете на файловом сервере SMB, например Windows Server. На сервере есть файлы и ресурсы, настроенные с помощью их имени NetBIOS, доменного имени DNS с полной квалификацией (FQDN) и их псевдонима (CNAME).
- У вас есть клиент, который работает Windows 7, Windows Server 2008 R2 или более поздней версии Windows.
Если приложение или пользователь использует фактическое имя хранилища (имя NetBIOS или FQDN) для файлов или других ресурсов на сервере, использующем SMB, доступ будет успешным.
Когда приложение или пользователь использует псевдоним CNAME для файлов или других ресурсов на сервере, использующем SMB, и вы пытаетесь подключиться к акции на файловом сервере с его псевдонимом DNS CNAME. Например, вы пытаетесь подключиться к доле на файловом сервере с помощью псевдонима DNS CNAME:
В этом случае вы испытываете следующие действия:
Успешное Windows сервера 2008 R2 или Windows 7.
Открытая папка
\\uncpath недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Обратитесь к администратору этого сервера, чтобы узнать, есть ли у вас разрешения на доступ.
Ошибка logon. Имя целевой учетной записи неверно.
Ссылки
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Все ответы
Возможность подключения только по IP, но не по имени - симптом проблем протокола аутентификации Kerberos. Чтобы убедиться, что причина в этом, можно включить регистрацию событий Kerberos на проблемном компьютере и, может быть, на файл-сервере.
PS И, в любом случае, стоит проверить репликацию между контроллерами домена. Для проверки можно использовать на каждом КД (на Win2012R2 - обязательно из командной строки в режиме администратора) команду repadmin /showrepl. Можно вместо нее использовать команду dcdiag /q - она в числе прочих тестов проверяет и репликацию.
На проблемном компьютере время установлено правильное? Такое же как и на сервере (если сравнивать по UTC на клиенте и сервере)?
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
От сервера или для сервера? Подробности можно?
Т.е., если смотреть на нужный билет в выдаче klist, в каком поле "просто рабочая машина" - "Server"(это поле указывает, куда предоставлен доступ) или "Kdc Called"?
PS Правильное содержимое поля Server в билете для доступа - "cifs/имя.файл.сервера" Если такого билета нет - значит, почему-то билет этому пользователю не выдается.
Добрый день. Компьютер под Windows 10 перестал заходить на файловый сервер по имени. По ip заходит. Оба участники домена. Файловый сервер на win 2003 является одним из контролеров домена, второй контролер на win2012R2. DNS отрабатывает. Такая проблема наблюдается только под одним пользователем. Под остальными такой проблемы нет. Ошибок в логе тоже не замечено. В какую сторону смотреть?
- Перемещено Dmitriy Vereshchak Microsoft contingent staff, Moderator 29 июля 2020 г. 23:25 Из MS Office
Решение
Чтобы устранить эту проблему, необходимо оценить подключение к сети, разрешение имен и конфигурацию службы DFSN. Для оценки каждой из этих зависимостей можно использовать следующие методы.
Причина
Однако при проверке сетевого следа при неудачной установке сеанса SMB сеанса с ошибкой Kerberos KRB_AP_ERR_MODIFIED. Вот пример неудачного запроса на установку сеансов SMB в сетевом следе:
Если имя файлового сервера было разрешено с помощью DNS, клиент SMB привносим суффикс DNS в имя, предоставленное пользователем. То есть первым компонентом SPN всегда будет имя пользователя, как в следующем примере:
Эта попытка не удалась бы для более старых реализации SMB (Например, AIX Samba 3.5.8), которые не могут быть настроены для проверки подлинности Kerberos и не прослушивают порт прямого хоста SMB 445, а только в порту NetBIOS 139.
Если имя файлового сервера было разрешено с помощью другого механизма, например
- NetBIOS
- Разрешение многофаскальных имен link-local (LLMNR)
- Процессы протокола разрешения одноранговых имен (PNRP)
клиент SMB использует предоставленное пользователем имя, например следующее:
Все ответы
Возможность подключения только по IP, но не по имени - симптом проблем протокола аутентификации Kerberos. Чтобы убедиться, что причина в этом, можно включить регистрацию событий Kerberos на проблемном компьютере и, может быть, на файл-сервере.
PS И, в любом случае, стоит проверить репликацию между контроллерами домена. Для проверки можно использовать на каждом КД (на Win2012R2 - обязательно из командной строки в режиме администратора) команду repadmin /showrepl. Можно вместо нее использовать команду dcdiag /q - она в числе прочих тестов проверяет и репликацию.
На проблемном компьютере время установлено правильное? Такое же как и на сервере (если сравнивать по UTC на клиенте и сервере)?
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
по контролерам домена все ок. А вот по Kerberos есть непонятки, получаю билет от сервера который вообще не является сервером, а просто рабочая машина в сети.
От сервера или для сервера? Подробности можно?
Т.е., если смотреть на нужный билет в выдаче klist, в каком поле "просто рабочая машина" - "Server"(это поле указывает, куда предоставлен доступ) или "Kdc Called"?
PS Правильное содержимое поля Server в билете для доступа - "cifs/имя.файл.сервера" Если такого билета нет - значит, почему-то билет этому пользователю не выдается.
Добрый день. Компьютер под Windows 10 перестал заходить на файловый сервер по имени. По ip заходит. Оба участники домена. Файловый сервер на win 2003 является одним из контролеров домена, второй контролер на win2012R2. DNS отрабатывает. Такая проблема наблюдается только под одним пользователем. Под остальными такой проблемы нет. Ошибок в логе тоже не замечено. В какую сторону смотреть?
- Перемещено Dmitriy Vereshchak Microsoft contingent staff, Moderator 29 июля 2020 г. 23:25 Из MS Office
Причина
Эта ошибка обычно возникает из-за того, что клиент DFSN не может завершить подключение к пути DFSN.
Подключение может привести к сбой по любой из следующих причин:
- Невозможность подключения к контроллеру домена для получения направления пространства имен DFSN
- Невыполнение подключения к серверу DFSN
- Невыполнение сервером DFSN передачи папки
Симптомы
\\\ недоступны. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Обратитесь к администратору этого сервера, чтобы узнать, есть ли у вас разрешения на доступ.
Сведения о конфигурации не могут быть прочитаны с контроллера домена либо из-за недоступности компьютера, либо отказано в доступе.
Подключение
В этой статье подключение относится к возможности клиента связаться с контроллером домена или сервером DFSN. Если клиент не может завершить сетевое подключение к контроллеру домена или серверу DFSN, запрос DFSN завершается сбой.
Для проверки подключения можно использовать следующие тесты.
Определите, удалось ли клиенту подключиться к контроллеру домена для получения сведений о домене с помощью DFSUtil.exe /spcinfo команды. Вывод этой команды описывает доверенные домены и их контроллеры домена, обнаруженные клиентом через запросы рефералов DFSN. Это называется кэш домена.
Записи, отмеченные звездочкой (*), были получены через службу Workstation. Остальные записи были получены через рефералы клиентом DFSN. Записи, отмеченные знаком плюс (+), являются контроллерами домена, которые в настоящее время используются клиентом. Дополнительные сведения о процессах рефералов см. в справочной ссылке How DFS Works.
Чтобы оценить возможность подключения, попробуйте простое сетевое подключение к активному контроллеру домена с помощью IP-адреса. Например, введите любой из следующих команд:
Успешное подключение перечисляет все акции, которые находятся в контроллере домена.
Если подключение успешно, определите, возвращается ли допустимая реферал DFSN клиенту после доступа к пространству имен. Это можно сделать, просмотрев кэш рефералов (также известный как кэш PKT) с помощью DFSUtil.exe /pktinfo команды.
Если вы не можете найти запись для нужного пространства имен, это свидетельствует о том, что контроллер домена не возвращал направление. Сбои службы DFSN обсуждаются позже в этой статье.
Необходимо исследовать и устранять любые сбои контроллера домена или связи сервера пространства имен DFS. Дополнительные сведения о сетевых сведениях tCP/IP и устранении неполадок см. в технической справке TCP/IP.
Сбор параметров реестра
Чтобы собрать параметры реестра на файловом сервере, выберите Начните, выберите Выполнить, введите команду в поле Открыть, а затем выберите ОК. Повторите этот шаг для следующих команд:
Файлы параметров реестра (. ВИЧ) сохраняются в папке TEMP на файловом сервере.
Читайте также: