在 Windows 2012 服务器上,我有一个网络共享文件夹。问题是,我可以使用远程桌面连接访问这些资源,但当我使用 \serverIP 时,它还会询问我的用户名和密码,我输入了所请求的数据,但响应消息为“拒绝访问”。请帮忙。
当我尝试连接到共享时,此事件记录在服务器上的 Windows 安全日志中:
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2016-09-29T13:15:42.325867400Z
EventRecordID 35148404
Correlation
- Execution
[ ProcessID] 764
[ ThreadID] 4188
Channel Security
Computer ZFSERVER.zonafrancapc.co
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName Sistemas
TargetDomainName SISTEMAS-ZFPC
Status 0xc0000022
FailureReason %%2304
SubStatus 0x0
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName SISTEMAS-ZFPC
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress 192.168.250.110
IpPort 57825
答案1
根据我们在您的问题评论中的讨论,似乎您的客户端和服务器位于不同的子网中。
在这种情况下,服务器和/或客户端可能已经得到强化(通过安全更新) 以防止“SMB over NetBIOS”流量流出本地子网。
如果是这种情况,您可以通过添加/编辑下面的注册表值来解决您的问题(如上面链接的 MS 文章中所述)。
本地子网外的 NETBIOS 通信已得到强化。因此,默认情况下,某些依赖于 NETBIOS 的功能(如 SMB over NETBIOS)在本地子网外不起作用。要更改此新的默认行为,请创建以下注册表项:
子键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\参数
值名称:允许NBToInternet
类型:双字
价值:1
标志的默认值:0
目前尚不清楚是否必须在客户端和服务器上更新/添加此值,并且我目前还没有环境可以对此进行测试。
我只需在客户端和服务器上添加/更新注册表项,看看是否能解决问题(可能需要重新启动其中一个或两个)。如果能解决问题,那么您可以尝试从其中一个中删除它(请让我们知道您发现了什么)。
笔记:
如果你最终将此作为永久解决方案,则应考虑禁用 WPAD 以缓解初始漏洞,因为记录在原始安全公告中 (之后您需要检查以确保互联网浏览功能可以正常运行)。
解决方法
使用主机文件条目停止 WPAD
以管理员身份打开位于以下位置的主机文件: %系统驱动器%\ Windows \ System32 \ Drivers \ etc \ hosts
在主机文件中为 WPAD 创建以下条目: 255.255.255.255 wpad。
答案2
如果我正确阅读了事件文本,您尝试连接的服务器名为“ZFSERVER”,您连接的工作站是“SISTEMAS-ZFPC”,您尝试连接的用户名是“Sistemas”。
但是,基于此:
目标用户名 Sistemas
目标域名 SISTEMAS-ZFPC
看起来您正在尝试以“SISTEMAS-ZFPC\Sistemas”的身份进行连接,但这不是 ZFSSERVER 上的有效用户。
确定您应使用哪个用户名登录的一个好方法是使用 RDP 登录,转到命令行,然后运行“whoami”。显示的域\用户名就是提示您输入凭据时应输入的内容。
如果您确信在提示输入凭据时您已经输入了此信息,则服务器和工作站之间的“网络安全”设置可能不匹配。要检查这一点,请在每个系统上运行“secpol.msc”并比较以下设置:
Security Settings
Local Polices
Security Options
- Domain member: *
- Microsoft network server: *
- Microsoft network client: *
- Network security: *
请特别注意以下过去曾给我带来问题的设置:
<上面的前缀>:对安全通道数据进行数字加密或签名(总是)
<上面的前缀>:对安全通道数据进行数字加密(如果可能)
<上面的前缀>:对安全通道数据进行数字签名(如果可能)
网络安全:LAN Manager 身份验证级别
(我现在面前没有 Windows 2012 服务器,但我相信这些设置在 2012 年的命名方式相同。)
笔记:您可能需要重新启动工作站才能使所做的更改生效。