供应商正在尝试使用 nt authority/system 映射和保留网络驱动器;因此当服务器的交互式会话丢失时,该驱动器仍会保持持久性。他们能够在一台服务器 (Windows 2008 R2) 上执行此操作,但无法在第二台计算机 (也是 Windows 2008 R2) 上执行此操作。
D:\PsExec.exe -s cmd.exe
PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. all rights reserved.
C:\Windows\system32>whoami
nt authority\system
C:\Windows\system32>net use
New connections will be remembered.
Status Local Remote Network
--------------------------------------------------------------------
OK X: \\netapp1\share1 Microsoft Windows Network
The command completed successfully.
C:\Windows\system32>net use q: \\netapp1\share1
System error 1808 has occurred.
The account used is a computer account. Use your global user account
or local user account to access this server.
C:\Windows\system32>
我不确定如何设置“机器帐户映射”,它将保留映射的 Netapp 路径的驱动器号,以便运行 Windows 服务的服务帐户在服务器上的交互式登录过期后可以继续访问共享。由于他们能够在一台服务器上执行此操作,但不能在另一台服务器上执行此操作,所以我不确定如何解决问题?有什么建议吗?
答案1
是否有可能无法验证您使用的主机的计算机帐户是否真正属于该域?
我对 NetApp 的 AD/身份验证和授权集成方法一无所知,但可能的弱点可能是 ACL(machineaccount1 被允许访问而 machineaccount2 则不允许)、域信任(NetApp 能够验证 machineaccount1 属于域 1 但不能验证 machineaccount2 属于受信任域)或 AD 复制问题(如果验证 machineaccount2 所需的信息不存在于 NetApp 查询的 DC 上)。
編輯:NetApp 的支持论坛上也曾有人问过类似的问题与此同时,它有一个有希望的答案——DNS 注册netapp1和用于访问它的实际地址不匹配可能会导致 Kerberos 身份验证失败,从而导致此错误消息。该线程还引用了 NetApp 的知识库 2013374其中似乎包含了更多信息,但需要有效登录 NetApp 的支持站点才能查看。
答案2
由于它在一台机器上运行而在另一台机器上运行不成功,所以我会检查 netapp 日志以查看它是否拒绝从该服务器连接到共享。