我正在尝试在 Brother MFC-9970CDW 打印机上设置网络扫描。根据 Brother 文档,打印机设置为连接到任何 CIFS 网络共享。我在打印机中应用了所有适当的设置,但当我尝试扫描文档时,却收到“发送错误”提示。
当我查看尝试连接到的 2008 R2 服务器的日志时,我可以在安全日志中看到打印机成功通过身份验证,但是没有记录其他任何内容。
我认为在身份验证后,打印机会立即发出 CIFS 请求,并且会发生某种错误,但是我似乎找不到任何方法来记录此信息以查明发生了什么。是否可以让 Windows 2008 记录 SMB/CIFS 流量?
跟进:
我安装了Microsoft netmon并捕获了与该事务相关的数据包:
510 2012 年 7 月 9 日下午 3:04:28 34.4277743 系统 192.168.1.134 192.168.1.10 SMB SMB:C;协商,方言 = NT LM 0.12 {SMBOverTCP:30,TCP:29,IPv4:22}
511 2012 年 7 月 9 日下午 3:04:28 34.4281246 系统 192.168.1.10 192.168.1.134 SMB SMB:R;协商,方言为 NT LM 0.12 (#0),SpnegoToken (1.3.6.1.5.5.2) {SMBOverTCP:30,TCP:29,IPv4:22}
519 2012 年 7 月 9 日下午 3:04:29 34.8986214 系统 192.168.1.134 192.168.1.10 SMB SMB:C;会话设置 Andx,NTLM 协商消息 {SMBOverTCP:30,TCP:29,IPv4:22}
520 2012 年 7 月 9 日下午 3:04:29 34.8989310 系统 192.168.1.10 192.168.1.134 SMB SMB:R;会话设置 Andx,NTLM 挑战消息 - NT 状态:系统 - 错误,代码 = (22) STATUS_MORE_PROCESSING_REQUIRED {SMBOverTCP:30,TCP:29,IPv4:22}
522 2012 年 7 月 9 日下午 3:04:29 34.9022870 系统 192.168.1.134 192.168.1.10 SMB SMB:C;会话设置 Andx,NTLM AUTHENTICATE MESSAGEVersion:v2,域:CORP,用户:PRINTSUPOFF,工作站:BRN001BA9AD1FE6 {SMBOverTCP:30,TCP:29,IPv4:22}
523 2012 年 7 月 9 日下午 3:04:29 34.9032421 系统 192.168.1.10 192.168.1.134 SMB SMB:R;会话设置 Andx {SMBOverTCP:30,TCP:29,IPv4:22}
525 2012 年 7 月 9 日下午 3:04:29 34.9051855 系统 192.168.1.134 192.168.1.10 SMB SMB:C;树连接 Andx,路径 = \\192.168.1.10\IPC$,服务 = ????? {SMBOverTCP:30,TCP:29,IPv4:22}
526 2012 年 7 月 9 日下午 3:04:29 34.9053083 系统 192.168.1.10 192.168.1.134 SMB SMB:R;树连接 Andx,服务 = IPC {SMBOverTCP:30,TCP:29,IPv4:22}
528 2012 年 7 月 9 日下午 3:04:29 34.9073573 系统 192.168.1.134 192.168.1.10 DFSC DFSC:获取 DFS 引荐请求,文件名:\\192.168.1.10\NSCFILES,MaxReferralLevel:3 {SMB:33,SMBOverTCP:30,TCP:29,IPv4:22}
529 2012 年 7 月 9 日下午 3:04:29 34.9152042 系统 192.168.1.10 192.168.1.134 SMB SMB:R;Transact2,获取 Dfs 引用 - NT 状态:系统 - 错误,代码 = (549) STATUS_NOT_FOUND {SMB:33、SMBOverTCP:30、TCP:29、IPv4:22}
531 2012 年 7 月 9 日下午 3:04:29 34.9169738 系统 192.168.1.134 192.168.1.10 SMB SMB:C;树断开连接 {SMBOverTCP:30,TCP:29,IPv4:22}
532 2012 年 7 月 9 日下午 3:04:29 34.9170688 系统 192.168.1.10 192.168.1.134 SMB SMB:R;树断开连接 {SMBOverTCP:30,TCP:29,IPv4:22}
如您所见,DFS 引用失败,事务被关闭。我看不出 DFS 引用失败的任何原因。我在网上能找到的唯一参考资料是:
https://bugzilla.samba.org/show_bug.cgi?id=8003
有人有解决方案吗?
答案1
针对成功和失败打开对象访问审核,并将审核条目添加到 MFC 应该连接到的文件夹/共享,用于我假设您已创建并配置 MFC 使用的 MFC 用户帐户。然后在服务器上的安全事件日志中查找与 MFC 用户帐户访问相关的事件。
答案2
正如我在后续文章中提到的,我安装了 Microsoft netmon 并捕获了与该事务相关的数据包。这帮助我识别了发生了什么,但我不确定为什么会产生 DFS 引用。我将在另一个问题中处理这个问题。