首先,我要为我糟糕的技术和语言能力道歉。我会尽量详细地描述问题。
有一个子网 172.16.10.0/24,在这个子网中,我有 3 台服务器、1 台存储和 7 个工作站(实际数量更多)。所有这些机器都连接到 1 个单核交换机。
172.16.10.15/24 gw 172.16.10.1 - windows domain controller sovi.sk (FQDN dcsrv.sovi.sk) win serv 2008r2
172.16.10.11/24 gw 172.16.10.1 - Cluster1 (FQDN Cluster1.sovi.sk) win serv 2008r2
172.16.10.12/24 gw 172.16.10.1 - Cluster2 (FQDN Cluster2.sovi.sk) win serv 2008r2
172.16.10.13-14/24 - IBM system storage
172.16.10.1 - VPN router.
172.16.10.9 - file server role (NetBios Name ClusterFS)
10.62.17.130 - windows domain controller System911.com (win serv 2008r2)
两台服务器和存储是故障转移群集的一部分。Sovi.sk Windows 域控制器是群集所必需的。我们将群集用作内部子网 172.16.10.0/24 的故障转移文件服务器。有许多文件夹为 sovi.sk 用户配置了 SMB 和 NTLM 权限。
我稍后描述的 7 个工作站(win 7 x64 pro)172.16.10.101-107/24 gw 172.16.10.1 dns 10.62.17.130 属于我们的另一个域 System911.com。
域 system911 是位于云服务(虚拟机 VMware)中的 Windows 域控制器,在 172.16.10.1 上配置的 NAT 使我们的工作站可以访问域 System911.com(IP 10.62.17.130),但不能访问 sovi.sk 服务器。
7 个工作站使用 System911.com 的帐户登录。一切正常。我使用 netbios 名称 \\ClusterFS\Share 通过网络路径从这 7 个工作站访问文件服务器。Netbios 名称 ClusterFS 我写入工作站 System911.com 的文件主机(在此之前,我在 System911.com 域上创建了一条 A 记录,但后来我删除了它)。Share 是一个文件夹的名称。在我记录此网络路径后,Windows 要求我输入用户和密码。例如,我使用的是 sovi.sk 帐户[电子邮件保护]并输入密码或 sovi\admin 并输入密码。我更喜欢第二种方法。之后,奇怪的事情开始发生。窗口出现并显示一条消息“\\ClusterFS\Share 无法访问,错误 0x800704cf”。在我选择“诊断”按钮后,共享文件夹出现了!好的,之后一切都正常。但大约几个小时后,文件夹变得无法访问。我再次尝试访问文件夹,出现了新的授权窗口,要求再次输入用户名和密码(输入正确的用户名和密码不能解决问题),授权窗口包含一条消息“系统检测到可能试图破坏安全。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通报了审核失败。
帐户登录失败。
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3 (network access)
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: 1011120 (this is username of system911.com)
Account Domain: system911.com
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: system911-PC1
Source Network Address: 172.16.10.101
Source Port: 57380
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
我启用了所有 NTLM 审计,但它没有提供任何正确的信息。在阅读了很多论坛后,我发现很多答案都说这是 NULL SID 攻击,但事实并非如此。子网 172.16.10.0 和互联网之间没有访问。此工作站 system911-PC1 和另外 6 个工作站没有任何病毒。服务器和工作站上打开了运行 NTLM、SMB、Kerberos 所需的所有端口。我甚至尝试在服务器和工作站上禁用防火墙。网络适配器上启用了 TCP\IP 上的网络。
此外,我无法通过 IP \172.16.10.9\Share 访问共享文件夹。Cmd 命令 net use \ClusterFS 显示命令已成功完成。如果我使用 net use \172.16.10.9,该命令会显示错误 1231。我在 system911-PC1 工作站上执行此 cmd 命令。集群验证测试成功通过,但出现 1 个警告,只有一个可访问子网(建议两个)。
我不知道如何通过 IP 启用对文件夹的访问,例如 \172.16.10.9\Share。此外,我需要知道当我访问 ClusterFS 上的共享文件夹时授权发生在哪里。访问共享文件夹的授权发生在哪里?在 ClusterFS 上、在 sovi.sk 域上,还是在 system911.com 域上?当我的工作站尝试访问 ClusterFS 上的共享文件夹时,他们会询问授权、ClusterFS、Sovi.sk 域还是 system911.com 域?我无法配置林间信任,因为 system911.com 域是另一家公司作为服务提供给我的。似乎是 NTLM 问题。但正如我稍后描述的,一切都运行良好几个小时。关于错误“系统检测到可能试图破坏安全。”文件服务器系统检测到尝试或工作站系统?有没有想过为什么几个小时后文件夹变得无法访问?
答案1
OP 报告:“问题已解决。我要求公司在硬件 VPN 网关上配置 NAT,以便我的服务器可以访问云服务。现在服务器是 System911 域的一部分。一切正常,没有任何安全警告。唯一尚未解决的问题是两个非从属域之间的 ntlm 授权。”