Como posso solucionar a diferença entre a conectividade SMB entre servidores?

Fundo

Eu herdei um grupo de servidores Windows Server 2019 recentemente. A configuração não é... ideal. Eles são todos parte de um grupo de trabalho, myworkgroup, mas não há domínio envolvido. Cada um tem sua própria conta de administrador local, theadmin. Todas as theadmincontas locais têm a mesma senha. Um servidor tem uma pasta compartilhada habilitada.

O layout geral se parece com:

• ServidorA
  • Compartilhamento de arquivo: C:\Shared(nome: "Compartilhado")
  • Administrador local: ServerA\theadmin(mesma senha, por exemplo redactedpw1234)
• ServidorB
  • Administrador local: ServerB\theadmin(mesma senha, por exemplo redactedpw1234)
• Servidor C
  • Administrador local: ServerC\theadmin(mesma senha, por exemplo redactedpw1234)
• ServidorQA
  • Administrador local: ServerQA\theadmin(mesma senha, por exemplo redactedpw1234)

O desafio

Em algum momento — difícil precisar exatamente quando — a theadminconta ServerQA agora consegue ler \\ServerA\Shared, mas não consegue modificar ou excluir arquivos (observei um problema com uma tarefa agendada em execução nessa conta e depois verifiquei pelo Windows Explorer enquanto estava conectado com essa conta).

As contas do ServerB e do ServerC theadminnão parecem ter esse problema. Quando conectado na theadminconta local nessas duas máquinas, posso olhar \\ServerA\Sharede modificar/criar/excluir arquivos conforme o esperado.

Então meu desafio pode ser resumido como:

• ✅ ServerB, ServerC, e ServerQAparecem ter a mesma configuração
• ✅ ServerBpode acessar \\ServerA\Shareno Windows Explorer e criar/modificar arquivos
• ✅ ServerCpode acessar \\ServerA\Shareno Windows Explorer e criar/modificar arquivos
• ❌ ServerQAconsegue ler \\ServerA\Shareno Windows Explorer, mas recebe um erro de permissão ao tentar criar ou modificar arquivos.

Coisas que eu tentei

• Reiniciando o ServerQAservidor
• Get-SmbConnectionem todos os servidores.
  • O padrão de configuração parece ser o mesmo no ServerB, ServerC e ServerQA - O usuário é listado como [TheMachine]\theadminem cada caso, e a credencial é a mesma. Então, todos eles estão usando suas theadmincredenciais locais.
  • O dialeto é 3.1.1para todas as máquinas.
• Get-SmbMultichannelConnectionparece mostrar o mesmo padrão para todos eles.
  • Interface index [The Ethernet1 index for the server], RSS: True, RDMA: False
• Tentou remover e restabelecer o compartilhamento
  • No ServerQA,net use /delete \\ServerA\Shared
  • No ServerA Get-SmbSessione, em seguida, Close-SmbSessionpara fechar todas as sessões dessa máquina
  • No ServerQA, net use \\ServerA\Shared /user:ServerQA\theadmin redactedpw1234para restabelecer
  • No ServerQA, net usee Get-SmbConnectionpara confirmar que as coisas estão configuradas conforme o esperado
• Executei whoami /allem todos os servidores e verifiquei se todas as contas locais estão nos mesmos grupos locais.
• Verifiquei os logs de eventos SMBClient e SMBServer nos respectivos servidores. Nada se destaca.
• Verifiquei o registro. Todos os servidores têm os mesmos valores emHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
  • Embora eu possa estar faltando em algum outro lugar que eu deveria procurar?
• Get-SmbClientConfigurationretorna o mesmo resultado exato em todos os servidores
• Instalou o módulo powershell NTFSSecurity e executou Get-NTFSEffectiveAccess -Path \\ServerA\Sharedde todos os servidores. Todos retornaram o resultado.
• Em ServerA, correu icacls "C:\Shared". Isso retornou ServerA\theadmin como tendo acesso, mas nenhuma das outras contas de administrador específicas da máquina. Então, estou assumindo que isso não é tão relevante.
• Em ServerA, correu Get-SmbShareAccess -Name "Shared". O ServerA\theadminusuário estava nos resultados, mas nenhum dos theadminusuários das outras máquinas foi mencionado especificamente.
• Continuei e comparei os resultados. Há diferenças em privilégios, mas, até onde posso perceber, eles parecem refletir SIDs locais. Mas estou menos familiarizado com isso secedit /export /cfg c:\Windows\temp\secpol.cfg.ServerBServerQA
• Em cada servidor, executei gpresult /he comparei os arquivos HTML. Até onde posso perceber, não há diferenças.
• Por uma ótima tentativa de resposta abaixo, eu verifiquei o ServerQAregistro do servidor para ver se HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicyestava definido 1como deveria. Infelizmente, já está.

Pergunta

Considerando tudo isso, como posso determinar qual é a diferença entre o acesso de ServerQAvs ServerBou ServerCnesta situação? Há alguma ferramenta adicional que eu deva considerar? Há algum ponto comum de solução de problemas que estou esquecendo para determinar a diferença entre servidores? Estou perdido.

Atualização: está mais perto?

Após reiniciar ServerA(que hospeda o compartilhamento de arquivos) e ServerQA(o cliente problemático), os sintomas pareceram desaparecer por cerca de 10 minutos. Consegui modificar arquivos e ver as tarefas agendadas sendo executadas conforme o esperado e modificando arquivos. Então os sintomas retornaram sem nenhuma ação da minha parte e permaneceram assim.