Início / user-49475

SeanKilleen's questions

Martin Hope
SeanKilleen
Asked: 2025-03-20 03:56:54 +0800 CST
  • 10

Fundo

Eu herdei um grupo de servidores Windows Server 2019 recentemente. A configuração não é... ideal. Eles são todos parte de um grupo de trabalho, myworkgroup, mas não há domínio envolvido. Cada um tem sua própria conta de administrador local, theadmin. Todas as theadmincontas locais têm a mesma senha. Um servidor tem uma pasta compartilhada habilitada.

O layout geral se parece com:

  • ServidorA
    • Compartilhamento de arquivo: C:\Shared(nome: "Compartilhado")
    • Administrador local: ServerA\theadmin(mesma senha, por exemplo redactedpw1234)
  • ServidorB
    • Administrador local: ServerB\theadmin(mesma senha, por exemplo redactedpw1234)
  • Servidor C
    • Administrador local: ServerC\theadmin(mesma senha, por exemplo redactedpw1234)
  • ServidorQA
    • Administrador local: ServerQA\theadmin(mesma senha, por exemplo redactedpw1234)

O desafio

Em algum momento — difícil precisar exatamente quando — a theadminconta ServerQA agora consegue ler \\ServerA\Shared, mas não consegue modificar ou excluir arquivos (observei um problema com uma tarefa agendada em execução nessa conta e depois verifiquei pelo Windows Explorer enquanto estava conectado com essa conta).

As contas do ServerB e do ServerC theadminnão parecem ter esse problema. Quando conectado na theadminconta local nessas duas máquinas, posso olhar \\ServerA\Sharede modificar/criar/excluir arquivos conforme o esperado.

Então meu desafio pode ser resumido como:

  • ServerB, ServerC, e ServerQAparecem ter a mesma configuração
  • ServerBpode acessar \\ServerA\Shareno Windows Explorer e criar/modificar arquivos
  • ServerCpode acessar \\ServerA\Shareno Windows Explorer e criar/modificar arquivos
  • ServerQAconsegue ler \\ServerA\Shareno Windows Explorer, mas recebe um erro de permissão ao tentar criar ou modificar arquivos.

Coisas que eu tentei

  • Reiniciando o ServerQAservidor
  • Get-SmbConnectionem todos os servidores.
    • O padrão de configuração parece ser o mesmo no ServerB, ServerC e ServerQA - O usuário é listado como [TheMachine]\theadminem cada caso, e a credencial é a mesma. Então, todos eles estão usando suas theadmincredenciais locais.
    • O dialeto é 3.1.1para todas as máquinas.
  • Get-SmbMultichannelConnectionparece mostrar o mesmo padrão para todos eles.
    • Interface index [The Ethernet1 index for the server], RSS: True, RDMA: False
  • Tentou remover e restabelecer o compartilhamento
    • No ServerQA,net use /delete \\ServerA\Shared
    • No ServerA Get-SmbSessione, em seguida, Close-SmbSessionpara fechar todas as sessões dessa máquina
    • No ServerQA, net use \\ServerA\Shared /user:ServerQA\theadmin redactedpw1234para restabelecer
    • No ServerQA, net usee Get-SmbConnectionpara confirmar que as coisas estão configuradas conforme o esperado
  • Executei whoami /allem todos os servidores e verifiquei se todas as contas locais estão nos mesmos grupos locais.
  • Verifiquei os logs de eventos SMBClient e SMBServer nos respectivos servidores. Nada se destaca.
  • Verifiquei o registro. Todos os servidores têm os mesmos valores emHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
    • Embora eu possa estar faltando em algum outro lugar que eu deveria procurar?
  • Get-SmbClientConfigurationretorna o mesmo resultado exato em todos os servidores
  • Instalou o módulo powershell NTFSSecurity e executou Get-NTFSEffectiveAccess -Path \\ServerA\Sharedde todos os servidores. Todos retornaram o resultado.
  • Em ServerA, correu icacls "C:\Shared". Isso retornou ServerA\theadmin como tendo acesso, mas nenhuma das outras contas de administrador específicas da máquina. Então, estou assumindo que isso não é tão relevante.
  • Em ServerA, correu Get-SmbShareAccess -Name "Shared". O ServerA\theadminusuário estava nos resultados, mas nenhum dos theadminusuários das outras máquinas foi mencionado especificamente.
  • Continuei e comparei os resultados. Há diferenças em privilégios, mas, até onde posso perceber, eles parecem refletir SIDs locais. Mas estou menos familiarizado com isso secedit /export /cfg c:\Windows\temp\secpol.cfg.ServerBServerQA
  • Em cada servidor, executei gpresult /he comparei os arquivos HTML. Até onde posso perceber, não há diferenças.
  • Por uma ótima tentativa de resposta abaixo, eu verifiquei o ServerQAregistro do servidor para ver se HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicyestava definido 1como deveria. Infelizmente, já está.

Pergunta

Considerando tudo isso, como posso determinar qual é a diferença entre o acesso de ServerQAvs ServerBou ServerCnesta situação? Há alguma ferramenta adicional que eu deva considerar? Há algum ponto comum de solução de problemas que estou esquecendo para determinar a diferença entre servidores? Estou perdido.

Atualização: está mais perto?

Após reiniciar ServerA(que hospeda o compartilhamento de arquivos) e ServerQA(o cliente problemático), os sintomas pareceram desaparecer por cerca de 10 minutos. Consegui modificar arquivos e ver as tarefas agendadas sendo executadas conforme o esperado e modificando arquivos. Então os sintomas retornaram sem nenhuma ação da minha parte e permaneceram assim.

windows
Martin Hope
SeanKilleen
Asked: 2015-09-15 09:19:03 +0800 CST
  • 5

Antecedentes / Objetivo

As partes móveis:

  • Eu tenho uma conta de serviço, vamos chamá-la de MyDomain\svcMyService.
  • Eu tenho um servidor remoto, vamos chamá-lo de MyDomain\MyServer.
  • Eu tenho um servidor Jenkins, vamos chamá-lo de MyDomain\MyJenkins.

Em Jenkins, tenho uma tarefa de implantação. Ele pega alguns artefatos e, em seguida, chama msdeploypara enviá-los para o MyServer.

Esta etapa de implantação falha e gostaria de descobrir o motivo.

O comando MSDeploy que estou usando

O comando é gerado automaticamente pelo Jenkins e acaba sendo o seguinte (dados confidenciais omitidos):

 "C:\Program Files\IIS\Microsoft Web Deploy V3\msdeploy.exe" -verb:sync -source:iisApp="E:\Jenkins\jobs\NotARealJobName\workspace" -dest:iisApp="MyWebSite/MyWebApp",ComputerName="https://MyServer:8172/MsDeploy.axd",UserName=MyDomain\svcMyService,Password="NotARealPassword" -allowUntrusted

O erro

A mensagem de erro que vejo da saída msdeploy é:

Código de erro: ERROR_USER_UNAUTHORIZED Mais informações: Conectado ao computador remoto ("MyServer") usando o Web Management Service, mas não pôde autorizar. Verifique se você está usando o nome de usuário e a senha corretos, se o site ao qual está se conectando existe e se as credenciais representam um usuário com permissão para acessar o site. Saiba mais em: http://go.microsoft.com/fwlink/?LinkId=221672#ERROR_USER_UNAUTHORIZED .

Erro: O servidor remoto retornou um erro: (401) Não autorizado.

Minha compreensão do que devo fazer

Esta pode ser uma lista incompleta ou incorreta. Por favor, diga-me se é aqui que o problema pode estar.

Acho que devo:

  • Instale o WebDeploy no IIS (3.6 é o mais recente neste caso).
  • Habilite o serviço de gerenciamento no IIS.
  • Crie um pool de aplicativos executado como MyDomain\svcMyService.
  • Sim, o mesmo nome de usuário que implanta também está executando. Não é o melhor, eu sei. Fora de minhas mãos no momento.
  • Crie o diretório para meu aplicativo da Web do IIS.
  • Conceda permissões neste diretório.
    • Permissões totais parasvcMyService
    • Permissões totais paraWDeployAdmin
    • Permissões totais para NetworkService(já que é assim que o WMSvc é executado)
  • Crie o Web Site com a porta apropriada
    • O site deve ser executado no pool de aplicativos da conta de serviço
    • O site deve se conectar à pasta usando a svcMyServiceconta.
  • Crie um aplicativo da web no site.
    • O site deve se conectar à pasta usando a svcMyServiceconta.
    • Adicione a svcMyServiceconta como um gerenciador de implementação no site e no nível do aplicativo.
  • Certifique-se de que o local WDeployConfigWritere as WDeployAdmincontas não tenham expirado e que suas senhas não possam ser alteradas.
  • Certifique-se de que a delegação de gerenciamento do IIS esteja usando contas WDeployConfigWritere WDeployAdmine atualize essas credenciais para cada delegação se você alterou a senha dessas contas locais.

Solução de problemas até agora

Manterei esta lista atualizada enquanto tento solucionar o problema.

Verifique os logs WMSvc IIS - parece que meu usuário não tem direitos para publicar

  • A amostra do log está abaixo:

#Fields: data hora s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time -taken 2015-09-14 17:10:06 [IP do servidor] HEAD /MsDeploy.axd - 8172 - [Jenkins IP] - - 401 2 5 15

Vejo que todos os status são 401.2 com um código win32 de 5.

De acordo com este link de solução de problemas , "Se o usuário estiver autenticado, mas não tiver os direitos necessários para publicar, a entrada de log será semelhante" a ( 401 2 5).

Artigos referenciados

iis