Antes de mais nada, preciso me desculpar por minhas más habilidades técnicas e linguísticas. Vou tentar descrever um problema o mais detalhadamente possível.
Existe a sub-rede 172.16.10.0/24 Nesta sub-rede eu tenho 3 servidores 1 armazenamento e 7 estações de trabalho (contagem real são muitos mais). Todas essas máquinas conectadas a 1 switch de núcleo único.
172.16.10.15/24 gw 172.16.10.1 - windows domain controller sovi.sk (FQDN dcsrv.sovi.sk) win serv 2008r2
172.16.10.11/24 gw 172.16.10.1 - Cluster1 (FQDN Cluster1.sovi.sk) win serv 2008r2
172.16.10.12/24 gw 172.16.10.1 - Cluster2 (FQDN Cluster2.sovi.sk) win serv 2008r2
172.16.10.13-14/24 - IBM system storage
172.16.10.1 - VPN router.
172.16.10.9 - file server role (NetBios Name ClusterFS)
10.62.17.130 - windows domain controller System911.com (win serv 2008r2)
Dois servidores e armazenamento são partes do cluster de failover. Controlador de domínio do Windows Sovi.sk necessário para o cluster. Estamos usando o cluster como servidor de arquivos de failover para nossa sub-rede interna 172.16.10.0/24. Existem muitas pastas com permissões SMB e NTLM configuradas para usuários sovi.sk.
7 estações de trabalho (win 7 x64 pro) 172.16.10.101-107/24 gw 172.16.10.1 dns 10.62.17.130 que descrevi posteriormente fazem parte do nosso outro domínio System911.com.
O domínio system911 é um controlador de domínio do Windows localizado no serviço de nuvem (máquina virtual VMware) NAT configurado em 172.16.10.1 está dando às nossas estações de trabalho acesso ao domínio System911.com (IP 10.62.17.130), mas não para servidores sovi.sk.
7 estações de trabalho estão usando contas do System911.com para fazer logon. Tudo funciona bem. Estou acessando em um servidor de arquivos dessas 7 estações de trabalho em um servidor de arquivos por Network Path usando o nome netbios \\ClusterFS\Share. Nome Netbios ClusterFS Escrevo no arquivo hosts da estação de trabalho System911.com (antes disso crio um registro A no domínio System911.com, mas depois removo isso). Compartilhar é um nome de uma pasta. Depois de gravar esse caminho de rede, as janelas me pedem para inserir um usuário e uma senha. Estou usando contas sovi.sk, por exemplo, [email protected] e digite uma senha ou sovi\admin e digite uma senha. Prefiro uma segunda variante. Depois disso, coisas estranhas começam a começar. As janelas apareceram e mostram uma mensagem que "\\ClusterFS\Share is inaccessible error 0x800704cf". Depois de escolher um botão Diagnosticar, a pasta de compartilhamento apareceu! OK, depois disso tudo funciona como deveria ser. Mas depois de algumas horas as pastas ficam inacessíveis. Estou tentando acessar uma pasta novamente, apareceu a nova janela de autorização que exigia inserir nome de usuário e senha novamente (inserir nome de usuário e senha corretos não resolvem o problema) a janela de autorização contém a mensagem "O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que você pode entrar em contato com o servidor que o autenticou." Diário de segurança do Windows informado sobre falha de auditoria. t resolver o problema) a janela de autorização contém a mensagem "O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que pode entrar em contato com o servidor que o autenticou." Diário de segurança do Windows informado sobre falha de auditoria. t resolver o problema) a janela de autorização contém a mensagem "O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que pode entrar em contato com o servidor que o autenticou." Diário de segurança do Windows informado sobre falha de auditoria.
Uma conta falhou ao fazer logon.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3 (network access)
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: 1011120 (this is username of system911.com)
Account Domain: system911.com
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: system911-PC1
Source Network Address: 172.16.10.101
Source Port: 57380
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Estou habilitando todas as auditorias NTLM, mas não forneceu nenhuma informação adequada. Depois de ler muitos fóruns, descobri muitas respostas de que este é um ataque de NULL SID, mas não é. Não há acesso entre a sub-rede 172.16.10.0 e a internet. Esta estação de trabalho system911-PC1 e outras 6 não possuem vírus. Todas as portas necessárias para trabalhar com NTLM, SMB, Kerberos são abertas em servidores e estações de trabalho. Eu até tento desabilitar o Firewall em servidores e estações de trabalho. Rede sobre TCP\IP habilitada em adaptadores de rede.
Também não consigo acessar a pasta Compartilhar pelo IP \172.16.10.9\Share. Comando cmd net use \ClusterFS mostra que o comando foi concluído com sucesso. Se eu usar net use \172.16.10.9 o comando show error 1231. Este comando cmd eu executo na estação de trabalho system911-PC1. Os testes de validação de cluster são aprovados com sucesso, mas com 1 aviso, apenas uma sub-rede acessível (duas necessárias como recomendação).
Não sei como habilitar o acesso à pasta por IP por exemplo \172.16.10.9\Share. Também preciso saber onde ocorreu a autorização quando acesso uma pasta compartilhada no ClusterFS. Onde ocorreu a Autorização para acesso à pasta compartilhada? No ClusterFS ou no domínio sovi.sk ou no domínio system911.com? Quando minhas estações de trabalho tentam acessar pastas compartilhadas no ClusterFS que perguntam sobre autorização, ClusterFS, domínio Sovi.sk ou domínio system911.com? Não consigo configurar uma relação de confiança entre florestas, pois o domínio system911.com me dá de outra empresa como serviço. Parece problemas de NTLM. Mas, como descrevi mais tarde, tudo funciona bem por algumas horas. Sobre o erro "O sistema detectou uma possível tentativa de comprometer a segurança." O sistema do servidor de arquivos detecta uma tentativa ou sistema de estação de trabalho? Alguma ideia sobre por que depois de algumas horas as pastas ficam inacessíveis?