访问 Windows 群集文件 Server 2008 R2 中的共享文件夹时出现问题

首先，我需要为我糟糕的技术和语言技能道歉。我会尽可能详细地描述一个问题。

有子网 172.16.10.0/24 在这个子网中我有 3 个服务器 1 个存储和 7 个工作站（实际数量更多）。所有这些机器都连接到 1 个单核交换机。

172.16.10.15/24 gw 172.16.10.1 - windows domain controller sovi.sk (FQDN dcsrv.sovi.sk) win serv 2008r2
172.16.10.11/24 gw 172.16.10.1 - Cluster1 (FQDN Cluster1.sovi.sk) win serv 2008r2
172.16.10.12/24 gw 172.16.10.1 - Cluster2 (FQDN Cluster2.sovi.sk) win serv 2008r2
172.16.10.13-14/24             - IBM system storage
172.16.10.1                    - VPN router.        
172.16.10.9                    - file server role (NetBios Name ClusterFS)  
10.62.17.130                   - windows domain controller System911.com (win serv 2008r2)

两台服务器和存储是故障转移集群的一部分。集群所需的 Sovi.sk Windows 域控制器。我们使用集群作为内部子网 172.16.10.0/24 的故障转移文件服务器。有很多文件夹为 sovi.sk 用户配置了 SMB 和 NTLM 权限。

我稍后描述的 7 个工作站 (win 7 x64 pro) 172.16.10.101-107/24 gw 1​​72.16.10.1 dns 10.62.17.130 是我们另一个域 System911.com 的一部分。

域 system911 是位于云服务（虚拟机 VMware）中的 Windows 域控制器，在 172.16.10.1 上配置的 NAT 允许我们的工作站访问域 System911.com（IP 10.62.17.130），但不适用于 sovi.sk 服务器。

7台工作站正在使用System911.com的帐号登录。一切正常。我正在使用 netbios 名称 \\ClusterFS\Share 通过网络路径从文件服务器上的这 7 个工作站访问文件服务器。Netbios 名称 ClusterFS 我写在工作站 System911.com 的文件主机中（之前我在 System911.com 域上创建了一条 A 记录，但后来我删除了它）。共享是文件夹的名称。在我录下这个网络路径后，窗口会要求我输入用户名和密码。我正在使用 sovi.sk 帐户，例如 [email protected] 并输入密码或 sovi\admin 并输入密码。我更喜欢第二种变体。在那之后，奇怪的事情开始了。出现窗口并显示“\\ClusterFS\Share 无法访问错误 0x800704cf”的消息。在我选择一个诊断按钮后，共享文件夹出现了！好的，之后一切正常。但大约几个小时后，文件夹变得无法访问。我试图再次访问一个文件夹，出现新的授权窗口，需要再次输入用户名和密码（输入正确的用户名和密码不能解决问题）授权窗口包含一条消息“系统检测到可能尝试危及安全。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。t 解决问题）授权窗口包含一条消息“系统检测到可能尝试破坏安全性。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。t 解决问题）授权窗口包含一条消息“系统检测到可能尝试破坏安全性。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。

帐户无法登录。

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3  (network access)

Account For Which Logon Failed:
Security ID:        NULL SID
Account Name:       1011120         (this is username of system911.com)
Account Domain:     system911.com

Failure Information:
Failure Reason:     Unknown user name or bad password.
Status:         0xC000006D
Sub Status:     0xC0000064

Process Information:
Caller Process ID:  0x0
Caller Process Name:    -

Network Information:
Workstation Name:   system911-PC1
Source Network Address: 172.16.10.101
Source Port:        57380

Detailed Authentication Information:
Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

我启用了所有 NTLM 审计，但它没有提供任何适当的信息。在阅读了很多论坛后，我发现很多答案都认为这是 NULL SID 的攻击，但事实并非如此。子网 172.16.10.0 和 Internet 之间没有访问权限。这个工作站系统 911-PC1 和另外 6 个没有任何病毒。工作 NTLM、SMB、Kerberos 所需的所有端口都在服务器和工作站上打开。我什至尝试禁用服务器和工作站上的防火墙。在网络适配器上启用 TCP\IP 网络。

我也无法通过 IP \172.16.10.9\Share 访问 Share 文件夹。Cmd 命令 net use \ClusterFS 显示命令成功完成。如果我使用 net use \172.16.10.9 命令显示错误 1231。我在 system911-PC1 工作站上执行此 cmd 命令。集群验证测试成功通过，但有 1 个警告，只有一个可访问的子网（建议需要两个）。

我不知道如何启用通过 IP 访问文件夹，例如 \172.16.10.9\Share。我还需要知道当我访问 ClusterFS 上的共享文件夹时授权发生在哪里。访问共享文件夹的授权在哪里发生？在 ClusterFS 或 sovi.sk 域上，还是在 system911.com 域上？当我的工作站试图访问 ClusterFS 上的共享文件夹时，谁询问授权、ClusterFS、Sovi.sk 域或 system911.com 域？我无法在它们之间配置森林间信任，因为 system911.com 域作为服务从另一家公司提供给我。似乎是 NTLM 问题。但正如我稍后所描述的，在几个小时内一切正常。关于错误“系统检测到可能试图破坏安全性。” 文件服务器系统检测到工作站的尝试或系统？关于为什么几个小时后文件夹变得无法访问的任何想法？