主页 / server / 问题 / 659212
Accepted
Jesse
Asked: 2015-01-14 10:32:24 +0800 CST

为什么作为本地系统运行的进程访问 UNC 共享被视为 NT AUTHORITY\ANONYMOUS LOGON?

  • 772

我有一个 Windows 服务在 SERVER_X 上作为本地系统运行,它试图访问 SERVER_Y 上托管的 UNC 共享上的脚本。

根据下面的链接,我已授予 SERVER_X 的计算机帐户访问 SERVER_Y 上的 UNC 的权限。

如何授予对 LocalSystem 帐户的网络访问权限?

如何授予对域网络中本地 SYSTEM 帐户的共享文件夹的访问权限

但是,Windows 服务无法访问该文件(拒绝访问错误)。

dir \\SERVER_X\share
Access is denied.

在安全事件日志(在 SERVER_Y 上)中,我看到 SERVER_X 正在尝试以 NT AUTHORITY\ANONYMOUS LOGON 身份访问 UNC 共享。我认为我应该在安全事件日志中看到计算机帐户(即 DOMAIN\SERVER_X)。

安全事件

两台服务器都是 Windows Server 2003 SE SP2。

任何帮助将不胜感激!

windows-server-2003

3 个回答

  1. Best Answer

    我发现了这个Microsoft 博客,它让我看到了使用服务器的主机名与 CNAME 的对比。

    具体来说,以下片段:

    如果您回答了 DNS 名称解析,那么您将是正确的。如果名称解析在环境中不能正常工作,它将导致请求 Kerberos 票证的应用程序实际上为错误的服务主体名称请求服务票证。因此,如果您还记得我尝试连接到“ltwre-chd-mem1.chd.litwareinc.com”的远程文件服务器,但是 DNS 服务器找到了“ltwre-chd-mem1.litware.com”的记录。由于我们在“litwareinc.com”域中找到远程文件服务器,Kerberos 客户端请求“cifs/ltwre-chd-mem1.litwareinc.com”的服务票证,如 Kerberos 票证请求中所述,KDC 以 KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN 响应.

    和...

    实际上,有几种不同的方法可以“解决”这个问题:

    一个。找出 DNS 解析机器名称不正确的原因。

    一世。此名称是否有 HOST 或 CNAME 记录?

    ii. 您是否为 WINS 查找配置了 DNS 区域?

    和...

    如果您发现无法修复 DNS 问题,那么下一个最佳解决方案是让应用程序使用服务器的 FQDN。请记住,应用程序供应商需要参与才能使用此修复程序。

    注意:在 Windows Server 2008 主机上,我可以使用 CNAME 成功执行 dir 命令。

    解决方案 1:

    使用主机名而不是 CNAME。

    我验证了,如果我从 Windows Server 2003 主机使用主机名 (ie \\HOSTNAME\share) 而不是 CNAME (ie \\CNAME\share) 访问 UNC 共享,则访问将正常工作。

    示例 - 工作:

    dir \\HOSTNAME\share

    示例 - 不起作用:

    dir \\CNAME\share
Access is denied.

    解决方案 2:

    为 CNAME 设置 SPN(服务主体名称)。

    setspn -a HOST/CNAME SERVER

    完成此操作后dir \\CNAME\share

    另请参阅如何配置 Windows 机器以允许与 DNS 别名共享文件以获取更多信息。

    • 2

  2. 因为当您在没有先前建立的网络凭据的情况下访问 UNC 共享时,您最终会成为匿名的。本地SYSTEM 帐户显然不是有效的网络登录名。

    • 0

  3. 在用户帐户下运行服务以绕过问题。

    • 0

相关问题