问题[server-message-block](server)

我有一个文件\\server\share\myApp\app.exe，少数人直接从共享中运行。我需要偶尔更新该文件，但由于 SMB 会话打开，它通常被锁定。

对于类似的 SMB 锁定文件，我的正常程序是关闭锁定它们的文件和会话，例如：

$openAppFiles = Get-SmbOpenFile | Where Path -like 'D:\Shares\myApp\*' 
$appSessions  = $openAppFiles | Select SessionID -Unique

Close-SmbOpenFile -FileID $openAppFiles.FileID -Force
Close-SmbSession -SessionID $appSessions.SessionID -Force

Extract-Archive $newZip -Destination 'D:\Shares\myApp\' -Force

但最近，我遇到了客户端能够重新连接并锁定我在那个小窗口内更新的一个或多个文件的问题。我可以测试尝试重命名文件，例如：

Rename-Item .\app.exe .\app.exe.bak

[Error] Rename-Item : The process cannot access the file because it is being used by another process.

有没有办法让我暂时阻止客户访问这些文件？

我考虑过暂时关闭共享，但我必须在下班后这样做。我也可以继续重新运行它直到它工作，但这也不一定能解决问题。我可以尝试哪些其他选择？

我们在测试 GPO 上将“ Microsoft 网络服务器：服务器 SPN 目标名称验证级别”设置为“客户端需要”。

我们的测试系统在它们的主机文件中有一些自定义机器别名，但是一旦打开该选项，我们就不能再使用机器别名访问 SMB 共享。

我一直在努力寻找有关这种互动的信息，所以希望有人能够在这里解释这种互动，是否有办法补救？

我在 Raspberry Pi 4 上安装了 Ubuntu Server 20.04。我正在尝试安装一个硬盘驱动器，该硬盘驱动器应该可供两个不同的 samba 用户（user1，uid=1001 和 user2，uid=1002）访问。我创建了一个包含这两个用户 (gid=1007) 的组，并在 fstab 中添加了以下条目

LABEL=WINHDD /mnt/winhdd ntfs-3g defaults,nls=utf8,dmask=077,fmask=177,gid=1007 0 0

我的 smb.conf 将共享列为

[winhdd]
    path = /mnt/winhdd
    read only = no
    browseable = no

但是，我无法从 Windows PC 访问 samba 驱动器（出现错误：当我单击映射的网络驱动器图标时，Windows 无法访问 \piserver\winhdd）。提供 uid 有效（使用与上图相同的掩码），但其他用户无法访问驱动器。如何成功授予两个 samba 用户访问共享的权限？

PS：我看到了几个问题和指南，其中 fstab 条目同时包含 uid 和 gid，通常相同，除了这个问题，但是当我同时使用 uid 和 gid 时，我无法与任何一个用户连接，就好像我没有提供一个uid。

谢谢！

设置

我们有一个在 Windows Server 2012 ( ad01.<domainroot>) 上运行的 AD 服务器。有一个 Samba 文件服务器在 Ubuntu 20.04 ( fs02.<domainroot>) 上运行。文件服务器是使用 winbind 加入域的。

在这篇文章中，我将使用<domainroot>作为AD.EXAMPLE.ORG的等效占位符，并将<workgroup>用于工作组。

问题

我们无法通过其主机名访问 samba 服务器/共享，我们收到一个网络错误，声称它无法访问：

.

如果使用 FQDN，问题也是一样的。

如果我通过它的 IP ( \\<fs02 IP>) 导航到它，它可以正常工作，因此共享本身似乎是正确的。（下面添加了 smb.conf）

我试过的

我最初的想法是检查 DNS，但nslookup fs02给了我正确的响应。我也可以毫无问题地ping它。

我也试过摆弄smb.conf，这是我目前使用的配置：

[global]
security = domain

workgroup=<workgroup>
realm=<domainroot>
netbios name = fs02

# === logging config ===
log file = /var/log/samba/%m.log
log level = 1

# === Backend setup ===

idmap config * : backend = tdb
idmap config * : range = 2000-9999
idmap config <workgroup> : backend = rid
idmap config <workgroup> : range = 10000-30000

winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes

inherit owner = yes
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

unix extensions = yes

# === Share definitions ===
# ... pruned ...

我最近将基于 Win2008R2 的旧域更新为基于 Win2019 的新域（具有常见的提升/降级/退役舞蹈）。这是一个非常小的办公室（3 人），所以这是一个单 DC 设置，旧的和新的 DC 都兼作文件服务器。

出于这个原因，我创建了一个 DNS 别名来将旧名称（即：）指向新名称（即olddc.example.com：）newdc.example.com。到目前为止，一切都很好：所有客户端都可以使用旧名称和新名称访问新的 DC/文件服务器。但是，我忘记将旧 DC 的名称（作为别名）正式添加到新 DC。换句话说，我没有发出类似的东西：

netdom computername newdc.example.com /add:olddc.example.com

今天我在新的 DC 上，由于肌肉记忆力不足，我试图通过旧名称（打开 Explorer 并写入\\olddc.example.com）来获得它自己的份额。Explorer 立即抱怨“错误的凭证”，而且确实显示了 Wireshark 转储STATUS_LOGON_FAILURE。我发出了netdom上面的命令（添加olddc.example.com为别名），问题就消失了：服务器现在可以通过旧名称查看自己的共享。

netdom我知道并理解为什么应该通过（或通过单独的setspn命令）添加备用/别名。然而，令我惊讶的是，即使没有提供这样的备用名称，所有 Win10 客户端都没有显示任何抱怨。

那么，为什么 Win10 客户端完全没有问题，而服务器立即从使用“未知”DNS 别名访问自己的共享中返回？是否由于服务器和客户端操作系统之间的一些不同设置？还是与访问环回共享有关？

问题

为什么 NetBios 过滤会影响 SMB3/连接到端口 445 的能力？

语境

一些用户（包括我自己）在从其家庭连接访问托管在 Azure Files 中的文件共享时遇到问题，收到以下错误。

Windows 无法访问 \myStorageAccount.file.core.windows.net\my-share\

检查名称的拼写。否则，您的网络可能有问题。要尝试识别和解决网络问题，请单击诊断。

错误代码：0x80070035

找不到网络路径

运行在线端口测试myStorageAccount.file.core.windows.net显示端口 445 已打开。

从我的本地机器运行Test-NetConnection -ComputerName 'myStorageAccountName.file.core.windows.net' -port 445会失败；尽管我的本地设备的防火墙软件没有阻止连接。

最终我发现原因出NetBios filter在我的路由器上；启用此功能后，与 Azure 文件共享上的端口 445 的连接失败；禁用它所有工作。

我的路由器文档还提到此过滤器会影响 SMB：

启用 NetBIOS 过滤器

出于安全原因，FRITZ!Box 中的 NetBIOS 过滤器默认开启。它会阻止 NetBIOS 数据包，这些数据包通常不需要在 Internet 中进行通信。仅当您使用必须与 Internet 交换 NetBIOS 数据包的应用程序时才禁用此过滤器。例如，SMB 访问 Strato HiDrive 就是这种情况。

我不确定这是否归结为路由器过滤逻辑中的一些错误，或者是否还有更多事情发生。

如果相关，我们启用了 RBAC 过滤（例如，我的帐户Storage File Data SMB Share Elevated Contributor分配了角色），并在我们的文件共享上启用了 AD ACLS（如John Savill 视频中所述）......尽管我认为那些不应该用于简单的端口测试？

我有一项服务需要与多台服务器建立 SMB 连接。使用具有访问权限的域帐户加入域的计算机没有问题。但是，我需要它连接到一些未加入的服务器。

• 该服务需要 Admin$ 共享的管理员权限。
• 内置管理员帐户被禁用。
• 我有创建的本地管理员用户名和密码。
• Windows 防火墙已关闭。
• 服务器在同一个子网上，它们之间没有防火墙。

最初 NTLM 被设置为 DENY ALL，我从来没有得到连接。当我将设置“降低”到拒绝所有域帐户时，我终于能够连接到测试服务器。但是，当我对生产服务器进行相同的更改时，我无法连接。

花了一段时间，但我意识到我正在使用测试系统上的内置管理员帐户。我们在所有生产服务器上禁用此内置帐户，并创建一个添加到本地管理员组的新帐户。

如果启用，我可以使用内置的管理员帐户进行连接。

C:\Windows\system32>net use \\Server\Admin$ /USER:Administrator P@$$w0rd1
The command completed successfully.

但是，使用本地管理员组的任何其他成员，我无法连接。

C:\Windows\system32>net use \\Server\Admin$ /USER:NewAdmin NewP@$$wd
System error 5 has occurred.
    
Access is denied

任何指导表示赞赏。

我们使用 JAAS 进行 Kerberos 身份验证。作为客户的要求，我们希望确保在与 KDC/AD 通信期间必须使用 SMB V2 或更高版本。

我有几个与此相关的基本问题。如果我听起来太天真，请原谅我。

1. SMB 协议在使用 Kerberos 身份验证和凭证委托（尤其是 JAAS）时是否真正发挥作用？
2. 如果是，那么我们有什么方法可以识别正在使用的 SMB 版本吗？例如，可能正在监控网络流量？
3. 实施 Kerberos + SMB 的最佳实践？对最新的 JCIFS（在 GIT 上可用）库有什么想法吗？

任何指针都非常感谢！谢谢，
布山

首先，我需要为我糟糕的技术和语言技能道歉。我会尽可能详细地描述一个问题。

有子网 172.16.10.0/24 在这个子网中我有 3 个服务器 1 个存储和 7 个工作站（实际数量更多）。所有这些机器都连接到 1 个单核交换机。

172.16.10.15/24 gw 172.16.10.1 - windows domain controller sovi.sk (FQDN dcsrv.sovi.sk) win serv 2008r2
172.16.10.11/24 gw 172.16.10.1 - Cluster1 (FQDN Cluster1.sovi.sk) win serv 2008r2
172.16.10.12/24 gw 172.16.10.1 - Cluster2 (FQDN Cluster2.sovi.sk) win serv 2008r2
172.16.10.13-14/24             - IBM system storage
172.16.10.1                    - VPN router.        
172.16.10.9                    - file server role (NetBios Name ClusterFS)  
10.62.17.130                   - windows domain controller System911.com (win serv 2008r2)

两台服务器和存储是故障转移集群的一部分。集群所需的 Sovi.sk Windows 域控制器。我们使用集群作为内部子网 172.16.10.0/24 的故障转移文件服务器。有很多文件夹为 sovi.sk 用户配置了 SMB 和 NTLM 权限。

我稍后描述的 7 个工作站 (win 7 x64 pro) 172.16.10.101-107/24 gw 1​​72.16.10.1 dns 10.62.17.130 是我们另一个域 System911.com 的一部分。

域 system911 是位于云服务（虚拟机 VMware）中的 Windows 域控制器，在 172.16.10.1 上配置的 NAT 允许我们的工作站访问域 System911.com（IP 10.62.17.130），但不适用于 sovi.sk 服务器。

7台工作站正在使用System911.com的帐号登录。一切正常。我正在使用 netbios 名称 \\ClusterFS\Share 通过网络路径从文件服务器上的这 7 个工作站访问文件服务器。Netbios 名称 ClusterFS 我写在工作站 System911.com 的文件主机中（之前我在 System911.com 域上创建了一条 A 记录，但后来我删除了它）。共享是文件夹的名称。在我录下这个网络路径后，窗口会要求我输入用户名和密码。我正在使用 sovi.sk 帐户，例如 [email protected] 并输入密码或 sovi\admin 并输入密码。我更喜欢第二种变体。在那之后，奇怪的事情开始了。出现窗口并显示“\\ClusterFS\Share 无法访问错误 0x800704cf”的消息。在我选择一个诊断按钮后，共享文件夹出现了！好的，之后一切正常。但大约几个小时后，文件夹变得无法访问。我试图再次访问一个文件夹，出现新的授权窗口，需要再次输入用户名和密码（输入正确的用户名和密码不能解决问题）授权窗口包含一条消息“系统检测到可能尝试危及安全。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。t 解决问题）授权窗口包含一条消息“系统检测到可能尝试破坏安全性。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。t 解决问题）授权窗口包含一条消息“系统检测到可能尝试破坏安全性。请确保您可以联系对您进行身份验证的服务器。” Windows 安全日志通知审计失败。

帐户无法登录。

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3  (network access)

Account For Which Logon Failed:
Security ID:        NULL SID
Account Name:       1011120         (this is username of system911.com)
Account Domain:     system911.com

Failure Information:
Failure Reason:     Unknown user name or bad password.
Status:         0xC000006D
Sub Status:     0xC0000064

Process Information:
Caller Process ID:  0x0
Caller Process Name:    -

Network Information:
Workstation Name:   system911-PC1
Source Network Address: 172.16.10.101
Source Port:        57380

Detailed Authentication Information:
Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

我启用了所有 NTLM 审计，但它没有提供任何适当的信息。在阅读了很多论坛后，我发现很多答案都认为这是 NULL SID 的攻击，但事实并非如此。子网 172.16.10.0 和 Internet 之间没有访问权限。这个工作站系统 911-PC1 和另外 6 个没有任何病毒。工作 NTLM、SMB、Kerberos 所需的所有端口都在服务器和工作站上打开。我什至尝试禁用服务器和工作站上的防火墙。在网络适配器上启用 TCP\IP 网络。

我也无法通过 IP \172.16.10.9\Share 访问 Share 文件夹。Cmd 命令 net use \ClusterFS 显示命令成功完成。如果我使用 net use \172.16.10.9 命令显示错误 1231。我在 system911-PC1 工作站上执行此 cmd 命令。集群验证测试成功通过，但有 1 个警告，只有一个可访问的子网（建议需要两个）。

我不知道如何启用通过 IP 访问文件夹，例如 \172.16.10.9\Share。我还需要知道当我访问 ClusterFS 上的共享文件夹时授权发生在哪里。访问共享文件夹的授权在哪里发生？在 ClusterFS 或 sovi.sk 域上，还是在 system911.com 域上？当我的工作站试图访问 ClusterFS 上的共享文件夹时，谁询问授权、ClusterFS、Sovi.sk 域或 system911.com 域？我无法在它们之间配置森林间信任，因为 system911.com 域作为服务从另一家公司提供给我。似乎是 NTLM 问题。但正如我稍后所描述的，在几个小时内一切正常。关于错误“系统检测到可能试图破坏安全性。” 文件服务器系统检测到工作站的尝试或系统？关于为什么几个小时后文件夹变得无法访问的任何想法？

在运行之前将可执行文件传输到本地计算机与直接从 SMB 共享运行它有什么区别。从共享运行它会将整个文件传输到一个临时位置然后执行它，还是从共享“流式传输”可执行文件，从而导致对带宽的影响延长更长的时间？