Anonimowy dostęp do udziału SMB hostowanego na Server 2008 R2 Enterprise

13

Po pierwsze, przeczytałem ten post i całą masę postów spoza SF, które wydają się dotyczyć tego samego lub podobnego problemu, jednak nadal nie byłem w stanie rozwiązać mojego problemu.

W tej sytuacji mam trzy maszyny:

  • serwer przyłączony do domeny, na którym działa Server 2008 R2 Enterprise („serwer udostępniania”)
  • serwer testowy niepodłączony do domeny z systemem Server 2003 R2 SP2 („serwer testowy”)
  • przyłączona do domeny stacja robocza z systemem XP Pro SP3 („stacja robocza”)

Serwer udostępniania udostępnia udział w sieci, do którego serwer testowy musi uzyskać dostęp - jest to udział Source / Symbol Server do celów debugowania. Wierzę, że visual studio po prostu uzyskuje dostęp do udziału z własnymi poświadczeniami w tym przypadku, co oznacza, że ​​udział musi być dostępny anonimowo, ponieważ serwer testowy nie jest przyłączony do domeny i nie ma możliwości dostarczenia uwierzytelnienia domeny.

Próbowałem wiele rzeczy, aby uniknąć okna uwierzytelniania podczas uzyskiwania dostępu do udziału:

  • Włączyłem konto gościa na serwerze udostępniania i dałem mu pełne uprawnienia do udostępniania / NTFS dla udziału.
  • Dałem ANONIMOWEMU LOGONOWI pełne uprawnienia do udostępniania / NTFS do udziału.
  • Dodałem swój udział do „Dostępu do sieci: udziały, do których można uzyskać dostęp anonimowo” na LSP.
  • Wyłączyłem „Dostęp do sieci: Ogranicz anonimowy dostęp do nazwanych potoków i udziałów” na LSP.
  • Włączyłem opcję „Dostęp do sieci: Pozwól wszystkim mieć zastosowanie do anonimowych użytkowników” na LSP.
  • Dodano ANONIMOWE LOGOWANIE do „Dostęp do tego komputera z sieci” w LSP.
  • Dodano konto Gość do „Dostęp do tego komputera z sieci” w LSP.
  • Podjęto próbę udostępnienia udziału za pomocą przystawki MMC Zarządzanie udziałami i magazynowaniem.

Niestety, kiedy próbuję uzyskać dostęp do udziału z serwera testowego, nadal widzę monit i jestem zmuszony ręcznie wpisać „Gość”.

Próbowałem również tego przepływu pracy przy użyciu lokalnego konta administratora na stacji roboczej i to samo dzieje się zarówno z włączonym prostym udostępnianiem plików XP, jak i bez niego.

Masz pojęcie, dlaczego otrzymuję te wyniki lub co powinienem zrobić inaczej?

bwerks
źródło
Myślę, że zmieniłeś „serwer testowy” i „stację roboczą” na liście komputerów, czy po prostu tego nie przestrzegam?
charlesbridge
Przeprowadziłem ten rodzaj procedury wiele razy. Niektórych twoich kroków nie mam. Jedyną rzeczą, o której mogę myśleć, że brakuje, jest zapewnienie wszystkim dostępu do udziału i systemu plików. To pomaga?
Jeremy
tylko z ciekawości, czy używanie nowszego systemu operacyjnego (powiedzmy Windows 7 lub Windows Server 2008) zmienia cokolwiek w tym scenariuszu przyłączenia grupy roboczej do udziału w domenie? Uderza mnie, że serwer Win2k3 jest dość stary i może to problem z handshakingiem.
Jeff Atwood
Może być konieczne obniżenie ustawień NTLMv3 / Kerberos do LM. Nie pamiętam i nie mam go pod ręką.
Grizly,
Czy podczas próby połączenia z ukrytym dyskiem współdzielonym C $ został wyświetlony monit?
danno

Odpowiedzi:

4

Zrobiłeś wszystko poprawnie, z wyjątkiem konta lokalnego uzyskującego dostęp do udziału nie może być w obu systemach. Zasadniczo, jeśli konto inne niż domena, na którym działa twoja aplikacja, nosi nazwę „administrator”, nie możesz mieć konta lokalnego na serwerze domeny o nazwie „administrator”.

lllukej
źródło
2

Jeśli nazwa użytkownika, z której korzystasz przy logowaniu, istnieje na serwerze, ale ma inne hasło, zawsze wyświetli monit o podanie hasła bez względu na utworzone ustawienia gościa i anonimowe.

Spróbuj zalogować się przy użyciu nazwy użytkownika, która nie istnieje nigdzie na serwerze lub w jego domenie.

Inną opcją jest ustawienie hasła na serwerze autonomicznym dokładnie tak samo, jak na identycznym nazwie użytkownika w domenie.

QueBall
źródło
1
To właściwie dobra uwaga. Poświadczenia gościa (nie hasło jako takie) będą istniały na serwerze testowym i zostaną przekazane do serwera udostępniania, który zawiedzie jako błędny, na odwrót.
Grizly,
1

Co powiesz na mapowanie dysku sieciowego i stosowanie trwałej składni połączenia, byłoby coś takiego.

net use H: \ ścieżka \ do \ server \ PASSWORD_CLEAR_TXT / użytkownik: domena \ użytkownik / trwały: tak

jeśli w dowolnym momencie chcesz go usunąć, użyj h: / delete

Nick O'Neil
źródło
Wymaga to zalogowanego użytkownika, który nie zawsze jest dostępny.
NotMe,
Nie, wymaga skryptu i wpisu do rejestru w
folderze
1

Możliwe obejście tymczasowe. Możesz utworzyć lokalne konto użytkownika (dać uprawnienia do udostępniania) na „serwerze udostępniania” o takiej samej nazwie i haśle jak konto używane na „serwerze testowym” do uruchamiania aplikacji uzyskujących dostęp do udziałów.

Valeriy.N
źródło
0

Nie widzę, że dodałeś KAŻDEGO do uprawnień do udziału sieciowego / zabezpieczeń, do tej grupy należy dołączyć Gość (po włączeniu). Jak opisano tutaj .

Również kilka dobrych odpowiedzi tutaj , dotyczących podobnych pytań (2003).

BoyMars
źródło
3
Jak rozumiem, grupa Wszyscy nie ma zastosowania w tym scenariuszu, ponieważ znaczenie Każdy to „każdy uwierzytelniony użytkownik”, tj. Wszyscy domyślnie wykluczają LOGOWANIE ANONIMOWE. Mimo to, dla bezpieczeństwa, włączyłem ustawienie „Pozwól wszystkim mieć zastosowanie do anonimowych użytkowników”.
bwerks
0

Czy szczegółowo zapoznałeś się z tym artykułem (poniżej)? Jest to nie tyle lista kroków, ile szczegółowy, górny-dolny sposób działania tej funkcji.

http://www.minasi.com/newsletters/nws0312.htm

Brandon Langley
źródło
0

Czy próbowałeś jawnie dodać konto komputera, tj. Nazwa komputera $, aby mieć uprawnienia do udziału i przez NTFS? Oczywiście nie działałoby to z maszynami przyłączonymi do domeny.

Dave P.
źródło
0

Zawsze będzie monitował, dopóki nie zrobisz jednej z dwóch rzeczy. Oba wykonują to samo zadanie buforowania referencji (które, jak na ironię, w tym przypadku nie mają znaczenia, ale nadal muszą być obecne).

Jednym z nich jest zmapowanie dysku i utrwalenie mapowania. Drugim jest bezpośrednie otwarcie menedżera poświadczeń i dodanie loginu (dowolnego loginu) dla serwera, z którym się łączysz. Dostęp do Menedżera poświadczeń można uzyskać z elementu panelu sterowania użytkownika lub bezpośrednio w „Panelu sterowania \ Wszystkie elementy panelu sterowania \ Menedżer poświadczeń”.

Bryansix
źródło