Локальные ресурсы windows 2003
Очень нужна ваша помощь. Стоит специфическая задача.
Только пожалуста, дочитайте до конца.
Есть Win 2003 Server. На нем подняты все роли (сам знаю, что это не рекомендуется однако такие условия поставлены)
Есть несколько машин по OS/2 4 Warp. На которых крутится специфическая задача. Проблема состоит в том, что я не могу увидеть общие ресурсы, расположенные на файл-сервере под 2003 Server.
Самое странное, что при попытке подключиться с этой же машинки под OS/2 на Windows 2000 Server все проходит гладко. Виден как сам сервер, так и все доступные ресурсы и можно, соответственно, их использовать.
При попытке подключиться к 2003 серверу я даже сам сервер в сетевом окружении не вижу, хотя сервак видит эту рабочую станцию по net view.
В логах 2003 сервера (секция «Безопасность») отражены следующие события (по порядку) :
| Реклама зарегистрируйтесь чтобы скрыть этот блок |
| Sacrificer Великий и Ужасный Сообщений: 2424 | создано: 18.05.2004 14:55:00 Попробуй в политике домена отключить digest auth, или включить, сейчас не помню, но у 2003 немного поменялась аутенфиация, про OS/2 ничего не скажу, но MS пишет что для нормальной работы старых клиентов типа W98/ME, это надо сделать. W95 вообще в домене 2003 не поддерживается |
| Stark2003 | создано: 18.05.2004 15:05:00 Во-первых спасибо за ответ.  Подскажи ветку, у меня Win 2003 Server русский, а я в политиках еще толком не очень разбираюсь. |
| Sacrificer Великий и Ужасный Сообщений: 2424 | создано: 18.05.2004 15:21:00 http://support.microsoft.com/default.aspx?scid=kb;en-us;555038 http://support.microsoft.com/default.aspx?scid=kb;en-us;308259 To disable SMB signing If software updates cannot be installed on affected domain controllers that are running Windows 95, Windows NT 4.0, or other clients that were installed before the introduction of Windows Server 2003, temporarily disable the SMB service signing requirements in Group Policy until you can deploy updated client software. You can disable SMB service signing in the following node of Default Domain Controllers policy on the domain controllers organizational unit: If domain controllers are not located in the domain controller’s organizational unit, you must link the default domain controller’s Group Policy object (GPO) to all organizational units that host Windows 2000 or Windows Server 2003 domain controllers. Or, you can configure SMB service signing in a GPO that is linked to those organizational units. |
| Stark2003 | создано: 19.05.2004 12:35:00 Привет, Sacrificer ! Прочитал по ссылкам. Сделал — эффект = 0 1. Сервер сети Microsoft: использовать цифровую подпись (всегда) — отключен 2. Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) — отключен 3. Сетевая безопасность: требования подписывания для LDAP клиента — нет 4. Член домена: всегда требуется цифровая подпись или шифрование 5. Член домена: цифровая подпись данных безопасного канала (когда возможно) — отключен 6. Член домена: шифрование данных безопасного канала (когда возможно) — отключен Причем на полуосевой машине я даже не вижу сервак в сетевом окружении. Может что с протоколами? |
| Sacrificer Великий и Ужасный Сообщений: 2424 | создано: 19.05.2004 13:30:00 Попробуй в конференциях на MS задать свой вопрос, может это и не возможно уже  |
| AnSol Admin.sys Сообщений: 2248 | создано: 19.05.2004 13:41:00 А «уровень проверки подлинности Lan manager»? Если только NTLMv2, то все, обломс для всех, кроме w2k и winxp |
| druid Сообщений: 157 | создано: 19.05.2004 13:49:00 А что стоит по HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\LMCompatibilityLevel ? если 2 и более, авторизует по нтлм, замени на 0 (так было по умолчанию в нт) |
| Stark2003 | создано: 19.05.2004 15:44:00 to AnSol : Стоит «Отправлять LM и NTLM ответы» Стояла 2, ставил 0, результат не поменялся Странно, что полуосёвая машина вообще его в сетевом окружении И заметьте, в логах, приведенных мной выше, время входа, получение прав и т.д. совпадает вплоть до секунды с временем «успешного»выхода пользователя. Еще раз хочу замеить, что в отличие от машины с OS/2, Windows 2003 Server видит ее в сетевом окружении. Вобщем я пока в полном ауте. Может 2003 сервер вообще не отвечает на запросы полуоси. Дурацкое предположение, но более умные мысли в голову уже не лезут. Может есть еще какие-нить мысли? С уважением, Владимир. |
| Solaris Сообщений: 3491 | создано: 19.05.2004 17:41:00 Небольшое исправление — Пользователю выдается квитанция на сеанс. — здесь ошибка .Билет на сеанс выдается протоколом керберос, а здесь пользователь аудентифицируется по нтлм .Пользователь аудентификацию проходит успешно однозначно, с доступом к в2к тоже не наблюдается проблем . Вообщем то действительно проблема в настройках в2к3, Sacrificer предложил наиболее возможный вариант возникновения проблемы, но увы . накати базовую доменную политику, если, например, делал изменения или же ставил политику с высшим приоритетом безопасности. И еще, сделай мастер броузером любой сервер под в2к сервер/проф, назначь бакапы из той же серии, стопони службу броузера на в2к3, затем через полчаса смотрим результат net view . |
| Stark2003 | создано: 20.05.2004 7:34:00 to Solaris : Спасибо за ответ и идею. > накати базовую доменную политику, если, например, делал изменения или же ставил политику с высшим приоритетом безопасности. Устанавливал w2k3 стандартным способом, неужели пропустил где-то что можно делать установку с различными уровнями безопасности? > И еще, сделай мастер броузером любой сервер под в2к сервер/проф, назначь бакапы из той же серии, стопони службу броузера на Вот тут не очень понял, к огромному сожалению. Можно подробнее? Кстати, я вносил вышеназванные изменения в групповую политику на уровне Подразделения. Кстати, там стоит чек-бокс «Блокировать наследование политики» Так толком и не понял этой формулировки. Установка галки говорит о том, что параметры данной политики перекрывают параметры политики более высокого уровня, например, на уровне домена? С уважением, Владимир. |
| Solaris Сообщений: 3491 | создано: 20.05.2004 9:15:00 Устанавливал w2k3 стандартным способом, неужели пропустил где-то что можно делать установку с различными уровнями безопасности? — можно после установки применить готовые политики с различными уровнями безопасности, если не делал, значит дефоултные, а в В2к3 они более жесткие по умолчанию и добавлены новые фичи . Я бы сверил ключи политик Security Setings на обоих системах, например, ключ «добавочные ограничения на анонимный логон выставлен по умолчанию в значение 2», стоит выставить в 1 . Comp. Config. — Windows settings — security settings — local policies- security options — Additional restriction. — Don’t allow . . Потом, нужно проверить наличие бага только с протоколом SMB или с другими протоколами тоже — хотя не должно .Установи IIS, подними Вэб и фтп, поставь Integrated Windows Authentication, смотри результат . По второму пункту лучше посмотри здесь http://www.networkdoc.ru/files/insop/win2000/masterbrowser.html http://www.osp.ru/win2000/worknt/23nt08.htm . Политики на уровне ОП с включенной опцией «Блокировать наследование политики» не наследуют вышестояшие политики |
| Dassburger Сообщений: 12 | создано: 22.05.2004 18:08:00 Только что поборол (тьфу-тьфу) такую проблему, но с win98 клиентом. Отменить использование IPSEC во всех правилах политики IPSEC. У меня заработало. Странно, но если вернуть эти настройки как были до отмены, то все все равно продолжит работать. Мистика какая-то. (или руки у меня кривые) |
| Stark2003 | создано: 24.05.2004 7:45:00 to Dassburger : Как, где. |
| Solaris Сообщений: 3491 | создано: 24.05.2004 9:14:00 Dassburger — Отменить использование IPSEC во всех правилах политики IPSEC. — прежде чем отменять сперва надо их назначить — по умолчанию ни одна из трех определенных политик IPSEC не назначена ! и назначить можно только одну из трех, предложенных системой, а в случае определения собственного правил (а) , то из общего числа . win98 ничего близко к IPSEC не имеет, этот протокол реализован для версий начиная с в2к . Для твоего случая вариант или более уместен, если не сказать больше . Stark2003 — если применил что-то из сказанного выше, то мог бы поделиться . если тебе в лом отвечать, то мне твои проблемы ваще до фени |
| Alexashka | создано: 24.05.2004 14:57:00 http://os2.in.ru peer стоит ? |
| Dassburger Сообщений: 12 | создано: 25.05.2004 19:33:00 Во-первых, политики IPSEC были настроены _на_сервере_, а не на клиенте. Во-вторых, IPSEC _был_ включен автоматически при установке роли PDC. |
| Dassburger Сообщений: 12 | создано: 25.05.2004 19:41:00 В настройках политик, пункт называется в духе IP Security Policy |
| Stark2003 | создано: 26.05.2004 8:49:00 Все! Поборол. HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\requiresecuritysignature=0 Однако очень интересный момент. Если сервер выключить, а затем его опять включить, то ключ опять принимает значение =1
Прошу прощенья, но отвечать мне нисколько не влом и обидеть тебя я никак не хотел. Просто получилось так, что исследование твоих предложений еще не бы ло закончено и я параллельно задал вопрос Dassburger . Прошелся я по твоим ссылкам, попробовал. Однако это не помогло. А теперь по-порядку. Попробовал я browstat, он показал, что все нормально. Поуосевая станция отвечала. вот результаты browstat view 1 \\MOST1 OS2 37.00 (W,S) Однако тоже самое проделать на машине с полуосью я не мог, к большому сожалению ибо там таких утилей нет. nbstat не отрабатывал, так как такового просто нет
Поднимал все впорядке, все работало Ну вот собственно и все. Как я вышел из положения написал выше. Dassburger : А где это в политиках отключается. И в PDC тоже не понял. Сообщений: 3491 | создано: 26.05.2004 8:50:00 политики IPSEC были настроены _на_сервере_, а не на клиенте — на клиентах, начиная,с В2к настроены политики по умолчанию, но не назначены IPSEC _был_ включен автоматически при установке роли PDC. — брехня |
| Stark2003 | создано: 28.05.2004 7:11:00 Раскопал. ОТкрываем на сервере Пуск -> Администрирование -> Политика безопасности контроллера домена Затем, Параметры безопасности -> Локальные политики -> Параметры безопасности. Устанавливаем параметр «Сервер сети Microsoft: использовать цифровую подпись (всегда) » в позицию «Отключен» и все работает Если просто менять в реестре руками (см. мой предыдущий пост) , то, по крайней мере после перезагрузки, система возвращает параметр в то состояние, которое было до изменения to Solaris , обязательно посмотри мой предыдущий пост. Всем спасибо за участие . |
| Solaris Сообщений: 3491 | создано: 29.05.2004 10:35:00 Sacrificer предложил наиболее возможный вариант возникновения проблемы — если посмротришь внимательно еще раз его самый первый пост и ссылку, которую он выложил, то убедишься в том, что решение твоей проблемы было дано с самого начала HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\requiresecuritysignature=0 это тоже самое, но добился изменением ключа регистра .Тебе надо было смотреть «эффектив полису сеттинг» — gpedit.msc и смотреть применяемые политики . А а все дальнейшие рассуждения брали за отправную точку — Сделал — эффект = 0 , поэтому и такой сыр-бор . Вообщем рад за тебя . |
| Stark2003 | создано: 31.05.2004 7:27:00 Solaris направление абсолютно верное, одноако не совсем там.
|
