1.3 Overview

The Common Internet File System (CIFS) Browser Protocol makes the following possible:

A server (or a set of servers) to act as a clearinghouse (or browser server ) for information about the services available in the network.

A set of servers ( nonbrowser servers ) that are making services available to access the clearinghouse and advertise the services they offer.

A set of clients ( browser clients ) to access the information clearinghouse and seek details of a particular service.

For example, the CIFS Browser Protocol can be used by an application to identify all file or print servers on a local subnet. The NetServerEnum2 command, as specified in [MS-RAP] section 2.5.5.2 allows browser clients to browse services offered by the server.

The main objective of the CIFS Browser Protocol is as follows:

Share the processing load of enumerating the services available in the network across different servers.

In the context of the CIFS Browser Protocol, browsing is a process for discovering servers that offer particular services. To provide those services, browser servers can assume different roles in their lifetimes and can dynamically switch between these roles.

Clients of browser servers are of three types:

Workstations, which query browser servers for the information they contain.

Nonbrowser servers, which supply browser servers with information by registering with them.

Browser servers, which can behave as clients and query other browser servers.

The CIFS Browser Protocol manages groups of computers. This document refers to such a group of computers as a machine group . Machine groups provide a convenient means for clients to restrict the scope of a search when they query browser servers.

A machine group can be either a workgroup or a domain . In a workgroup configuration, browsing is limited to the scope of a single subnet . If computers are arranged in a Windows NT operating system security domain, the CIFS Browser Protocol allows for browsing across multiple subnets. This functionality is enabled by a special browser servers role that is known as the domain master browser server . This role is usually the responsibility of the primary domain controller (PDC) , which manages user access and security in the domain.

One browser server for each machine group on a subnet is selected as the local master browser server for that machine group. The selection occurs by an election process, as specified in sections 2.2.3 and 3.3.6 . Servers that are in the local master browser server machine group on the subnet register with it, as does the local master browser server for other machine groups on the subnet. The local master browser server uses these registrations to maintain authoritative information about its machine group on its subnet. If there are servers in the domain that are located on other subnets on the network, the local master browser server for the domain can obtain information about them from the domain master browser server of the domain.

A backup browser server on a subnet is a browser server that was selected by the local master browser server on that subnet to be available to share the processing load that is required to serve browser clients, as specified in section 3.1 . backup browser servers keep copies of the information that is maintained by the local master browser server by periodically querying that server.

Multiple backup browser servers can exist on a subnet; the number of backup browser servers is typically configured to enable enough backup browser servers to handle the expected query load. Clients can find backup browser servers by querying the local master browser server. Clients on a subnet query backup browser servers on the subnet, not the local master browser server; also, they are expected to spread their queries evenly across backup browser servers to balance the load.

When a domain spans multiple subnets, the domain master browser server is responsible for keeping them synchronized. The domain master browser server periodically queries all the local master browser servers within the domain for lists that contain all the servers within their subnets. The domain master browser server merges all the replies into a single master list, which allows it to act as a collection point for inter-subnet browsing information. The local master browser servers periodically query the domain master browser server to retrieve the network-wide information it maintains.

When a domain spans only a single subnet, there is no distinct local master browser server; this role is instead handled by the domain master browser server. Similarly, the domain master browser server is always the local master browser server for its domain on its own subnet.

When a browser client suspects that the local master browser server for its machine group has failed, the client initiates an election process in which the browser servers participate. This election process is specified in sections 2.2.3 and 3.3.6. When this election process occurs, some browser servers can change roles.

Служба «Обозреватель Компьютеров» и ошибка MrxSmb 8003

В этой статье мы немного поговорим о службе Windows под названием Computer Browser (Обозреватель компьютеров). Итак, вспомним азы. Служба Обозревателя компьютеров появилась в сетях Microsoft для совместимости со старыми версиями ОС Microsoft: Windows 3.x, Windows 95/98, Millennium и т.д. Нужна она для того, чтобы два компьютера в сети могли найти друг друга. Реализуется эта функция с помощью широковещательных запросов. Т.к. широковещательные запросы не ретранслируются через маршрутизаторы, это означает, что служба Computer Browser нужна для локальных (LAN) сетей.

Как работает служба Обозреватель компьютеров

Согласно архитектуре Microsoft все хосты в сети делятся на: Master Browser (главный обозреватель), Backup Browser (резервный обозреватель) и всех остальных, считающихся клиентами.

При разворачивании сети между хостами происходят выборы за звание Master Browser, обычно в домене его получает контроллер домена, если же используется рабочая группа – то компьютер со старшей версией ОС. Обязанность главного обозревателя – создание списка резервных обозревателей (backup browser), обновление, хранение и передача списка компьютеров в сети серверам backup browser. Резервные обозреватели в свою очередь могут передавать список хостов в сети клиентам.

При первом включении в сети нового компьютера, служба «Браузера компьютеров» рассылает широковещательный, позволяющий найти в сети Master-Browser, и после его обнаружения просит добавить себя в список компьютеров сети.
В свою очередь Master-browser должен принять этот запрос, добавить информацию о новом хосте в свой список и передать новому компьютеру список доступных серверов Backup-browser, с которыми он будет взаимодействовать в дальнейшем, если ему понадобиться получить список хостов в сети.

Мы вкратце описали архитектуру службы Обозревателя компьютеров в сети MS.

Все это к чему? Достаточно часто в логах компьютеров в сети Microsoft можно встретить ошибку MrxSMB с ID 8003:

The master browser has received a server announcement from the computer [Имя_компьютера] that believes that it is the master browser for the domain on transport NetBT_Tcpip_<#######-####-####-#. The master browser is stopping or an election is being forced

К каким бы то не было видимым неполадкам ошибка не приводит, но сама по себе она раздражает, появляясь в журнале каждые N часов. Судя по ошибке, компьютер претендует на роль Master-browser.

Настройка службы «Computer Browser»

Параметры службы «Обозреватель компьютеров» хранятся в ветке реестре:
HKLM/System/CurrentControlSet/Services/Browser/Parameters

Интересуют нас параметры:

• IsDomainMaster – по названию догадаться, что параметр определяет может ли компьютер быть Master-Browser (значения: «TRUE» и «FALSE»)
• MaintainServerList – определяет будет ли компьютер участвовать в выборах Главного и резервных обозревателей. Возможные значения:
  1. «YES» (участвует в выборах на Master-Browser-а)
  2. «NO»(не участвует в выборах)
  3. «AUTO»(клиент может участвовать в выборах, на роль Master-Browser так и на роль клиента)

Соответственно, наша задача – настроить службу так, чтобы никто из клиентов не мог стать главным обозревателем в сети и не участвовал в выборах (для этого у нас есть контроллер домена).
Указанную задачу можно решить простой модификацией реестра на клиенте. В случае необходимости массового распространения данных настроек, нам помогут групповые политики. Для этого можно воспользоваться технологией Group Policy Preferences (если клиенты новые), или же административными шаблонами.

Для создания нового административного шаблона создадим текстовый файл с расширением .adm с текстом.
CLASS MACHINE
CATEGORY «Browser»
POLICY «Computer browser configuration»
KEYNAME «SYSTEM\CurrentControlSet\services\Browser\Parameters»
EXPLAIN !!BrowserParameters
PART «IsDomainMaster» EDITTEXT
VALUENAME «IsDomainMaster»
DEFAULT «FALSE»
END PART

PART «MaintainServerList» EDITTEXT
VALUENAME «MaintainServerList»
DEFAULT «AUTO»
END PART
END POLICY
END CATEGORY

[strings]
BrowserParameters=»Theese parameters specify behavior of Windows host in network»

Подключаем данный административный шаблон в новую политику в консоле Group Policy Management (не забудьте снять галку «Only show group policy setting that can be fully managed» во View -> Filtering.). Вешаем политику на нужную OU, делаем на клиенте

Сетевые компьютеры не отображаются в Windows 10

Я получил несколько писем от читателей с просьбой помочь решить проблему отображения компьютеров в сетевой среде на последних сборках Windows 10. Действительно, в последних выпусках Windows 10 есть проблемы с обнаружением устройств в сети: вы не видите другие компьютеры в сети или ваша Windows 10 не отображается в рабочей группе. Давайте посмотрим, как исправить Network Discovery в последних сборках Windows 10.

Windows 10 не видит другие сетевые компьютеры в рабочей группе

Проблема отсутствия отображения сетевых компьютеров в среде Windows 10 Workgroup стала появляться с момента выхода Windows 10 1703 (Creators Update). После обновления до этой (или более новой) сборки Windows 10 ваш компьютер может перестать видеть соседние компьютеры при просмотре устройств в пункте «Сеть» проводника.

Вы можете просмотреть список компьютеров в сетевом окружении в проводнике или с помощью команды:

И когда вы щёлкаете значок Сети в проводнике Windows 10, отображается эта ошибка:

Расширенные настройки общего доступа. Убедитесь, что в разделе Профиль частной сети отмечены следующие параметры:

• Включить обнаружение сети + Включить автоматическую настройку подключённых к сети устройств;
• Включите общий доступ к файлам и принтерам;
• Разрешить Windows управлять подключениями к домашней группе (рекомендуется).

Затем включите следующие параметры в разделе Все сети:

• Включите общий доступ, чтобы любой, у кого есть доступ к сети, мог читать и записывать файлы в общих папках;
• Отключите совместное использование, защищённое паролем (если вы доверяете всем устройствам в своей сети);
  Таким образом, вы можете открыть анонимный сетевой доступ к вашему компьютеру. Итак, когда вы включаете эту опцию, вы должны правильно установить разрешения для общих сетевых папок и принтеров.
• Если в вашей сети есть устаревшие сетевые устройства (старая версия Windows, общие ресурсы Samba, устройства NAS), включите параметр «Включить общий доступ к файлам для устройств, использующих 40-битное или 56-битное шифрование».

Затем перейдите в Настройки → Сеть и Интернет → Ethernet (или выберите Wi-Fi, если вы подключены к локальной сети через беспроводное соединение). Щёлкните значок сети и убедитесь, что параметр «Сделать этот компьютер доступным для обнаружения» включён.

Очистите кеш DNS на компьютере:

Чтобы включить трафик Network Discovery (сетевого обнаружения) в брандмауэре Защитника Windows 10, необходимо выполнить следующую команду в командной строке с повышенными привилегиями:

Или вы можете включить трафик обнаружения сети в брандмауэре Windows с помощью PowerShell:

Кроме того, вы можете вручную включить протокол сетевого обнаружения хотя бы для частной сети в настройках брандмауэра Защитника Windows (Панель управления\Все элементы панели управления\Брандмауэр Защитника Windows\Разрешенные программы).

В некоторых случаях компьютер с Windows может не отображаться в сетевой среде из-за неправильных настроек рабочей группы. Попробуйте повторно добавить этот компьютер в рабочую группу. Перейдите в приложении Настройки → Система → О программе → Переименовать этот ПК (для опытных пользователей).

В открывшемся мастере присоединения к домену или рабочей группе выберите: Этот компьютер является частью бизнес-сети → Моя компания использует сеть без домена → введите имя своей рабочей группы. После этого необходимо перезагрузить компьютер.

Если после перезагрузки компьютер оказался в сетевом окружении, но вы не можете получить к нему доступ, проверьте тип (расположение) сетевого профиля на вашем компьютере. Скорее всего, ваша локальная сеть была распознана как общедоступная. Вам необходимо изменить сетевое расположение на Частное. Для этого откройте Настройки → Сеть и Интернет → Статус → Домашняя группа.

Нажмите «Изменить сетевое расположение», затем выберите «Да» в диалоговом окне «Разрешить обнаружение вашего ПК другими ПК и устройствами в этой сети? Мы рекомендуем разрешить это в вашей домашней и рабочей сети, но не в общедоступных».

Откройте Сеть и убедитесь, что вы видите соседние компьютеры с Windows.

Если эти советы не помогли, а компьютеры в рабочей группе по-прежнему не отображаются, попробуйте сбросить настройки сети (Настройки → Сеть и Интернет → Статус → Сброс сети).

Вы также можете сбросить настройки сети и правила брандмауэра с помощью команд:

Затем вам необходимо перезагрузить компьютер.

В некоторых случаях вам необходимо полностью удалить сетевой адаптер с помощью диспетчера устройств (запустите консоль devmgmt.msc → Сетевые адаптеры → ваша сетевая карта → Удалить устройство).

Затем перезагрузите компьютер. Windows должна автоматически обнаружить ваш сетевой адаптер и установить соответствующие драйверы. В этом случае все настройки старого протокола для сетевой карты будут сброшены.

Также проверьте, запущены ли следующие службы (они должны быть в состоянии автоматического запуска, чтобы правильно отображать вашу сетевую среду). Запустите консоль services.mcs и проверьте состояние служб:

• FdPHost — узел провайдера обнаружения функций (отвечает за обнаружение других компьютеров в сети);
• FDResPub — публикация ресурсов для обнаружения функций (позволяет другим компьютерам обнаруживать ваше устройство в сети);
• Dnscache — DNS-клиент;
• SSDPSrv — обнаружение SSDP;
• Upnphost — Хост устройства PnP.

В некоторых случаях сторонние антивирусы и брандмауэры могут блокировать запросы разрешения имён NetBIOS, WDS и широковещательные запросы DNS (проблема с ESET NOD32 определённо была). Попробуйте временно отключить антивирус/брандмауэр и проверить, правильно ли работает обнаружение сети на вашем устройстве с Windows 10.

Как включить обнаружение сети в Windows 10?

Начиная с Windows 10 1803 (Spring Creators Update), разработчики Microsoft убрали возможность создания домашней группы. Кроме того, компьютеры с Windows 10 больше не отображаются в сетевой среде проводника при просмотре сетевых устройств.

С точки зрения Microsoft, домашняя группа — это устаревший способ создания локальной сети для совместного использования папок и принтеров. Вместо использования домашней группы Microsoft предлагает использовать свои облачные службы (OneDrive или доступ через учётные записи Microsoft).

В Windows 10 1803 (и новее), чтобы получить доступ к общим ресурсам на другом компьютере по локальной сети, вам необходимо знать его имя хоста (\\ИМЯ-ПК1) или IP-адрес (\\192.168.1.90), но соседние компьютеры в сеть не отображаются. Однако это можно исправить.

Вы можете создать ярлыки на рабочем столе для соседних компьютеров, указав к ним UNC-путь (по имени компьютера или IP-адресу).

Дело в том, что за обнаружение соседних компьютеров в сети Windows 10 отвечает отдельная служба Function Discovery Provider Host (служба узла провайдера обнаружения функций). Другая служба, Function Discovery Resource Publication (служба публикация ресурсов обнаружения функций), отвечает за обнаружение вашего компьютера.

Служба FdPHost использует протоколы Simple Services Discovery Protocol (SSDP) и Web Services Discovery (WS-Discovery) для обнаружения устройств в сети.

Эти протоколы заменяют NetBIOS over TCP/IP, который исторически использовался для обнаружения устройств в сетях Microsoft Windows с помощью Master Browser. Соответственно, вы можете безопасно отключить протокол NetBIOS для своих сетевых адаптеров.

После установки последних сборок Windows 10 эти службы можно отключить (тип запуска меняется с Автоматического на Отключено). Если эти службы остановлены, компьютер не обнаруживается в сети другими компьютерами и не может видеть другие. Вы можете включить службы сетевого обнаружения в Windows 10 следующим образом.

1. Откройте консоль управления службами Windows (services.msc);
2. В списке служб найдите службу Function Discovery Resource Publication (Публикация ресурсов обнаружения функций);
3. Измените тип запуска службы с ручного на автоматический (отложенный запуск);

1. Таким же образом включите службу Function Discovery Provider Host (функцию обнаружения хоста провайдера);
   Вы можете изменить тип запуска этих служб с помощью следующей однострочной команды PowerShell:

1. Перезагрузите компьютер

После перезагрузки другие компьютеры в локальной сети смогут обнаружить этот компьютер и его ресурсы (общие сетевые принтеры и папки).

Протокол SMB 1.0 и проблемы Master Browser в Windows 10

Бывает, что проблемы с отображением компьютеров в сетевом окружении связаны со службой Computer Browser. Эта служба отвечает за создание и поддержание списка активных компьютеров в локальной сети. В локальной сети может быть только один компьютер с ролью Master Browser.

Вы можете определить текущий Master Browser в вашей сети, выполнив следующую команду для каждого компьютера в вашей сети:

Компьютер, который является главным обозревателем, является единственным, у которого есть значение __MSBROWSE__.

В Windows 10 1703 служба Computer Browser работает некорректно. Рекомендуется полностью отключить эту службу в Windows 10 и использовать компьютер с Windows 7 (или Windows 8.1/Windows Server 2012 R2 в соответствии с Windows 7 EoS) в качестве главного браузера в вашей сети. Вы можете установить компьютер с главным браузером через реестр.

Чтобы отключить Computer Browser, перейдите в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters и измените значение MaintainServerList на False. Чтобы принудительно установить, какой компьютер является главным браузером сети, измените значение MaintainServerList на Yes.

Кроме того, в Windows 10 1709 и новее (1803, 1809, 1903, 1909) служба Computer Browser и протокол SMB v1.0 по умолчанию отключены. Служба Computer Browser отвечает за составление списка компьютеров в сети и их отображение (этот протокол обнаружения широко используется до переключения на протоколы SSDP и WS-Discovery).

Если у вас в локальной сети только компьютеры с Win 10 1709 и новее, и вы по-прежнему хотите использовать Computer Browser, вы должны включить протокол SMB v1.0 (это небезопасно!) На хотя бы один компьютер. Этот компьютер будет использоваться в качестве главного браузера в вашей сети.

Вы можете включить поддержку SMB 1.0, включив следующие функции Windows на панели управления:

• SMB 1.0 /CIFS Client;
• SMB 1.0 /CIFS Server.

Или вы можете включить функции клиента и сервера SMB 1 из OptionalFeatures.exe или с помощью команд DISM:

Напоминаем, что не рекомендуется включать сервер SMB1 в Windows. Протокол SMB 1.0 небезопасен, многие уязвимости SMB1 можно легко использовать удалённо.

Если вы включили протокол SMB1, то, чтобы назначить текущий компьютер Master Browser в сети, выполните следующие команды:

Этот компьютер будет Master Browser в вашей сети.

Windows 10 не может подключить общие сетевые папки

В некоторых случаях Windows 10 может видеть и исследовать соседнее устройство в среде рабочей группы, но не может отображать на нем список общих сетевых папок. Чаще всего это сопровождается ошибкой «0x80070035 — Сетевой путь не найден». Решение этой проблемы описано в этой статье.

Если соседний компьютер (устройство) виден в сети, но при попытке открыть любую сетевую папку из сетевой среды или с использованием пути UNC (\\Hostname_или_IP) появляется ошибка «Вы не можете получить доступ к этой общей папке, потому что политики безопасности вашей организации блокируют неаутентифицированный гостевой доступ». В этом случае вам нужно включить параметр реестра AllowInsecureGuestAuth с помощью команды (подробности смотрите в статье «Нет доступа к общей папке из Windows 10»):