Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Indigo on August 30, 2006, 12:32:47
-
Вобщем контроллер домена, W2K3 энтерпр. сп1, на сервере расшарены локальные диски, некоторые папки. До поры до времени всё было нормально, на сервере давно кардинально ничего не делалось, никакое ПО не ставилось, политики не менялись и т.п. и вдруг обрашаюсь к шАрам, а он пишет - доступа нет, в то же время в sysvol запускает. Что за херня, кто знает?
-
А ты что по этому поводу делал и к каким результатам привело твое исследование системы? Раньше работало, никто не трогал и вдруг не работает - похоже на мистику.
-
Вобщем контроллер домена, W2K3 энтерпр. сп1, на сервере расшарены локальные диски, некоторые папки. До поры до времени всё было нормально, на сервере давно кардинально ничего не делалось, никакое ПО не ставилось, политики не менялись и т.п. и вдруг обрашаюсь к шАрам, а он пишет - доступа нет, в то же время в sysvol запускает. Что за херня, кто знает?
security eventlog смотрел? аудит включал? права перепроверял, и какие именно (hint: в трех местах)?
-
ну убирал шару и вновь делал, ничего не изменилось, в логах ничего подозрительного не нашел. продукция майкрософта всё сплошная мистика, чё уж тут. Перегружу сервер, посмотрю что будет.
крыжики по типу доступа вобще побоку, тыкаешь на сетевую шару, сразу диалог с одной кнопочкой ОК, что вы доступа не имеете. Дожили, администратору такое говорит.....
-
ну убирал шару и вновь делал, ничего не изменилось, в логах ничего подозрительного не нашел.
я не просил удалять шару, и подозрителное искать не просил. а спросил что фиксируется в логах при попытке доступа. для этого тебе нужно кроме всего прочего включить аудит.
продукция майкрософта всё сплошная мистика, чё уж тут. Перегружу сервер, посмотрю что будет.
угу, при отстутствии фундаментальных знаний по архитектуре системы, любая ОС будет казаться мистикой. если ты думал что винды это очень просто, то ты глубоко заблуждался. это очень сложная система, несмотря на наличие дружественного интерфейса.
крыжики по типу доступа вобще побоку, тыкаешь на сетевую шару, сразу диалог с одной кнопочкой ОК, что вы доступа не имеете. Дожили, администратору такое говорит.....
а ты ей докажи что ты администратор
P.S. а если серьезно, то все-таки включи аудит и посмотри в security log. и не надо искать подозрительное, надо анализировать что происходит и делать выводы о возможных причинах. не можешь сделать выводы сам, предоставляй исчерпывающую информацию специалистам.
-
да ладно ты, не первый день смотрим в сервер
-
да ладно ты, не первый день смотрим в сервер
понятно, аудитом пользоваться не хотим и не умеем. тогда зайдем с другого бока, попробуй сделать вот так:
net use \\servername\ipc$ /user:domain\Administrator
где, servername - имя твоего сервера,
domain - имя твоего домена.
если после ввода пароля ты по прежнему не сможешь заходить на шары, то придется аудит все-таки включить и почитать вслух твой security eventlog. плюс не помешает прогнать диагностику dcdiag-ом, и внимательно изучить выдаемую им скатерочку.
-
да ладно ты, не первый день смотрим в сервер
"Смотреть" и "видеть" совершенно разные действия
-
Службы проверить можно, там в списке есть, которые отвечают за доступ к общим папкам, например, Server.
Да, и /user:domain\Administrator, если Administrator не переименовывался.
Может у тебя в сети кто-то решил в хакера поиграть? Поадминил немного. Поэтому, политики тоже проверь.
У меня Far стоит, там есть обзор сети в котором видно такие строчки:
\\COMP\ADMIN$
\\COMP\C$
\\COMP\D$
...
По умолчанию, если COMP никто не перестроил, закрывая эту возможность, то их видно. В Far PowerPack все уже настроено, идешь в сеть, выбираешь компьютер и, зная имя и пароль администратора лезу в любую папку на любом диске.
-
уважаемые MCSA, то что ваши знания так обширны - только большой плюс, поэтому сюда люди и пишут, ожидая советов.
по делу - вот опять доступ на шары сам собой появился. Это происходит на одном контроллере, всего в сети 3 DC и на остальных такого не наблюдается. Допустим включил аудит на определённую папку, где смотреть лог? файла секьюрити.лог на диске не наблюдается, моя учетная запись разумеется с правами администратора домена и папки как правило раскрываю для этой группы. хакеров в сети нету, на внешку - иса.
понятно, аудитом пользоваться не хотим и не умеем.
а надобности ранее не было, а фанатизмом познания корней архитектуры как-то не страдаем
-
по делу - вот опять доступ на шары сам собой появился. Это происходит на одном контроллере, всего в сети 3 DC и на остальных такого не наблюдается.
интересно, то ли я как-то не так спрашиваю, то ли ты не читаешь что тебе пишут. попросил выполнить вполне конкретную команду, в ответ новые вопросы вместо результата. м.б тебе не надо заниматься администрированием?
Допустим включил аудит на определённую папку
аудит надо было включит не только на папку, но и на такие события (success/failure) как: audit logon events, audit object access, audit priveledge use, audit system events.
где смотреть лог? файла секьюрити.лог на диске не наблюдается
хм, интересно как вы там не первый день смотрите на сервер и не знаете где смотреть логи сервера. так и хочется отправить на RTFM. Запускать Start - Programs - Administrative Tools - Event Viewer не пробовал?
моя учетная запись разумеется с правами администратора домена и папки как правило раскрываю для этой группы. хакеров в сети нету, на внешку - иса.
шутку про обезьяну с гранатой знаешь?
а надобности ранее не было, а фанатизмом познания корней архитектуры как-то не страдаем
а и не надо фанатеть, надо хотя бы основы знать. литературы полно, как фирменной от Microsoft Press, так и переводной литературы. Знание архитертуры системы - это не фанатизм, это базисное знание как таблица умножения для человека с начальным образованием, как модель OSI для сетевика.
-
Умываю руки, здесь все либо такие умные либо нервные. модеры закройте или удалите тему
-
либо просто кто то не умеет задавать вопросы и думать тем что в черепе, умытые руки тут не помогут.
у народа всегда кончаются батарейки от шлемов. кстати тут давеча вычитал еще одну замечательную вещь можно сделать, что бы тебя даже шлемами не взяли:
"Есть классный рецепт. Покупаешь себе шоколадку. Да да. Обычную шоколадк
у. Берешь фольгу, в которую этот шоколад завернут, и из фольги делаешь шапочку.
Одеваешь на голову. Все, теперь твой мозг надежно защищен от сканирования его пришельцами." © туг
-
Умываю руки, здесь все либо такие умные либо нервные. модеры закройте или удалите тему
а кто из присутствующих нервничал? так пара колкостей, да и только. ты бы не обижался, а попробовал сделать что просят. или просьбы нужно еще подробнее расписать?
net use \\servername\ipc$ /user:domain\Administrator
сделал? подключился? здорово! делай
net use \\servername\sharename.
подключился? нет? код ошибки в студию.
-
^)
C:\Documents and Settings\Maxx>net use \\Vserver-2\ipc$ /user:domain\maxx
Локальное имя
Удаленное имя \\Vserver-2\ipc$
Тип ресурса IPC
Состояние OK
Открыто 0
Подключено 1
Команда выполнена успешно.
C:\Documents and Settings\Maxx>net use \\Vserver-2\install
Локальное имя
Удаленное имя \\Vserver-2\Install
Тип ресурса Диск
Состояние OK
Открыто 0
Подключено 4
Команда выполнена успешно.
p.s. dcdiag all tests passed
-
pps другие пользователи данной группы "ад-ры домена" доступ ко всем шарам этого сервера имеют
-
C:\Documents and Settings\Maxx>net use \\Vserver-2\ipc$ /user:domain\maxx
Команда выполнена успешно.
C:\Documents and Settings\Maxx>net use \\Vserver-2\install
Команда выполнена успешно.
p.s. dcdiag all tests passed
отлично! а при попытке открыть шару через explorer получаешь отлуп или ошибка больше не возникает? если замапить шару на логический диск через команду net use i: \\Vserver-2\install, к диску I: доступ есть?
-
нет, скажи какой шаблон безопасности править для просмотра событий audit logon events, audit object access, audit priveledge use, audit system events?
C:\Documents and Settings\Maxx>net use z: \\Vserver-2\install
Команда выполнена успешно.
C:\Documents and Settings\Maxx>z:
Отказано в доступе.
-
нет, скажи какой шаблон безопасности править для просмотра событий audit logon events, audit object access, audit priveledge use, audit system events?
mmc gpedit.msc
Computer configuration - Security Settings - Local policies - Audit policy
C:\Documents and Settings\Maxx>net use z: \\Vserver-2\install
Команда выполнена успешно.
C:\Documents and Settings\Maxx>z:
Отказано в доступе.
сильно смахивает на то, что у тебя нет прав на уровне файловой системы к каталогам, на которые смотрит шара. самый простой способ проверить это, залогиниться локально на том сервере под твоим аккаунтом (терминально или прямо за консолью, не важно) и попробовать войти в папку, которая раздается как шара с именем install.
-
в групповых политиках установки безопасности закрыты от редактирования - как открыть?
не, под моим пользователем нормально ходит по файловой системе локально
вчера таки пару раз поперегружал сервер, свободно заходил на него, сегодня утром прихожу - хрен
-
в групповых политиках установки безопасности закрыты от редактирования - как открыть?
sorry, все правильно. ты ведь за DC сидишь. запусти из группы административных утилит "Domain Controller Security Policy".
не, под моим пользователем нормально ходит по файловой системе локально
что на сервере выдает по net config server?
-
Вот не поверите, на другой рабочей станцией залогинился под собой - свободно зашел на сервер,
у себя на компе (месяца 3 назад переустановил XPSP2) обнаружил такие ворнинги:
Тип события: Предупреждение
Источник события: MRxSmb
Категория события: Отсутствует
Код события: 3019
Дата: 01.09.2006
Время: 13:12:49
Пользователь: Н/Д
Компьютер: INDIGO
Описание:
Перенаправитель не смог определить тип подключения.
Данные:
0000: 00 00 00 00 04 00 4e 00 ......N.
0008: 00 00 00 00 cb 0b 00 80 ....Ë..€
0010: 00 00 00 00 84 01 00 c0 ....„..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
sorry, все правильно. ты ведь за DC сидишь. запусти из группы административных утилит "Domain Controller Security Policy".
вот я DC security шаблон и имел ввиду
Скажи, политика безопасности домена применяется ко всем кроме контроллеров?
C:\Documents and Settings\Администратор.domain>net config server
Имя сервера \\VSERVER-2
Комментарий для сервера
Версия программы Microsoft Windows Server 2003
Активный сервер на
NetbiosSmb (000000000000)
NetBT_Tcpip_{A37BB87F-7653-40B1-8461-BDC8ADB78B5F} (0007e92e2b3b)
Скрытый сервер No
Максимальное число пользователей Без ограничений
Максимальное число открытых файлов в сеансе 16384
Время холостого хода сеанса (мин) 15
Команда выполнена успешно.
-
"в групповых политиках установки безопасности закрыты от редактирования..."
Для администратора по-умолчанию должны быть открыты = Смотри права администраторов. То, что шары то доступны, то нет = плохо.
Ты несколько дней проблему эту мучаешь. Есть решение в лоб, если не критично, перезапусти сервер с нуля. С образов за пять минут переставляю - как новая. Если нет, переустановка со всеми настройками - пару часов. Только не спеши забивать ее лишним. Если проблема вылезет на чистой - то ... думай сам что делать. Постепенно запускай свои сервисы, на каких загнется с теми и разбирайся.
Бывает после обновлений шизует.
-
в групповых политиках установки безопасности закрыты от редактирования - как открыть?
не, под моим пользователем нормально ходит по файловой системе локально
вчера таки пару раз поперегружал сервер, свободно заходил на него, сегодня утром прихожу - хрен
Значит, все же учетная запись не админская. Открыты установки безопасности только админу Глянь на свою учетную запись, в закладку "Группы" (hint опять же)
-
Вот не поверите, на другой рабочей станцией залогинился под собой - свободно зашел на сервер,
у себя на компе (месяца 3 назад переустановил XPSP2) обнаружил такие ворнинги:
http://support.microsoft.com/default.aspx?...b%3Bru%3B889000 (http://support.microsoft.com/default.aspx?scid=kb%3Bru%3B889000)
Скажи, политика безопасности домена применяется ко всем кроме контроллеров?
если ты не блокировал наследование политик, то и к контроллерам должны применяться.
C:\Documents and Settings\Администратор.domain>net config server
Время холостого хода сеанса (мин) 15
сделай на сервере net config server /autodisconnect:0
Есть решение в лоб, если не критично, перезапусти сервер с нуля. С образов за пять минут переставляю - как новая.
при правильных настройках и грамотнной эксплуатации, серверы живут годами. переустановка сервера с нуля - это совершенно крайний случай. восстановление всех настроек может занять не один день. уж не говорю о том что все SID будут похерены, а значит все права придется переустанавливать заново. а если ты с нуля поставил DC, и не дай бог это был единственный DC в Active Directory, то секса по перенастройке всех рабочих станций хватит более чем.
-
после net config server /autodisconnect:0 доступ получил, проблема не в сервере оказывается, в описаниях ошибки решений нет ...
-
после net config server /autodisconnect:0 доступ получил, проблема не в сервере оказывается, в описаниях ошибки решений нет ...
если на другой машине у тебя проблем не возникло даже после 15-тного таймаута, то имеет смысл сбросить локальные политики в дефолтовое состояние и перезагрузиться. получишь от DC новые политики и посмотри повторится ли проблема.
-
Опс
-
Ты несколько дней проблему эту мучаешь. Есть решение в лоб, если не критично, перезапусти сервер с нуля. С образов за пять минут переставляю - как новая. Если нет, переустановка со всеми настройками - пару часов. Только не спеши забивать ее лишним. Если проблема вылезет на чистой - то ... думай сам что делать. Постепенно запускай свои сервисы, на каких загнется с теми и разбирайся.
Бывает после обновлений шизует.
Да знаешь, как-то ломает переставлять пусть хоть и дополнительный но всё же контроллер домена, с которого одинэсники работают и sql-сервер для сбыта\склада\маркетинга, в выходные я лучше не на работе позанимаюсь чем-нибудь полезным для себя, и двумя часами там не ограничишься, по себе знаю. спасибо конечно за совет, но бесполезную работу не любим. а из обновлений ничего нету - сразу со встроеным сп1 ставил.
если на другой машине у тебя проблем не возникло даже после 15-тного таймаута, то имеет смысл сбросить локальные политики в дефолтовое состояние и перезагрузиться. получишь от DC новые политики и посмотри повторится ли проблема.
а я на своей РС политики не менял, а картина похоже была следующая - я перегружаю РС - имею доступ, немного постоит - теряю доступ. к этому серверу в последнее время только терминалом обращаюсь - на шары сейчас вот пошёл и получил отказ.
-
Ты проблему нашел? Что-то я не понял.
И что из SP1? Что после обновлений не выходило? У меня уж под 50 автоматом проставилось.
-
Хоп! - опять не пускает, да что ты!
и автодисконект не помогает
Ты проблему нашел? Что-то я не понял.
И что из SP1? Что после обновлений не выходило? У меня уж под 50 автоматом проставилось.
ну уж наверняка выходило, но смысл их ставить - всё прекрасно работает, с проблемами которые исправляют эти обновления не сталкивался, почта и внешка за исой2004.
проблема - система на моей рабочей станции - надо переустановить, замучилась похоже, хоть особо и не глумился над ней
-
"проблема - система на моей рабочей станции - надо переустановить, замучилась похоже, хоть особо и не глумился над ней"
В общем, с других рабочих станций шары шарятся и все нормально работает?
-
да, с других рабочих станций, залогинившись моим логином, получаем доступ к папкам на этом сервере
-
да, с других рабочих станций, залогинившись моим логином, получаем доступ к папкам на этом сервере
сделай полный backup своей системы (на случай отката) и выполни
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
-
"Есть классный рецепт. Покупаешь себе шоколадку. Да да. Обычную шоколадк
у. Берешь фольгу, в которую этот шоколад завернут, и из фольги делаешь шапочку.
Одеваешь на голову. Все, теперь твой мозг надежно защищен от сканирования его пришельцами." © туг
Еще можно взять очень много металлических вешалок для одежды и развесить их под потолком... © Bart Simpson
-
2visual: выбрал минутку посидеть над аудитом:
в политиках домена разрешил аудит объектов, привилегий, входа, на успех\отказ. В безопасность расшареной папки добавляю аудит на все действия на свою учетную запись. Со своей РС пытаюсь войти в эту шару - отказ. Смотрю события безопасности - на мою запись ничего нет. Че-та не догоняю что-ли?