Сбои согласования, настройки сеанса и подключения к дереву

  • Статья

В этой статье описывается, как устранить сбои, возникающие при согласовании SMB, настройке сеанса и запросе на подключение к дереву.

Сбой согласования

Сервер SMB получает запрос SMB NEGOTIATE от клиента SMB. Время ожидания подключения истекает и сбрасывается через 60 секунд. Сообщение ACK может быть примерно через 200 микросекунд.

Эта проблема чаще всего вызвана антивирусной программой.

Если вы используете Windows Server 2008 R2, существуют исправления для этой проблемы. Убедитесь, что клиент SMB и сервер SMB обновлены.

Сбой программы установки сеанса

Сервер SMB получает запрос SMB SESSION_SETUP от клиента SMB, но не смог ответить.

Если полное доменное имя (FQDN) или netBIOS-имя сервера используется в пути универсального соглашения об именовании (UNC), Windows будет использовать Kerberos для проверки подлинности.

После ответа Negotiate будет предпринята попытка получить билет Kerberos для имени субъекта-службы (SPN) сервера в общей файловой системе Интернета (CIFS). Просмотрите трафик Kerberos через TCP-порт 88, чтобы убедиться, что при получении маркера клиентом SMB отсутствуют ошибки Kerberos.

Примечание.

Ошибки, возникающие во время предварительной проверки подлинности Kerberos, являются нормальными. Ошибки, возникающие после предварительной проверки подлинности Kerberos (экземпляры, в которых проверка подлинности не работает), являются ошибками, которые вызвали проблему SMB.

Кроме того, выполните следующие проверки:

  • Просмотрите большой двоичный объект безопасности в запросе SMB SESSION_SETUP, чтобы убедиться, что отправлены правильные учетные данные.
  • Попробуйте отключить усиление защиты имени сервера SMB (SmbServerNameHardeningLevel = 0).
  • Убедитесь, что сервер SMB имеет имя субъекта-службы при доступе к нему через запись DNS CNAME.
  • Убедитесь, что подписывание SMB работает. (Это особенно важно для старых устройств сторонних производителей.)

Сбой древовидного подключения

Убедитесь, что учетные данные учетной записи пользователя имеют разрешения как для общей папки, так и для файловой системы NT (NTFS).

Причину распространенных ошибок подключения дерева можно найти в статье 3.3.5.7 Получение запроса TREE_CONNECT SMB2. Ниже приведены решения для двух распространенных кодов состояния.

  • [STATUS_BAD_NETWORK_NAME]

    Убедитесь, что общая папка существует на сервере и правильно написана в запросе клиента SMB.

  • [STATUS_ACCESS_DENIED]

    Убедитесь, что диск и папка, используемые в общей папке, существуют и доступны.

Если вы используете SMBv3 или более поздней версии, проверка, требуется ли шифрование для сервера и общей папки, но клиент не поддерживает шифрование. Для этого выполните следующие действия:

  • Проверьте сервер, выполнив следующий командлет.

    Get-SmbServerConfiguration | select Encrypt*

    Если EncryptData и RejectUnencryptedAccess имеют значение true, сервер требует шифрования.

  • Проверьте общую папку, выполнив следующий командлет:

    Get-SmbShare | select name, EncryptData

    Если EncryptData имеет значение true в общей папке и RejectUnencryptedAccess значение true на сервере, шифрование требуется для общей папки.

При устранении неполадок следуйте приведенным ниже рекомендациям.

  • Windows 8, Windows Server 2012 и более поздних версиях Windows поддерживают шифрование на стороне клиента (SMBv3 и более поздние версии).
  • Windows 7, Windows Server 2008 R2 и более ранние версии Windows не поддерживают шифрование на стороне клиента.
  • Samba и стороннее устройство могут не поддерживать шифрование. Для получения дополнительных сведений, возможно, потребуется обратиться к документации по продукту.

Ссылки

Дополнительные сведения см. в следующих статьях.