Acceso a recurso compartido de servidor de archivos SMB tiene éxito a través de alias CNAME DNS

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3181029
Síntomas
Configuración
  • Está ejecutando un servidor de archivos SMB, como Windows Server. El servidor tiene archivos y recursos que se configuran utilizando su nombre NetBIOS, el DNS completo (FQDN) del nombre de dominio y sus alias (CNAME).
  • Tiene un cliente que ejecuta Windows 7, Windows Server 2008 R2, Windows 8.1 o R2 de Windows Server 2012.

Escenarios
  • Cuando una aplicación o un usuario utiliza el nombre de almacenamiento real (el nombre NetBIOS o el FQDN) para archivos u otros recursos en el servidor que está utilizando SMB, el acceso es correcta.
  • Cuando una aplicación o un usuario utiliza el alias CNAME para archivos u otros recursos en el servidor que está utilizando SMB e intenta conectarse a un recurso compartido en el servidor de archivos con su alias CNAME DNS. Por ejemplo, intenta conectarse a un recurso compartido en el servidor de archivos mediante su alias CNAME DNS como en el ejemplo siguiente:
    NET USE * \\CNAME\nombreDeRecursoCompartido

    En este caso, experimenta lo siguiente:
    • Acceso desde un cliente de Windows Server 2008 R2 o Windows 7 es correcta.
    • Acceso desde un cliente Windows Server 2012 R2 o Windows 8.1 es incorrecto. En este caso, recibirá un mensaje de error similar al siguiente:
      Abra la carpeta

      \\ruta de acceso UNC no es accesible. Puede que no tenga permiso para utilizar este recurso de red. Póngase en contacto con el Administrador de este servidor para averiguar si tiene permisos de acceso.

      Error de inicio de sesión: El nombre de cuenta destino es incorrecto.

Causa
  • Si utiliza Monitor de red, WireShark o Microsoft Message Analyzer para examinar la traza de red cuando es correcta la configuración de sesión SMB, la sesión se va a la conexión de árbol.

    Sin embargo, si examina la traza de red cuando la configuración de sesión SMB no tiene éxito, la sesión produce un error KRB_AP_ERR_MODIFIED Kerberos. El siguiente es un ejemplo de una solicitud de configuración de sesión SMB incorrecta en una traza de red:
    Resumen del módulo MessageNumber DiagnosisTypes Timestamp origen destino
    112 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 negociar, estado: éxito, 2780879Guid: {12f74af4-be82-11e5-b5c2-005056890096}, DialectRevision: SMB 2.
    112 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 NegotiateRequest, dialectos: [SMB 2.0.2, SMB 2.1], capacidades:, 2780879Guid: {12f74af4-be82-11e5 - b5c2 -
    115 ninguno 2016-02-09T15:20:02 servidor cliente SMB2 NegotiateResponse, estado: correcto, DialectRevision: SMB 2.1, capacidades: SMB2GlobalCapDfs | SMB2GlobalC
    116 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 SessionSetup, estado: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, indicadores: 0
    116 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 SessionSetupRequest, Kerberos, indicadores: Unknown(0), PreviousSessionId: 0 x 0000000000000000
    122 ninguno 2016-02-09T15:20:02 servidor cliente SMB2 SessionSetupResponse, estado: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, ID: 0x000004030800006D
    135 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 SessionSetup, estado: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, indicadores: 0
    135 ninguno 2016-02-09T15:20:02 cliente servidor SMB2 SessionSetupRequest, Kerberos, indicadores: Unknown(0), PreviousSessionId: 0 x 0000000000000000
    143 ninguno 2016-02-09T15:20:02 servidor cliente SMB2 SessionSetupResponse, estado: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, ID: 0x000004030800006D

    En una solicitud de configuración de sesión SMB incorrecta, el cliente reenvía un SPN CNAME incorrecto. El SPN puede ser incorrecto porque está registrado para un servidor antiguo. Sin embargo en una solicitud de configuración de sesión SMB de éxito como en el caso de clientes de Windows Server 2008 R2, el cliente reenvía el SPN para el nombre real del servidor.

  • Si se ha resuelto el nombre del servidor de archivos a través de DNS, el cliente SMB anexa el sufijo DNS para el nombre proporcionado por el usuario. Es decir, el primer componente del SPN siempre será el nombre proporcionado por el usuario como en el ejemplo siguiente:
    CNAME.contoso.com\nombreDeRecursoCompartido

    Nota: Este try fallaría en implementaciones SMB anteriores (como AIX Samba 3.5.8) que no se puede configurar para la autenticación Kerberos y no escuchar al puerto de host directo SMB 445, pero sólo en NetBIOS puerto 139.

  • Si el nombre del servidor de archivos se ha resuelto a través de algún otro mecanismo, como los procesos de NetBIOS o de resolución de nombre de multidifusión Local de vínculo (LLMNR) o de protocolo de resolución de nombres de mismo nivel (PNRP), el cliente SMB utiliza el nombre de usuario proporcionado como el siguiente:
    CNAME\nombreDeRecursoCompartido
Solución
Para resolver este problema en un servidor de archivo que se está ejecutando la versión 1 del protocolo SMB, agregue el valorDisableStrictNameChecking al registro:
Ubicación del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Nombre DWORD: DisableStrictNameChecking
Valor DWORD: 1

Importante: No utilice DNS CNAME en el futuro para servidores de archivos. Si desea dar todavía "nombres alternativos" a los servidores, puede hacerlo con el siguiente comando:
NETDOM COMPUTERNAME /ADD

Nota: Este comando registra automáticamente el SPN para los nombres alternativos.

No se recomienda Es recomendable que resolver este problema en un servidor de archivos que no está basado en Windows, escriba los siguientes comandos en una ventana de símbolo del sistema con privilegios elevados en un equipo basado en Windows. Tenga en cuenta que tendría que haber iniciado sesión con credenciales de administrador de dominio y, a continuación, presione ENTRAR en el símbolo del sistema para registrar el SPN del registro CNAME del dispositivo de almacenamiento de servidor de archivos no basados en Windows:
-Un host SETSPN /nombre_alias servidor de destino
-Un host SETSPN /alias_name.contoso.com servidor de destino

Notas:
  • Si utilizas Windows Clustering de 2012, instale la revisión para clientes de nivel inferior en el que no se pueden conectar a equipos de Windows XP o Windows Server 2003:
    2838043 No se puede tener acceso a un recurso que está alojado en un clúster de conmutación por error basada en Windows Server 2012
  • Si crear un CNAME para el nombre de clúster que están conectando los clientes, tiene que asegurarse de establecer las propiedades en el nombre del cluster para que responda a lo CNAME:

Más información

Solución de problemas

Traza de red

Para obtener una traza de red, siga estos pasos:
  1. Abra una ventana de símbolo del sistema elevado, escriba el comando siguiente y presione ENTRAR:
    seguimiento de Netsh Iniciar captura de NetConnection = sí maxsize = 100 filemode = sobrescribir circular = sí traceFile=c:\%COMPUTERNAME%_Repro_trace.etl
  2. Elimine cualquier conexión existente de red de servidor de archivos. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    NET USE * / ELIMINAR
  3. Inicializar la caché de todos los nombres. Para ello, elimine el almacenamiento en caché existente siguiendo estos pasos:
    1. Para eliminar la caché de DNS, escriba el comando siguiente y, a continuación, presione ENTRAR:
      IPCONFIG /FLUSHDNS
    2. Para eliminar la caché de NetBIOS, escriba el comando siguiente y, a continuación, presione ENTRAR:
      NBTSTAT – RR
    3. Para eliminar la caché de Kerberos, escriba el comando siguiente y, a continuación, presione ENTRAR:
      /PURGE KLIST
    4. Para eliminar la caché ARP, escriba el comando siguiente y, a continuación, presione ENTRAR:
      ARP -d
  4. Intente conectarse al recurso compartido de red escribiendo el siguiente comando y, a continuación, presione ENTRAR:
    NET USE * \\nombreDeServidor\nombreDeRecursoCompartido
  5. Para detener la traza de red en un escenario sin éxito, escriba el comando siguiente y, a continuación, presione ENTRAR:
    detención de la traza de Netsh

SDP informar sobre redes

Para obtener información acerca de cómo recopilar SDP informe a redes, consulte el siguiente artículo en Microsoft Knowledge Base:
2562677 [SDP 3] Diagnóstico de redes [9b9d2b88-02f1-4a27-807d-0bb44178cdab] para Windows

Recopilar la configuración del registro

Para recopilar la configuración del registro en el servidor de archivos, haga clic en Inicio, haga clic en Ejecutar, escriba el comando en el cuadro Abrir y, a continuación, haga clic en Aceptar. Repita este paso para los siguientes comandos:
  • REG. EXE GUARDAR HKLM\SYSTEM C:\TEMP\%COMPUTERNAME%_SYSTEM. VIH
  • REG. EXE GUARDAR C:\TEMP\%COMPUTERNAME%_SOFTWARE HKLM\SOFTWARE. VIH
  • REG. EXE guardar HKCU\Software C:\TEMP\%COMPUTERNAME%_HKCU. VIH

Nota: Los archivos de configuración del registro (. VIH) se guardan en la carpeta TEMP en el servidor de archivos.

Compruebe la configuración del registro

Compruebe la configuración de los siguientes valores del registro en el servidor de archivos:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\DisableStrictNameChecking

Aplicar revisiones (servidor y cliente)

Para Windows 7 y Windows Server 2008 R2, aplicar el siguiente paquete acumulativo de revisiones de Windows 7 Enterprise:
2775511 Un paquete acumulativo de revisiones de empresa está disponible para Windows 7 SP1 y Windows Server 2008 R2 SP1

Además, se aplican las siguientes revisiones:
2732673 Aparece el mensaje de error "La escritura demorada" cuando los archivos .pst se almacenan en un servidor de archivos de red que está ejecutando Windows Server 2008 R2

2728738 Experimenta un tiempo de inicio de sesión larga al intentar iniciar sesión en una basada en Windows 7 o un equipo cliente basado en Windows Server 2008 R2 que utiliza perfiles móviles

2878378 OpsMgr 2012 o OpsMgr 2007 R2 genera un mensaje de "Error de latido" y, a continuación, entra en un estado atenuado en Windows Server 2008 R2 SP1

Referencias

Artículos de Knowledge Base

281308 Conexión al recurso compartido SMB en un equipo basado en Windows 2000 o en un equipo basado en Windows Server 2003 puede no funcionar con un nombre de alias

914056 Puede recibir mensajes de error si deshabilita NetBIOS en un clúster basado en Windows Server 2003

926642 Mensaje de error cuando intenta tener acceso a un servidor localmente utilizando su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: "Acceso denegado" o "ningún proveedor de red ha aceptado la ruta de acceso de red dada"

957097 MS08-068: Una vulnerabilidad en SMB podría permitir la ejecución remota de código

2838043 No se puede tener acceso a un recurso que está alojado en un clúster de conmutación por error basada en Windows Server 2012

2473205 Lista de revisiones disponibles actualmente para las tecnologías de servicios de archivos en Windows Server 2008 y en Windows Server 2008 R2

2899011 Lista de revisiones disponibles actualmente para las tecnologías de servicios de archivos en Windows Server 2012 y en Windows Server R2 de 2012

Artículos de TechNet y MSDN blogs

Aviso legal de información de terceros

Los productos de terceros que se indican este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3181029 - Última revisión: 08/04/2016 16:21:00 - Revisión: 1.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3181029 KbMtes
Comentarios