O acesso de compartilhamento do servidor de arquivo SMB não foi bem sucedido por meio do alias CNAME do DNS
Este artigo fornece soluções para o problema de que o alias CNAME DNS não pode acessar servidores de arquivo SMB.
Aplica-se a: Windows 10 - todas as edições, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 7 Service Pack 1
Número de KB original: 3181029
Sintomas
Configuração
- Você está executando um servidor de arquivos SMB, como o Windows Server. O servidor tem arquivos e recursos configurados usando o nome NetBIOS, o FQDN (nome de domínio totalmente qualificado) do DNS e seu alias (CNAME).
- Você tem um cliente que está executando o Windows 7, Windows Server 2008 R2 ou uma versão posterior do Windows.
Cenários
Quando um aplicativo ou usuário usa o nome de armazenamento real (o nome netbios ou o FQDN) para arquivos ou outros recursos no servidor que está usando o SMB, o acesso é bem-sucedido.
Quando um aplicativo ou usuário usa o alias CNAME para arquivos ou outros recursos no servidor que está usando o SMB, e você tenta se conectar a um compartilhamento no servidor de arquivos com seu alias CNAME DNS. Por exemplo, você tenta se conectar a um compartilhamento no servidor de arquivos usando seu alias CNAME DNS:
NET USE * \\CNAME\share_name
Nesse caso, você experimenta os seguintes comportamentos:
O acesso de um cliente do Windows Server 2008 R2 ou Windows 7 é bem-sucedido.
O acesso de um Windows Server 2012 R2, Windows 8.1 ou uma versão posterior do cliente Windows não tem êxito. Nesse caso, você recebe uma mensagem de erro que se assemelha à seguinte:
Abrir pasta
\\O uncpath não é acessível. Talvez você não tenha permissão para usar esse recurso de rede. Entre em contato com o administrador deste servidor para saber se você tem permissões de acesso.
Falha de logon: o nome da conta de destino está incorreto.
Motivo
Se você usar o Monitor de Rede, o Wire Shark ou o Analisador de Mensagens da Microsoft para examinar o rastreamento de rede quando a Instalação da Sessão SMB for bem-sucedida, a sessão será exibida no TREE Connect.
No entanto, se você examinar o rastreamento de rede quando a Instalação da Sessão SMB não tiver êxito, a sessão falhará com um erro kerberos KRB_AP_ERR_MODIFIED. Aqui está um exemplo de uma solicitação de Instalação de Sessão SMB mal sucedida em um rastreamento de rede:
MessageNumber DiagnosisTypes Timestamp Source Destination Module Summary 112 None DateTime Client Server SMB2 Negotiate, Status: Success, 2780879Guid: {12f74af4-be82-11e5-b5c2-005056890096}, DialectRevision: SMB 2. 112 None DateTime Client Server SMB2 NegotiateRequest, Dialects: [SMB 2.0.2, SMB 2.1], Capabilities: , 2780879Guid: {12f74af4-be82-11e5-b5c2- 115 None DateTime Server Client SMB2 NegotiateResponse, Status: Success, DialectRevision: SMB 2.1, Capabilities: SMB2GlobalCapDfs|SMB2GlobalC 116 None DateTime Client Server SMB2 SessionSetup, Status: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, Flags: 0 116 None DateTime Client Server SMB2 SessionSetupRequest, Kerberos, Flags: Unknown(0), PreviousSessionId: 0x0000000000000000 122 None DateTime Server Client SMB2 SessionSetupResponse, Status: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, SessionId: 0x000004030800006D 135 None DateTime Client Server SMB2 SessionSetup, Status: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, Flags: 0 135 None DateTime Client Server SMB2 SessionSetupRequest, Kerberos, Flags: Unknown(0), PreviousSessionId: 0x0000000000000000 143 None DateTime Server Client SMB2 SessionSetupResponse, Status: STATUS_MORE_PROCESSING_REQUIRED, Kerberos, SessionId: 0x000004030800006D
Em uma solicitação de Instalação de Sessão SMB mal-sucedida, o cliente encaminha um SPN CNAME incorreto. O SPN pode estar incorreto porque está registrado para um servidor antigo. No entanto, em uma solicitação bem-sucedida de Instalação de Sessão SMB, como no caso do cliente do Windows Server 2008 R2, o cliente encaminha o SPN para o nome real do servidor.
Se o nome do servidor de arquivo foi resolvido por meio do DNS, o cliente SMB acrescenta o sufixo DNS ao nome fornecido pelo usuário. Ou seja, o primeiro componente do SPN sempre será o nome fornecido pelo usuário como no exemplo a seguir:
CNAME.contoso.com\share_name
Observação
Essa tentativa falharia em implementações SMB mais antigas (como o AIX Samba 3.5.8), que não podem ser configuradas para autenticação Kerberos e não escutam a porta de host direta SMB 445, mas apenas na porta NetBIOS 139.
Se o nome do servidor de arquivo foi resolvido por meio de algum outro mecanismo, como
- Netbios
- Resolução de nomes multicast (LLMNR) do Link-Local
- Processos de PNRP (Protocolo de Resolução de Nomes par)
O cliente SMB usa o nome fornecido pelo usuário, como o seguinte:
CNAME\share_name
Resolução
Para resolve esse problema em um servidor de arquivo que está executando o protocolo SMB versão 1, adicione o DisableStrictNameChecking
valor ao registro:
Local do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Nome DWORD: DisableStrictNameChecking
Valor DWORD: 1
Importante
Não use CNAMEs DNS no futuro para servidores de arquivo. Se você ainda quiser dar nomes alternativos aos servidores, poderá fazê-lo com o seguinte comando:
NETDOM COMPUTERNAME/ADD
Esse comando registra automaticamente SPNs para os nomes alternativos.
Não recomendamos que você resolve esse problema para um servidor de arquivo que não é baseado no Windows digitando os comandos a seguir em uma janela de Prompt de Comando elevada em um computador baseado no Windows. Você teria que estar conectado com credenciais do Administrador de Domínio. Em seguida, pressione Enter no prompt de comando para registrar o SPN para o CNAME do dispositivo de armazenamento do Servidor de Arquivos não baseado no Windows:
SETSPN -a host/alias_name targetserver
SETSPN -a host/alias_name.contoso.com targetserver
Observação
- Se você usar o Clustering do Windows 2012, instale o hotfix para clientes de nível inferior em que os computadores Windows XP ou Windows Server 2003 não podem se conectar: não é possível acessar um recurso hospedado em um cluster de failover baseado em Windows Server 2012.
- Se você criar um CNAME para o nome clusterizado ao qual os clientes estão se conectando, você precisará definir as propriedades nesse nome clusterizado para que ele responda aos CNAMEs: como configurar um alias para um compartilhamento SMB clusterizado com Windows Server 2012.
Rastreamento de rede
Para coletar um rastreamento de rede, siga estas etapas:
Abra uma janela de Prompt de Comando elevada, digite o seguinte comando e pressione Enter:
netsh trace start NetConnection capture=yes maxsize=100 filemode=circular overwrite=yes traceFile=c:\%COMPUTERNAME%_Repro_trace.etl
Exclua todas as conexões de rede existentes do Servidor de Arquivos executando o seguinte comando:
NET USE * /DELETE
Inicialize todo o cache de nomes excluindo o cache existente:
Para excluir o cache DNS, digite o seguinte comando e pressione Enter:
IPCONFIG /FLUSHDNS
Para excluir o cache NetBIOS, digite o seguinte comando e pressione Enter:
NBTSTAT /RR
Para excluir o cache Kerberos, digite o seguinte comando e pressione Enter:
KLIST /PURGE
Para excluir o cache ARP, digite o seguinte comando e pressione Enter:
ARP -d
Tente se conectar ao compartilhamento de rede digitando o seguinte comando e pressionando Enter:
NET USE * \\server_name\share_name
Para interromper o rastreamento de rede em um cenário mal sucedido, digite o seguinte comando e pressione Enter:
netsh trace stop
Coletar configurações de registro
Para coletar as configurações do registro no servidor de arquivos, selecione Iniciar, selecione Executar, digite o comando na caixa Abrir e selecione OK. Repita esta etapa para os seguintes comandos:
REG.EXE SAVE HKLM\SYSTEM C:\TEMP\%COMPUTERNAME%_SYSTEM.HIV
REG.EXE SAVE HKLM\SOFTWARE C:\TEMP\%COMPUTERNAME%_SOFTWARE.HIV
REG.EXE SAVE HKCU\Software C:\TEMP\%COMPUTERNAME%_HKCU.HIV
Observação
Os arquivos de configuração do registro (. O HIV) é salvo na pasta TEMP no servidor de arquivos.
Verificar as configurações do registro
Verifique as configurações dos seguintes valores de registro no servidor de arquivo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\DisableStrictNameChecking
Aplicar hotfixes (servidor e cliente)
Para Windows 7 e Windows Server 2008 R2, aplique o seguinte roll-up de hotfix do Windows 7 Enterprise:
Um roll-up de hotfix empresarial está disponível para Windows 7 SP1 e Windows Server 2008 R2 SP1
Além disso, aplique os seguintes hotfixes:
- Mensagem de erro "Falha de gravação atrasada" quando os arquivos .pst são armazenados em um servidor de arquivo de rede que está executando o Windows Server 2008 R2
- Você experimenta um longo tempo de logon ao tentar fazer logon em um computador cliente baseado no Windows 7 ou no Windows Server 2008 R2 que usa perfis de roaming
- OpsMgr 2012 ou OpsMgr 2007 R2 gera uma mensagem "Falha de Pulsação" e, em seguida, entra em um estado acinzenado no Windows Server 2008 R2 SP1
Referências
- Mensagem de erro ao tentar acessar um servidor localmente usando seu Alias FQDN ou CNAME depois de instalar o Service Pack 1 do Windows Server 2003: "Acesso negado" ou "Nenhum provedor de rede aceitou o caminho de rede fornecido"
- MS08-068: A vulnerabilidade no SMB pode permitir a execução remota do código
- Não é possível acessar um recurso hospedado em um cluster de failover baseado em Windows Server 2012
- Lista de hotfixes disponíveis atualmente para as tecnologias dos Serviços de Arquivos no Windows Server 2008 e no Windows Server 2008 R2
- Lista de hotfixes disponíveis atualmente para as tecnologias dos Serviços de Arquivo no Windows Server 2012 e no Windows Server 2012 R2
- Adicionar a chave de registro DisableStrictNameChecking
- DisableStrictNameChecking; O alias do servidor não funciona do servidor real
- Por que precisamos do SPN para Servidor de Arquivos (NAS/RAS /Sistema de Compartilhamento de Arquivos) DNS Alias (Cname)
Aviso de isenção de responsabilidade para informações de terceiros
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de