Acesso anônimo ao compartilhamento SMB hospedado no Server 2008 R2 Enterprise

13

Primeiro, li esta postagem e várias outras publicações que não são do SF, que parecem tratar do mesmo problema ou de um problema semelhante; no entanto, ainda não consegui resolver o problema.

Eu tenho três máquinas nessa situação:

  • um servidor ingressado no domínio que executa o Server 2008 R2 Enterprise ("servidor de compartilhamento")
  • um servidor de teste não associado ao domínio executando o Server 2003 R2 SP2 ("servidor de teste")
  • uma estação de trabalho ingressada no domínio executando o XP Pro SP3 ("estação de trabalho")

O servidor de compartilhamento está expondo um compartilhamento na rede que o servidor de teste deve acessar - é um compartilhamento do Servidor de Origem / Símbolo para nossos propósitos de depuração. Acredito que o visual studio simplesmente acesse o compartilhamento com suas próprias credenciais nesse caso, o que significa que o compartilhamento deve ser acessível anonimamente, pois o servidor de teste não está associado ao domínio e não há oportunidade de fornecer autenticação de domínio.

Eu tentei várias coisas para evitar a janela de autenticação ao acessar o compartilhamento:

  • Ativei a conta Convidado no servidor de compartilhamento e concedeu permissões de compartilhamento / NTFS completas para Convidado para o compartilhamento.
  • Eu dei permissões de compartilhamento / NTFS ANONYMOUS LOGON completo para o compartilhamento.
  • Adicionei meu compartilhamento a "Acesso à rede: compartilhamentos que podem ser acessados ​​anonimamente" no LSP.
  • Desabilitei "Acesso à rede: restringir o acesso anônimo a pipes e compartilhamentos nomeados" no LSP.
  • Ativei o "Acesso à rede: permita que todas as permissões se apliquem a usuários anônimos" no LSP.
  • Adicionado LOGON ANÔNIMO para "Acessar este computador a partir da rede" no LSP.
  • Adicionada a conta Convidado para “Acessar este computador pela rede” no LSP.
  • Tentativa de provisionar o compartilhamento usando o snap-in MMC de gerenciamento de compartilhamento e armazenamento.

Infelizmente, quando tento acessar o compartilhamento no servidor de teste, ainda vejo o prompt e sou forçado a inserir "Convidado" manualmente.

Também tentei esse fluxo de trabalho usando a conta de administrador local em uma estação de trabalho, e o mesmo ocorre com e sem o XP Simple File Sharing ativado.

Alguma idéia de por que estou obtendo esses resultados ou o que deveria ter feito de diferente?

bwerks
fonte
Acho que você mudou "servidor de teste" e "estação de trabalho" na lista de máquinas, ou simplesmente não estou seguindo isso?
Charlesbridge
Eu executei esse tipo de procedimento várias vezes. Alguns dos seus passos eu não tenho. A única coisa que consigo pensar em perder é dar a Todos acesso ao compartilhamento e ao sistema de arquivos. Isso ajuda?
Jeremy
por curiosidade, o uso de um sistema operacional mais recente (por exemplo, Windows 7 ou Windows Server 2008) altera alguma coisa nesse cenário de compartilhamento de grupos de trabalho versus compartilhamentos de domínio? Parece-me que o servidor Win2k3 é muito velho e talvez seja um problema de handshaking.
Jeff Atwood 22/05
Pode ser necessário fazer o downgrade das configurações do NTLMv3 / Kerberos para LM. Não me lembro e não tenho uma em mãos.
Grizly
Você foi avisado ao tentar se conectar à unidade de compartilhamento oculta C $?
Danno

Respostas:

4

Você fez tudo correto, com exceção da conta local que acessa o compartilhamento não pode estar nos dois sistemas. Essencialmente, se a conta que não é de domínio que executa seu aplicativo é chamada "administrador", você não deve ter uma conta local no servidor de domínio chamada "administrador".

lllukej
fonte
2

Se o nome de usuário com o qual você está usando o login existir no servidor, mas tiver uma senha diferente, ela sempre solicitará a senha, independentemente das configurações de convidado e anônimas que você criou.

Tente fazer login com um nome de usuário que não exista em nenhum lugar do servidor ou do domínio.

A outra opção é tornar a senha no servidor independente exatamente igual à do usuário nomeado idêntico no domínio.

QueBall
fonte
1
Esse é um bom argumento, na verdade. As credenciais de Convidado (e não a senha como tal) existirão no Servidor de Teste e serão passadas para o Servidor de Compartilhamento, que falhará como errado, sendo o contrário.
Grizly 9/08/2012
1

Que tal mapear uma unidade de rede e utilizar uma sintaxe de conexão persistente seria algo parecido com isto.

net use H: \ caminho \ para \ servidor \ PASSWORD_CLEAR_TXT / usuário: domínio \ usuário / persistente: sim

se a qualquer momento você quiser excluí-lo, use h: / delete

Nick O'Neil
fonte
Isso requer um usuário conectado que nem sempre está disponível.
NotMe
Não, ele requer um script e uma entrada de registro em \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run ou RunOnce
Grizly
1

Possivelmente solução temporária. Você pode criar uma conta de usuário local (e dar permissões de compartilhamento \ ntfs) no "servidor de compartilhamento" com o mesmo nome e senha da conta usada no seu "servidor de teste" para executar o aplicativo acessando compartilhamentos.

Valeriy.N
fonte
0

Não vejo que você adicionou TODOS às permissões de compartilhamento / segurança da rede. Convidado (uma vez ativado) deve ser incluído neste grupo. Como descrito aqui .

Também algumas boas respostas aqui , relacionadas a perguntas semelhantes (2003).

BoyMars
fonte
3
Pelo que entendi, o grupo Todos não se aplica a esse cenário, pois o significado de Todos é "qualquer usuário autenticado", ou seja, Todos exclui explicitamente o LOGON ANÔNIMO por padrão. Mesmo assim, para garantir a segurança, ativei a configuração "Permitir que todas as pessoas se apliquem a usuários anônimos".
bwerks
0

Você examinou este artigo (abaixo) em detalhes? Não se trata tanto de uma lista de etapas, mas de um detalhamento detalhado de como essa funcionalidade acontece.

http://www.minasi.com/newsletters/nws0312.htm

Brandon Langley
fonte
0

Você tentou adicionar explicitamente a conta do computador, ou seja, nomedocomputador $ para ter permissões no compartilhamento e via NTFS? Obviamente, isso não funcionaria com máquinas ingressadas sem domínio.

Dave P
fonte
0

Sempre será solicitado até que você faça uma de duas coisas. Ambos realizam a mesma tarefa de armazenar em cache as credenciais (que ironicamente, neste caso, não importam, mas ainda precisam estar presentes).

Uma é mapear a unidade e tornar o mapeamento persistente. A outra é abrir o gerenciador de credenciais diretamente e adicionar um login (qualquer login) para o servidor ao qual você está se conectando. O Credential Manager é acessado a partir do item do painel de controle dos usuários ou diretamente em "Painel de Controle \ Todos os Itens do Painel de Controle \ Gerenciador de Credenciais".

Bryansix
fonte