Negociar, Configurar sessão e falhas do Tree Connect
Este artigo descreve como solucionar problemas das falhas que ocorrem durante uma solicitação SMB Negotiate, Session Setup e Tree Connect.
Negociar falha
O servidor SMB recebe uma solicitação SMB NEGOTIATE de um cliente SMB. A conexão acaba e é redefinida após 60 segundos. Pode haver uma mensagem ACK após cerca de 200 microssegundos.
Esse problema geralmente é causado pelo programa antivírus.
Se você estiver usando o Windows Server 2008 R2, haverá hotfixes para esse problema. Verifique se o cliente SMB e o servidor SMB estão atualizados.
Falha na configuração da sessão
O servidor SMB recebe uma solicitação de SESSION_SETUP SMB de um cliente SMB, mas não respondeu.
Se o nome de domínio totalmente qualificado (FQDN) ou NetBIOS (Sistema de Entrada/Saída Básico de Rede) for usado no caminho da UNC (Convenção Universal de Nomenclatura), o Windows usará Kerberos para autenticação.
Após a resposta Negociar, haverá uma tentativa de obter um tíquete Kerberos para o SPN (Common Internet File System) do servidor. Examine o tráfego Kerberos na porta TCP 88 para garantir que não haja erros kerberos quando o cliente SMB estiver ganhando o token.
Observação
Os erros que ocorrem durante a Pré-Autenticação kerberos são OK. Os erros que ocorrem após a Pré-Autenticação kerberos (instâncias em que a autenticação não funciona), são os erros que causaram o problema SMB.
Além disso, faça as seguintes verificações:
- Examine o blob de segurança no SMB SESSION_SETUP solicitação para garantir que as credenciais corretas sejam enviadas.
- Tente desabilitar o endurecimento de nome do servidor SMB (SmbServerNameHardeningLevel = 0).
- Verifique se o servidor SMB tem um SPN quando ele é acessado por meio de um registro DNS CNAME.
- Verifique se a assinatura de SMB está funcionando. (Isso é especialmente importante para dispositivos mais antigos e de terceiros.)
Falha no Tree Connect
Verifique se as credenciais da conta de usuário têm permissões de NTFS (sistema de arquivos NT) e compartilhamento para a pasta.
A causa de erros comuns do Tree Connect pode ser encontrada em 3.3.5.7 Recebendo uma Solicitação de TREE_CONNECT SMB2. A seguir estão as soluções para dois códigos de status comuns.
[STATUS_BAD_NETWORK_NAME]
Verifique se o compartilhamento existe no servidor e se ele está escrito corretamente na solicitação do cliente SMB.
[STATUS_ACCESS_DENIED]
Verifique se o disco e a pasta que são usados pelo compartilhamento existem e estão acessíveis.
Se você estiver usando o SMBv3 ou posterior, marcar se o servidor e o compartilhamento exigem criptografia, mas o cliente não dá suporte à criptografia. Para fazer isso, execute as seguintes ações:
Verifique o servidor executando o cmdlet a seguir.
Get-SmbServerConfiguration | select Encrypt*
Se
EncryptData
eRejectUnencryptedAccess
forem verdadeiros, o servidor exigirá criptografia.Verifique o compartilhamento executando o seguinte cmdlet:
Get-SmbShare | select name, EncryptData
Se
EncryptData
for true no compartilhamento eRejectUnencryptedAccess
for verdadeiro no servidor, a criptografia será necessária pelo compartilhamento
Siga estas diretrizes à medida que você soluciona problemas:
- Windows 8, Windows Server 2012 e versões posteriores da criptografia do lado do cliente do Windows (SMBv3 e posterior).
- Windows 7, Windows Server 2008 R2 e versões anteriores do Windows não dão suporte à criptografia do lado do cliente.
- O samba e o dispositivo de terceiros podem não dar suporte à criptografia. Para obter mais informações, talvez seja necessário consultar a documentação do produto.
Referências
Para obter mais informações, consulte os seguintes artigos.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de