Устранение ошибки подключения к общему ресурсу во время копирования данных в Azure Data Box

  • Статья

В этой статье описывается, что делать, если не удается подключиться к общему ресурсу SMB на устройстве Azure Data Box из-за проблемы в сети.

Ниже перечислены наиболее распространенные причины невозможности подключения к общему ресурсу на вашем устройстве.

Поиск проблем с доменом

Чтобы узнать, не препятствует ли проблема с доменом сетевому подключению, выполните следующие действия.

  • Попробуйте подключиться к устройству и используйте один из следующих форматов для ввода имени пользователя:

    • <device IP address>\<user name>
    • \<user name>

Если вы можете подключиться к устройству, проблемы с доменом не препятствуют подключению к общему ресурсу.

Доступ учетной записи к общему ресурсу заблокирован

После пяти неудачных попыток подключиться к общему ресурсу с неверным паролем этот общий ресурс будет заблокирован и вы не сможете подключиться к нему в течение 15 минут.

Неудачные попытки подключения могут сопровождаться фоновыми процессами, например повторными попытками, о которых вы, возможно, не знаете.

Примечание.

Если у вас старое устройство с Data Box версии 4.0 или более ранней, учетная запись блокируется на 30 минут после 3 неудачных попыток входа.

Описание ошибки. В зависимости от того, как вы получаете доступ к общей папке, вы увидите одну из следующих ошибок.

  • Если вы пытаетесь подключиться с главного компьютера через SMB, вы увидите ошибку The referenced account is currently locked out and may not be logged on to (Учетная запись, на которую указывает ссылка, заблокирована, и вход невозможен).

    В следующем примере показаны выходные данные одной из таких попыток подключения.

    C:\Users\Databoxuser>net use \\10.100.100.10\mydbresources_BlockBlob /u:10.100.100.10\mydbresources
Enter the password for '10.100.100.10\mydbresources' to connect to '10.100.100.10':
System error 1909 has occurred.

The referenced account is currently locked out and may not be logged on to.

  • Если вы используете службу копирования данных, вы получите следующее уведомление в локальном пользовательском веб-интерфейсе устройства:

    Screenshot of the Notifications pane in the local Web UI for a Data Box. A notification for a locked share account is highlighted.

Предлагаемое решение. Чтобы подключиться к общему ресурсу SMB после блокировки доступа учетной записи к общему ресурсу, выполните следующие действия.

  1. Если состояние панели мониторинга указывает, что устройство заблокировано, разблокируйте устройство на верхней панели команд и повторите попытку подключения.

    Screenshot of the dashboard locked status.

  2. Если вы по-прежнему не можете подключиться к общей папке S МБ после разблокировки устройства, проверьте учетные данные S МБ для общей папки. В локальном пользовательском веб-интерфейсе устройства перейдите в Подключиться и скопировать, а затем выберите команду SMB. Вы увидите следующее диалоговое окно.

    Screenshot of Access Share And Copy Data screen for an SMB share on a Data Box. Copy icons for the account, username, and password are highlighted.

  3. По окончании периода блокировки (15 минут или 30 минут) блокировка будет снята. Теперь можно подключиться к общему ресурсу.

    • Чтобы подключиться к общему ресурсу с главного компьютера через SMB, выполните следующую команду. Описание см. в статье Копирование данных в Data Box по SMB.

      net use \\<IP address of the device>\<share name> /u:<IP address of the device>\<user name for the share>

    • Чтобы подключиться к общему ресурсу с помощью службы копирования данных, проверьте уведомление о том, что учетная запись пользователя была разблокирована, как показано ниже. В области Копирование данных теперь можно копировать данные в Data Box.

      Screenshot of Copy Data pane in Data Box local Web UI.Notification that the share user account was unlocked and the Data Copy option are highlighted.

Поиск блокировки в групповой политике

Проверьте, препятствует ли групповая политика на клиентском или главном компьютере подключению к общей папке. Если это возможно, переместите клиентский или главный компьютер в подразделение, к которому не применяются объекты групповой политики.

Чтобы запретить доступ к общим ресурсам на Data Box, не запрещая групповые политики, выполните следующие действия.

  • Убедитесь, что виртуальный массив находится в собственном подразделении Active Directory.

  • Убедитесь, что к клиентскому и главному компьютерам не применяются объекты групповой политики. Для виртуального массива (дочерний узел) можно заблокировать наследование, чтобы предотвратить автоматическое наследование объектов групповой политики от родительского узла. Дополнительные сведения см. в статье Блокирование наследования.

Поиск проблем с разрешениями

Если нет проблем с доменом, а групповые политики не блокируют доступ к общей папке, проверьте наличие разрешений на устройстве, просмотрев журналы аудита и журналы событий безопасности.

Журналы событий безопасности Windows

Проверьте журналы событий безопасности Windows на устройстве на наличие ошибок, указывающих на сбой проверки подлинности.

Просмотреть журналы событий Smbserver.Security в папке etw или просмотреть ошибки безопасности можно в инструменте "Просмотр событий".

Чтобы проверить журналы событий безопасности Windows в инструменте "Просмотр событий", выполните следующие действия.

  1. Чтобы открыть Просмотр событий Windows, на начальном экране введите Средство просмотра событий и нажмите клавишу ВВОД.

  2. На панели навигации инструмента "Просмотр событий" разверните Журналы Windows и выберите папку Безопасность.

    Screenshot of the Windows Event Viewer with Security events displayed. The Windows folder and Security subfolder are highlighted.

  3. Ищите одну из таких ошибок:

    Ошибка 1.

    SMB Session Authentication Failure
Client Name: \\<ClientIP>
Client Address: <ClientIP:Port>
User Name:
Session ID: 0x100000000021
Status: The attempted logon is invalid. This is either due to a bad username or authentication information. (0xC000006D)
SPN: session setup failed before the SPN could be queried
SPN Validation Policy: SPN optional / no validation

    Ошибка 2.

     LmCompatibilityLevel value is different from the default.
Configured LM Compatibility Level: 5
Default LM Compatibility Level: 3

    Любая ошибка означает, что необходимо изменить уровень проверки подлинности в диспетчере сети на устройстве.

Сетевая безопасность: уровень проверки подлинности в диспетчере сети

Чтобы изменить уровень проверки подлинности в диспетчере сети на устройстве, можно либо использовать локальную политику безопасности, либо напрямую обновить реестр.

Использование локальной политики безопасности

Чтобы изменить уровень проверки подлинности в диспетчере сети с помощью локальной политики безопасности, выполните следующие действия.

  1. Чтобы открыть локальную политику безопасности на экране Запуск, введите secpol.msc, а затем нажмите клавишу ВВОД.

  2. Перейдите в раздел Локальные политики>Параметры безопасности и откройте политику Безопасность сети: уровень проверки подлинности в диспетчере сети.

    Screenshot showing the Security Options in the Local Security Policy editor. The

  3. Измените настройки на Отправлять только ответ NTLMv2. Отклонять LM и NTLM.

    Screenshot showing

Обновление реестра

Если вы не можете изменить уровень проверки подлинности в диспетчере сети в локальной политике безопасности, обновите реестр напрямую.

Для непосредственного обновления реестра выполните следующие действия.

  1. Чтобы запустить редактор реестра (regedit32.exe), на экране Пуск введите regedt32, а затем нажмите клавишу ВВОД.

  2. Перейдите к: HKEY_LOCAL_MACHINE >> system CurrentControlSet > Control > LSA.

    Screenshot showing the Registry Editor with the LSA folder highlighted.

  3. В папке LSA откройте раздел реестра LMCompatibilityLevel и измените его значение на 5.

    Screenshot of dialog box used to change LmcompatibilityLevel key in the registry. The Value Data field is highlighted.

  4. Перезагрузите компьютер, чтобы изменения в реестре вступили в силу.

Следующие шаги