Согласование, настройка сеанса и сбои подключения к дереву

В этой статье описывается, как устранять сбои, возникающие во время запроса SMB Negotiate, Session Setup и Tree Connect.

Сбой согласования

Сервер SMB получает запрос SMB NEGOTIATE от клиента SMB. Время ожидания подключения и сброс после 60 секунд. Может быть сообщение ACK после около 200 микросекунд.

Эта проблема чаще всего вызвана антивирусной программой.

Если вы используете Windows Server 2008 R2, для этой проблемы существуют исправления. Убедитесь, что клиент SMB и сервер SMB обновлены.

Сбой установки сеанса

Сервер SMB получает запрос SMB SESSION_SETUP от клиента SMB, но не удалось ответить.

Если полное доменное имя (FQDN) или имя системы ввода и вывода сети (NetBIOS) сервера используется в пути универсального именования (UNC), Windows будет использовать Kerberos для проверки подлинности.

После ответа "Согласование" будет предпринята попытка получить билет Kerberos для имени субъекта-службы Common Internet File System (CIFS) сервера. Ознакомьтесь с трафиком Kerberos через TCP-порт 88, чтобы убедиться, что при получении маркера клиентом Kerberos отсутствуют ошибки Kerberos.

Примечание.

Ошибки, возникающие во время предварительной проверки подлинности Kerberos, являются ОК. Ошибки, возникающие после предварительной проверки подлинности Kerberos (экземпляры, в которых проверка подлинности не работает), являются ошибками, которые вызвали проблему SMB.

Кроме того, выполните следующие проверки:

• Просмотрите большой двоичный объект безопасности в запросе SMB SESSION_SETUP, чтобы убедиться, что отправлены правильные учетные данные.
• Попробуйте отключить ужесточение имени сервера SMB (SmbServerNameHardeningLevel = 0).
• Убедитесь, что у сервера SMB есть имя субъекта-службы при доступе к ней через запись DNS CNAME.
• Убедитесь, что подписывание SMB работает. (Это особенно важно для старых сторонних устройств.)

Сбой подключения к дереву

Убедитесь, что учетные данные учетной записи пользователя имеют разрешения для общей папки и файловой системы NT (NTFS).

Причину распространенных ошибок подключения к деревам можно найти в 3.3.5.7, получая запрос SMB2 TREE_CONNECT. Ниже приведены решения для двух распространенных кодов состояния.

• [STATUS_BAD_NETWORK_NAME]

  Убедитесь, что общая папка существует на сервере и правильно ли она написана в запросе клиента SMB.

• [STATUS_ACCESS_DENIED]

  Убедитесь, что диск и папка, используемые общей папкой, существуют и доступны.

Если вы используете SMBv3 или более поздней версии, проверьте, требуется ли шифрование сервера и общего ресурса, но клиент не поддерживает шифрование. Для этого вам нужно выполнить следующие действия.

• Проверьте сервер, выполнив следующий командлет.

  Get-SmbServerConfiguration | select Encrypt*
  

  Если EncryptData и RejectUnencryptedAccess имеют значение true, серверу требуется шифрование.

• Проверьте общую папку, выполнив следующий командлет:

  Get-SmbShare | select name, EncryptData  
  

  Если EncryptData значение true в общей папке и RejectUnencryptedAccess имеет значение true на сервере, шифрование требуется для общей папки.

Следуйте приведенным ниже рекомендациям по устранению неполадок:

• Windows 8, Windows Server 2012 и более поздних версиях windows поддерживают шифрование на стороне клиента (SMBv3 и более поздние версии).
• Windows 7, Windows Server 2008 R2 и более ранние версии Windows не поддерживают шифрование на стороне клиента.
• Samba и стороннее устройство могут не поддерживать шифрование. Для получения дополнительных сведений может потребоваться обратиться к документации по продуктам.

Ссылки

Для получения дополнительных сведений см. следующие статьи.

• 3.3.5.4 Получение запроса SMB2 NEGOTIATE
• 3.3.5.5. Получение запроса SMB2 SESSION_SETUP
• 3.3.5.7 Получение запроса SMB2 TREE_CONNECT