При проработке различных настроек на Windows Server 2019 Standard (Version 10.0.17763.2114)
на тестовом полигоне Debian 10 + Proxmox 6
в своей локальной сети столкнулся, что не вижу свой ресурс на базе Samba 2.4.3 on Ubuntu 14.04.5
(моя локальная сетевая папка, где у меня лежат образа, софт, книги, видеоуроки). А данная система успешно работает, как виртуальная машина на HP MicroServer Gen8.
При попытке обращения к нему по DNS
имени (\\srv-nas.polygon.lan
) или же по IP
адресу (\\172.35.35.4
) получаю сетевую ошибку вида:
Windows cannot access \\srv-nas.polygon.lan
Check the spelling of the name. Otherwise, there might be a problem with your network. To try to identify and resolve network problem
На заметку: Если посмотреть See details
то может быть код ошибки
Код ошибки 0x80070035 (Не найден сетевой путь)
Код ошибки 0x80004005 (Неопознанная ошибка)
Вот только данный ресурс работает и к нему я успешно обращаюсь, с Windows 7,10, Server 2012 R2, Ubuntu
систем, а почему же для Windows Server 2019
нужно что-то еще?
Для начала проверяю конфигурационный файл smb.conf
дабы убедиться, что я в нем ничего не запретил, ну мало ли:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
ekzorchik@srv—nas:~$ cat /etc/samba/smb.conf | grep —v «^$» | grep —v «#» | grep —v «;» [global] workgroup = WORKGROUP server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic—action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad password usershare allow guests = yes [nas] path = /nas guest ok = yes read only = no create mask = 0777 directory mask = 0777 hide files = /$RECYCLE.BIN/desktop.ini/lost+found/Thumbs.db/ acl allow execute always = true ekzorchik@srv—nas:~$ |
и вывода вижу, что доступ возможен как авторизацией так и гостем.
Чтобы включить авторизацию гостем с Windows Server 2019
нужно
Win + R -> gpedit.msc - Local Computer Policy - Computer Configuration - Administrative Templates - Network - Lanman Workstation
Enable insecure guest logons: Enable
На заметку: Все выше указанное можно сделать через правку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\
изменяем значение параметра AllowInsecureGuestAuth
на 1
и нужно после перезагрузить сервер, либо
cmd.exe — Run as Administrator echo y | net stop LanmanWorkstation && echo y | net start LanmanWorkstation |
теперь мой сетевой диск успешно открывается
Итого в моем случаем дома авторизация на сетевой папке ни к чему и можно оставить так. Главное что я разобрал как получить доступ к нужной информации в локальной сети.
На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.
Если вы из Windows 10 или 11 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей версии Windows отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). В современных версиях Windows 10 и в Windows 11 по-умолчанию отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2 и SMBv3.
Microsoft планомерно отключает старые и небезопасные версии протокола SMB во всех последний версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (как в Datacenter так и в Standard редакциях) в операционной системе по умолчанию отключен протокол SMBv1 (помните атаку шифровальщика WannaCry, которая как раз и реализовалась через дыру в SMBv1).
Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows при доступе к общей сетевой папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.
Содержание:
- Вы не можете получить гостевой доступ к общей папке без проверки подлинности
- Вашей системе необходимо использовать SMB2 или более позднюю
- Нет доступа к сетевой папке, у вас нет прав доступа
- Дополнительные способы проверки доступа к сетевой папке в Windows
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \\nas1\share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
При этом на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Причина в том, что в современных билдах Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.
Данная ошибка говорит о том, что ваш компьютер (клиент) блокирует не аутентифицированный доступ под аккаунтом guest.
Чаще всего с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, тогда нужно настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB папку с Linux, добавьте в в секции [global] конфигурационного файла smb.conf строку:
map to guest = never
А в секции с описанием сетевой папки запретить анонимный доступ:
guest ok = no
- В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) измените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для сетевого доступа к общим папкам на этом компьютере..
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор локальных групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
Обновите настройки групповых политик в Windows с помощью команды:
gpupdate /force
В Windows 10 Home, в которой нет редактора локальной GPO,вы можете внести аналогичное изменение через редактор реестра вручную::
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
Или такими командами:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
Вашей системе необходимо использовать SMB2 или более позднюю
Другая возможная проблема при доступе к сетевой папке из Windows 10 – поддержка на стороне сервера только протокола SMBv1. Т.к. клиент SMBv1 по умолчанию отключен в Windows 10, то при попытке открыть шару или подключить сетевой диск вы можете получить ошибку:
Не удалось выполнить сопоставление сетевого диска из-за следующей ошибки. Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
При этом соседние устройства SMB могут не отображаться в сетевом окружении и при открытии сетевых папок по UNC пути может появляться ошибка 0x80070035.
Сообщение об ошибки явно указывает, что сетевая папка поддерживает только SMBv1 для доступа к файлам. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).
Если сетевые папки раздает Samba сервер на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:
[global] server min protocol = SMB2_10 client max protocol = SMB3 client min protocol = SMB2_10 encrypt passwords = true restrict anonymous = 2
В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так через реестр:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force
В Windows 8.1 отключите SMBv1, разрешите SMBv2 и SMBv3 и проверьте что для вашего сетевого подключения используется частный или доменный профиль:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется!!!
Если удаленное устройство требует использовать SMBv1 для подключения, и этот протокол отключен в вашем устройстве Windows, в Event Viewer появляется ошибка:
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 32000 Description: SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен (
State: Disabled
):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Включите поддержку протокола SMBv1 (потребуется перезагрузка):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Также вы можете включить/отключить SMBv1 в Windows 10 и 11 из меню
optionalfeatures.exe
-> SMB 1.0/CIFS File Sharing Support –> SMB 1.0/CIFS Client.
В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).
В этом примере я включил только SMBv1 клиент. Не включайте компонент SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве сервера для хранения общих папок.
После установке клиента SMBv1, вы должны без проблем подключиться к общей сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает снижает уровень безопасности.
Нет доступа к сетевой папке, у вас нет прав доступа
При подключении к сетевой папке на другом компьютере может появится ошибка:
Нет доступа к \\ComputerName\Share. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к системному администратору этого сервера для получения соответствующих прав доступа.
Network Error Windows cannot access \\PC12\Share You do not have permissions to access \\PC12\Share. Contact your network administrator to request access.
При появлении это ошибки нужно:
- Убедиться, что пользователю, под которым вы подключаетесь к сетевой папке, предоставлены права доступа на сервере. Откройте свойства общей папке на сервере и убедитесь что у вашего пользователя есть права доступа.
Проверьте разрешения сетевой шары на сервере с помощью PowerShell:
Get-SmbShareAccess -Name "tools"
Затем проверьте NTFS разрешения:
get-acl C:\tools\ |fl
Если нужно, отредактируйте разрешения в свойствах папки. - Проверьте, что вы используете правильные имя пользователя и пароль для доступа к сетевой папки. Если имя и пароль не запрашиваются, попробуйте удалить сохраненные пароли для доступа к сетевой папке в диспетчере учетных записей Windows. Выполните команду
rundll32.exe keymgr.dll, KRShowKeyMgr
и удалите сохраненные учетные данные для доступа к сетевой папке.
При следующем подключении к сетевой папки появится запрос имени и пароля. Укажите имя пользователя для доступа к папке. Можете сохранить его в Credential Manager или добавить вручную.
Дополнительные способы проверки доступа к сетевой папке в Windows
В этом разделе указаны дополнительные способы диагностики при проблема с открытием сетевые папок в Windows:
При попытке подключения к сетевым ресурсам в Windows 11 или Windows 10 — открытии сетевой папки, доступе к NAS и в других ситуациях некоторые пользователи могут столкнуться с сообщением о сетевой ошибке «Windows не может получить доступ к (адрес ресурса)», код ошибки 0x80004005 Неопознанная ошибка (или Error Code 0x80004005 Unspecified error в англоязычном варианте).
В этой инструкции подробно о способах исправить ошибку 0x80004005 при доступе к сетевым папкам и другим ресурсам. Ошибка с тем же кодом, но применительно к виртуальным машинам рассмотрена в отдельном материале: Ошибка E_FAIL 0x80004005 в VirtualBox.
Разрешение анонимного гостевого доступа к сетевым папкам
Начиная с Windows 10 версии 1709 и Windows Server 2019, клиент SMB2 и SMB3 по умолчанию не допускает подключения с гостевой учетной записью к удаленному серверу: при попытке выполнить такое подключение вы получите либо окно «Сетевая ошибка» с сообщением «0x80004005 Неопознанная ошибка», либо схожий сбой — 0x80070035 Не найден сетевой путь.
Варианты решения:
- Убедитесь, что для службы SMB включен автоматический запуск, для этого используйте команду
sc.exe qc lanmanworkstation
в командной строке, запущенной от имени администратора, тип запуска должен быть установлен в AUTO_START. Если это не так, по порядку используйте следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/ns sc.exe config mrxsmb20 start= auto
- В командной строке выполните две команды:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f net stop LanmanWorkstation && net start LanmanWorkstation
- На компьютере, к которому выполняется подключения откройте Локальную политику безопасности (Win+R — secpol.msc), перейдите в Локальные политики — Назначение прав пользователя — Отказать в доступе к этому компьютеру из сети, удалите «Гость» в этом параметре локальной безопасности. Не забудьте отключить общий доступ с парольной защитой для гостевого доступа к общим папкам.
Обычно уже второе действие позволяет исправить ошибку 0x80004005, но не всегда. Если ошибка при подключении к сетевым папкам сохраняется, можно попробовать использовать описанные далее дополнительные подходы к решению проблемы.
Некоторые дополнительные способы исправить ошибку 0x80004005 при доступе к сетевым папкам:
- Проверьте, решает ли проблему отключение протокола IPv6 для сетевого подключения (Win+R — ncpa.cpl — открыть свойства нужного подключения и снять отметку с соответствующего протокола).
- Попробуйте включить протокол SMB 1.0: Win+R — appwiz.cpl — Включение или отключение компонентов Windows и установка соответствующей отметки. Подробно и другие способы в инструкции: Как включить SMB 1.0 в Windows 11 и Windows 10
- Убедитесь, что следующие службы не отключены: «Публикация ресурсов обнаружения функции», «Хост поставщика функции обнаружения», «Обнаружение SSDP», «DNS-клиент» и «DHCP-клиент».
- При доступе к сетевым ресурсам с учетными данными, зайдите в Панель управления — Диспетчер учетных данных — Учетные данные Windows — Добавить учетные данные Windows. Введите имя пользователя и пароль для доступа (сетевой путь, имя и пароль пользователя, у которого есть доступ к указанному расположению).
- При наличии в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
параметров RestrictReceivingNTLMTraffic и RestrictSendingNTLMTraffic попробуйте удалить их и перезагрузить компьютер.
- Проверьте, исчезает ли ошибка, если временно отключить антивирус или файрволл на компьютере.
- В свойствах протокола IPv4 подключения нажмите кнопку «Дополнительно» на вкладке «Общие», и включите NetBIOS через TCP/IP на вкладке WINS.
- Попробуйте указать статический IP-адрес, маску подсети и шлюз для IPv4 подключения на компьютере.
Надеюсь, один из вариантов сработал. Будет отлично, если в комментариях вы сможете поделиться информацией о том, какой именно из них оказался результативным.
- Remove From My Forums
-
Question
-
Hello,
Here is the problem: Windows Server 2019, Domain Controller, Firewall is off, Microsoft Antivirus.
Services started : Function Discovery*, SSDP Discovery, UPnP Device Host, etc.
Let’s say that the server name is «atlanta» and that I have some shared folders on this server.
I can access the folder «D:\SalesResults» for example but if this folder is shared, I cannot access it using «\\atlanta\SalesResults» from the server or from any workstations.
I get the error «Windows cannot access \\atlanta\SalesResults, Error code: 0x80070035, The network path was not found».
I have found that if I uncheck «File and Printer Sharing for Microsoft Networks» in the Ethernet properties of the network card + OK and if I check it again + OK, then the shared folders can be accessed.
Each time I reboot the server, the problem appears again.
Any idea?
Answers
-
I find the solution.
The Twisty Impersonator solution!
Here:
https://superuser.com/questions/1240213/cannot-connect-to-windows-share-via-local-network-ip-address-but-can-by-localho
-
Marked as answer by
Friday, December 28, 2018 9:00 PM
-
Marked as answer by
- Remove From My Forums
Общий доступ к папкам
-
Question
-
Есть сервер не в домене, firewall включен, не получается сделать общий доступ к папке, включил правила
Правило входящего трафика для общего доступа к файлам и принтерам, разрешающее передачу и прием по протоколу SMB через именованные каналы. [TCP 445]
Правило входящих подключений для общего доступа к файлам и принтерам для разрешения подключений сеанса службы NetBIOS. [TCP 139
Но доступа к папке нет. При открытии по сети не показывает общие папки. Просто пусто, как будто нет общих папок
-
Edited by
Tuesday, June 8, 2021 9:27 AM
-
Edited by
Answers
-
Ошибка была вызвана тем, что безопасники отключили «Общий доступ к файлам и принтерам для сетей MS»
-
Marked as answer by
AlexeyIschenko
Tuesday, June 29, 2021 6:00 AM
-
Marked as answer by