Problem mit Autorisierung bei SMB-Zugriff im Win10 Arbeitsgruppennetzwerk (Peer-to-Peer keine Domäne

Diskutiere Problem mit Autorisierung bei SMB-Zugriff im Win10 Arbeitsgruppennetzwerk (Peer-to-Peer keine Domäne im Windows 10 Forum im Bereich Microsoft Community; Guten Tag, in einem produktiv genutzten Netzwerk (5PC - Win10x64 Pro ohne dedizierten Server) wird von den Clienten per SMB auf...

MS-User

Threadstarter
Dabei seit
20.09.2016
Beiträge
94.184
Guten Tag,

in einem produktiv genutzten Netzwerk (5PC - Win10x64 Pro ohne dedizierten Server) wird von den Clienten per SMB auf Netzwerkreigaben auf einem PC zugegriffen. Auf allen PCs sind identisch Nutzer/Pwd eingetragen, die Freigaben erfolgen mit Nutzernamen/Pwd (kein Heimnetzwerk, Netzwerkprofil privat). Der PC mit Freigaben ist Win10 1703 und alle anderen darauf zugreifenden Rechner Win10 1709. Das Feature SMBv1 ist auf allen PCs bereits deinstalliert. Oberflächlich funktionieren die Freigaben, allerdings gibt es kuriose Eventlogeinträge SMBServer-Security welche auf Zugriffsprobleme hindeuten. Auf dem Freigabe-PC kann wegen der nachfolgend geschilderten Probleme derzeit noch kein 1709 genutzt werden, weshalb ich um Hilfe bei der Lokalisierung und Behebung der Fehler bitte.

Folgendes Szenario führt bereits zu Problemen: Bei Anmeldung am Clienten werden die permanent eingestellten Freigaben gemountet (Credentials für Zielrechner\Nutzer gespeichert) und dabei werden im Windows-Eventlog kuriose Fehlermeldungen jeweils die EventIDs " 551 - Fehler bei der Authentifizierung der SMB-Sitzung" und "1009 - Der Server hat den anonymen Zugriff auf den Client verweigert" eingetragen, als wenn man sich Anonym anmelden wollte (was aber nicht der Fall ist, wie Wireshark-Log auch detailliert zeigt). Dabei ist egal von welchem Clienten der Zugriff erfolgt. Die Meldung selbst deutet darauf hin, dass eine Autorisierung mittels Domänenanfrage (Kerberos-Tickets o.ä.) erfolgen soll, wobei die PCs nie in einer Domäne waren und auch kein Server vorhanden ist. Optionen zur Konfiguration der Autorisierung habe ich in lokalen Computerrichtlinien (Sicherheitseinstellungen/Netzwerksicherheit) gefunden, allerdings werden meine Einstellungen der Computerrichtlinie bei gpupdate nicht übernommen, wie mir auch später gpresult zeigt. Meine Frage ist: wie kann man im reinen Arbeitsgruppen-Netzwerk Win10 1703/1709 die Autorisierung für Freigaben so einstellen, dass Freigaben mit Nutzer/Pwd wieder korrekt funktionieren und welche Änderung gilt es evtl. beim in Version 1709 geänderten Oplock-Verhalten für proprietäre Software zu beachten?

Nachfolgend die Logdateiauszüge aus Eventlog, Wireshark sowie Trace im Message-Analyzer, wobei insbesondere Wireshark zeigt, das zunächst die Autorisierung korrekt erfolgreich abgeschlossen wurde und erst später der Zugriff verweigert wird. Interessant ist auch, dass der Message-Analyzer zeigt, dass die Autorisierung bis auf NTLM v1 herunter führt - hier hätte ich eine wesentlich besser abgesicherte Kommunikation erwartet. Bitte dringend um Hinweise zur Konfiguration der Arbeitsgruppenrechner.

Gern kann ich bei Bedarf noch weitere, detaillierte Loginfos nachreichen.

Herzlichen Dank im Voraus für die Bemühungen



==> SMBServer Eventlog:

Message : Fehler bei der Authentifizierung der SMB-Sitzung

Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Benutzername: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Sitzungs-ID: 0x84017C000031
Status: {Zugriff verweigert}
Ein Prozess hat einen Zugriff auf ein Objekt angefordert, aber ihm wurden nicht die Rechte für den Zugriff erteilt. (0xC0000022)
SPN: session setup failed before the SPN could be queried
SPN-Überprüfungsrichtlinie: SPN optional / no validation

Erläuterung:

Dieser Fehler kann auftreten, wenn Sie versuchen, mithilfe falscher Anmeldeinformationen eine Verbindung mit Freigaben herzustellen.

Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.

Dieser Fehler kann zurückzuführen sein auf: die Verwendung falscher Benutzernamen und Kennwörter für NTLM, nicht übereinstimmende LmCompatibility-Einstellungen zwischen Client und
Server, einen falschen Dienstprinzipalnamen, doppelte Prinzipalnamen für den Kerberos-Dienst, falsche Kerberos-Diensttickets für die Vergabe von Tickets oder Gastkonten ohne
aktivierten Gastzugriff
Id : 551
Version : 2
Qualifiers :
Level : 2
Task : 551
Opcode : 0
Keywords : 580964351930793992
RecordId : 19332
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}

Message : Der Server hat den anonymen Zugriff auf den Client verweigert.

Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Sitzungs-ID: 0x84017C000031

Erläuterung:

Dieser Fehler kann auftreten, wenn ein Client eine Verbindung mit Freigaben herzustellen versucht und keine Anmeldeinformationen eingibt. Dies ist ein Hinweis darauf, dass der
Client keinen Benutzernamen (und ggf. Domänenanmeldeinformationen) eingibt. Standardmäßig verweigert Windows Server den anonymen Zugriff auf Freigaben.

Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.
Id : 1009
Version : 0
Qualifiers :
Level : 2
Task : 1009
Opcode : 0
Keywords : 580964351930793992
RecordId : 19331
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}

Message Analyzer Infos:
MessageNumber DiagnosisTypes Timestamp TimeElapsed ResponseTime Source Destination Module Summary DiagnosisLevels TopModule TopSummary
23600 Application 2017-11-26T15:07:50.5429326 0,0000181 0,0000181 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0
24974 Application 2017-11-26T15:07:56.1349895 0,0000105 0,0000105 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0
37282 Application 2017-11-26T15:07:58.4705497 0,0002150 0,0002150 192.168.1.106 192.168.1.108 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0 2 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0

Wireshark Trace:
24 Client SMBServer SMB Negotiate Protocol Request
25 SMBServer Client SMB2 Negotiate Protocol Response
26 Client SMBServer SMB2 Negotiate Protocol Request
27 SMBServer Client SMB2 Negotiate Protocol Response
28 Client SMBServer SMB2 Session Setup Request, NTLMSSP_NEGOTIATE
29 SMBServer Client SMB2 Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE
30 Client SMBServer SMB2 Session Setup Request, NTLMSSP_AUTH, User: ARZT1\PraxisTeam
31 SMBServer Client SMB2 Session Setup Response (hier OK und Zugriff gewährt!)
32 Client SMBServer SMB2 Tree Connect Request Tree: \\192.168.1.108\PVS
33 SMBServer Client SMB2 Tree Connect Response
34 Client SMBServer SMB2 Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO
35 SMBServer Client SMB2 Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO
36 Client SMBServer SMB2 Tree Connect Request Tree: \\192.168.1.108\IPC$
37 SMBServer Client SMB2 Tree Connect Response
38 Client SMBServer SMB2 Ioctl Request FSCTL_DFS_GET_REFERRALS, File: \192.168.1.108\PraxisDaten
39 SMBServer Client SMB2 Ioctl Response, Error: STATUS_FS_DRIVER_REQUIRED
40 Client SMBServer SMB2 Tree Connect Request Tree: \\192.168.1.108\Daten
41 SMBServer Client SMB2 Tree Connect Response
42 Client SMBServer TCP 50320 ? 445 [ACK] Seq=1691 Ack=2428 Win=525312 Len=0
44 Client SMBServer SMB2 Create Request File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini
45 SMBServer Client SMB2 Create Response File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini
46 Client SMBServer SMB2 GetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini
47 SMBServer Client SMB2 GetInfo Response
48 Client SMBServer SMB2 GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini
49 SMBServer Client SMB2 GetInfo Response, Error: STATUS_ACCESS_DENIED (Hier dann Zugriff verweigert) Leserechte für Verzeichnisse sind vorhanden, da es sich aber um lokale Systemdateien auf dem Freigaberechner handelt, könnten diese natürlich gesperrt sein
 
Thema:

Problem mit Autorisierung bei SMB-Zugriff im Win10 Arbeitsgruppennetzwerk (Peer-to-Peer keine Domäne

Problem mit Autorisierung bei SMB-Zugriff im Win10 Arbeitsgruppennetzwerk (Peer-to-Peer keine Domäne - Ähnliche Themen

FritzBox 7270 - apache Webserver: Hallo, ich versuche gerade über diese Beschreibung einen Webserver auf die Fritzbox zu installieren. Folgendes ist bislang erfolgt: - Apache...
micha!:
Fixed Bugs in Windows XP SP1: Q282010 ACC2002: Updated Version of Microsoft Jet 4.0 Available in Download Center Application Compatibility 9/5/2002 4:39:00 PM Q307754 Cannot...

Sucheingaben

smb2_sec_info

Oben