M
MS-User
Threadstarter
- Dabei seit
- 20.09.2016
- Beiträge
- 94.183
Guten Tag,
in einem produktiv genutzten Netzwerk (5PC - Win10x64 Pro ohne dedizierten Server) wird von den Clienten per SMB auf Netzwerkreigaben auf einem PC zugegriffen. Auf allen PCs sind identisch Nutzer/Pwd eingetragen, die Freigaben erfolgen mit Nutzernamen/Pwd (kein Heimnetzwerk, Netzwerkprofil privat). Der PC mit Freigaben ist Win10 1703 und alle anderen darauf zugreifenden Rechner Win10 1709. Das Feature SMBv1 ist auf allen PCs bereits deinstalliert. Oberflächlich funktionieren die Freigaben, allerdings gibt es kuriose Eventlogeinträge SMBServer-Security welche auf Zugriffsprobleme hindeuten. Auf dem Freigabe-PC kann wegen der nachfolgend geschilderten Probleme derzeit noch kein 1709 genutzt werden, weshalb ich um Hilfe bei der Lokalisierung und Behebung der Fehler bitte.
Folgendes Szenario führt bereits zu Problemen: Bei Anmeldung am Clienten werden die permanent eingestellten Freigaben gemountet (Credentials für Zielrechner\Nutzer gespeichert) und dabei werden im Windows-Eventlog kuriose Fehlermeldungen jeweils die EventIDs " 551 - Fehler bei der Authentifizierung der SMB-Sitzung" und "1009 - Der Server hat den anonymen Zugriff auf den Client verweigert" eingetragen, als wenn man sich Anonym anmelden wollte (was aber nicht der Fall ist, wie Wireshark-Log auch detailliert zeigt). Dabei ist egal von welchem Clienten der Zugriff erfolgt. Die Meldung selbst deutet darauf hin, dass eine Autorisierung mittels Domänenanfrage (Kerberos-Tickets o.ä.) erfolgen soll, wobei die PCs nie in einer Domäne waren und auch kein Server vorhanden ist. Optionen zur Konfiguration der Autorisierung habe ich in lokalen Computerrichtlinien (Sicherheitseinstellungen/Netzwerksicherheit) gefunden, allerdings werden meine Einstellungen der Computerrichtlinie bei gpupdate nicht übernommen, wie mir auch später gpresult zeigt. Meine Frage ist: wie kann man im reinen Arbeitsgruppen-Netzwerk Win10 1703/1709 die Autorisierung für Freigaben so einstellen, dass Freigaben mit Nutzer/Pwd wieder korrekt funktionieren und welche Änderung gilt es evtl. beim in Version 1709 geänderten Oplock-Verhalten für proprietäre Software zu beachten?
Nachfolgend die Logdateiauszüge aus Eventlog, Wireshark sowie Trace im Message-Analyzer, wobei insbesondere Wireshark zeigt, das zunächst die Autorisierung korrekt erfolgreich abgeschlossen wurde und erst später der Zugriff verweigert wird. Interessant ist auch, dass der Message-Analyzer zeigt, dass die Autorisierung bis auf NTLM v1 herunter führt - hier hätte ich eine wesentlich besser abgesicherte Kommunikation erwartet. Bitte dringend um Hinweise zur Konfiguration der Arbeitsgruppenrechner.
Gern kann ich bei Bedarf noch weitere, detaillierte Loginfos nachreichen.
Herzlichen Dank im Voraus für die Bemühungen
==> SMBServer Eventlog:
Message : Fehler bei der Authentifizierung der SMB-Sitzung
Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Benutzername: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Sitzungs-ID: 0x84017C000031
Status: {Zugriff verweigert}
Ein Prozess hat einen Zugriff auf ein Objekt angefordert, aber ihm wurden nicht die Rechte für den Zugriff erteilt. (0xC0000022)
SPN: session setup failed before the SPN could be queried
SPN-Überprüfungsrichtlinie: SPN optional / no validation
Erläuterung:
Dieser Fehler kann auftreten, wenn Sie versuchen, mithilfe falscher Anmeldeinformationen eine Verbindung mit Freigaben herzustellen.
Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.
Dieser Fehler kann zurückzuführen sein auf: die Verwendung falscher Benutzernamen und Kennwörter für NTLM, nicht übereinstimmende LmCompatibility-Einstellungen zwischen Client und
Server, einen falschen Dienstprinzipalnamen, doppelte Prinzipalnamen für den Kerberos-Dienst, falsche Kerberos-Diensttickets für die Vergabe von Tickets oder Gastkonten ohne
aktivierten Gastzugriff
Id : 551
Version : 2
Qualifiers :
Level : 2
Task : 551
Opcode : 0
Keywords : 580964351930793992
RecordId : 19332
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}
Message : Der Server hat den anonymen Zugriff auf den Client verweigert.
Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Sitzungs-ID: 0x84017C000031
Erläuterung:
Dieser Fehler kann auftreten, wenn ein Client eine Verbindung mit Freigaben herzustellen versucht und keine Anmeldeinformationen eingibt. Dies ist ein Hinweis darauf, dass der
Client keinen Benutzernamen (und ggf. Domänenanmeldeinformationen) eingibt. Standardmäßig verweigert Windows Server den anonymen Zugriff auf Freigaben.
Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.
Id : 1009
Version : 0
Qualifiers :
Level : 2
Task : 1009
Opcode : 0
Keywords : 580964351930793992
RecordId : 19331
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}
Message Analyzer Infos:
MessageNumber DiagnosisTypes Timestamp TimeElapsed ResponseTime Source Destination Module Summary DiagnosisLevels TopModule TopSummary
23600 Application 2017-11-26T15:07:50.5429326 0,0000181 0,0000181 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0
24974 Application 2017-11-26T15:07:56.1349895 0,0000105 0,0000105 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0
37282 Application 2017-11-26T15:07:58.4705497 0,0002150 0,0002150 192.168.1.106 192.168.1.108 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0 2 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0
Wireshark Trace:
in einem produktiv genutzten Netzwerk (5PC - Win10x64 Pro ohne dedizierten Server) wird von den Clienten per SMB auf Netzwerkreigaben auf einem PC zugegriffen. Auf allen PCs sind identisch Nutzer/Pwd eingetragen, die Freigaben erfolgen mit Nutzernamen/Pwd (kein Heimnetzwerk, Netzwerkprofil privat). Der PC mit Freigaben ist Win10 1703 und alle anderen darauf zugreifenden Rechner Win10 1709. Das Feature SMBv1 ist auf allen PCs bereits deinstalliert. Oberflächlich funktionieren die Freigaben, allerdings gibt es kuriose Eventlogeinträge SMBServer-Security welche auf Zugriffsprobleme hindeuten. Auf dem Freigabe-PC kann wegen der nachfolgend geschilderten Probleme derzeit noch kein 1709 genutzt werden, weshalb ich um Hilfe bei der Lokalisierung und Behebung der Fehler bitte.
Folgendes Szenario führt bereits zu Problemen: Bei Anmeldung am Clienten werden die permanent eingestellten Freigaben gemountet (Credentials für Zielrechner\Nutzer gespeichert) und dabei werden im Windows-Eventlog kuriose Fehlermeldungen jeweils die EventIDs " 551 - Fehler bei der Authentifizierung der SMB-Sitzung" und "1009 - Der Server hat den anonymen Zugriff auf den Client verweigert" eingetragen, als wenn man sich Anonym anmelden wollte (was aber nicht der Fall ist, wie Wireshark-Log auch detailliert zeigt). Dabei ist egal von welchem Clienten der Zugriff erfolgt. Die Meldung selbst deutet darauf hin, dass eine Autorisierung mittels Domänenanfrage (Kerberos-Tickets o.ä.) erfolgen soll, wobei die PCs nie in einer Domäne waren und auch kein Server vorhanden ist. Optionen zur Konfiguration der Autorisierung habe ich in lokalen Computerrichtlinien (Sicherheitseinstellungen/Netzwerksicherheit) gefunden, allerdings werden meine Einstellungen der Computerrichtlinie bei gpupdate nicht übernommen, wie mir auch später gpresult zeigt. Meine Frage ist: wie kann man im reinen Arbeitsgruppen-Netzwerk Win10 1703/1709 die Autorisierung für Freigaben so einstellen, dass Freigaben mit Nutzer/Pwd wieder korrekt funktionieren und welche Änderung gilt es evtl. beim in Version 1709 geänderten Oplock-Verhalten für proprietäre Software zu beachten?
Nachfolgend die Logdateiauszüge aus Eventlog, Wireshark sowie Trace im Message-Analyzer, wobei insbesondere Wireshark zeigt, das zunächst die Autorisierung korrekt erfolgreich abgeschlossen wurde und erst später der Zugriff verweigert wird. Interessant ist auch, dass der Message-Analyzer zeigt, dass die Autorisierung bis auf NTLM v1 herunter führt - hier hätte ich eine wesentlich besser abgesicherte Kommunikation erwartet. Bitte dringend um Hinweise zur Konfiguration der Arbeitsgruppenrechner.
Gern kann ich bei Bedarf noch weitere, detaillierte Loginfos nachreichen.
Herzlichen Dank im Voraus für die Bemühungen
==> SMBServer Eventlog:
Message : Fehler bei der Authentifizierung der SMB-Sitzung
Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Benutzername: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Sitzungs-ID: 0x84017C000031
Status: {Zugriff verweigert}
Ein Prozess hat einen Zugriff auf ein Objekt angefordert, aber ihm wurden nicht die Rechte für den Zugriff erteilt. (0xC0000022)
SPN: session setup failed before the SPN could be queried
SPN-Überprüfungsrichtlinie: SPN optional / no validation
Erläuterung:
Dieser Fehler kann auftreten, wenn Sie versuchen, mithilfe falscher Anmeldeinformationen eine Verbindung mit Freigaben herzustellen.
Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.
Dieser Fehler kann zurückzuführen sein auf: die Verwendung falscher Benutzernamen und Kennwörter für NTLM, nicht übereinstimmende LmCompatibility-Einstellungen zwischen Client und
Server, einen falschen Dienstprinzipalnamen, doppelte Prinzipalnamen für den Kerberos-Dienst, falsche Kerberos-Diensttickets für die Vergabe von Tickets oder Gastkonten ohne
aktivierten Gastzugriff
Id : 551
Version : 2
Qualifiers :
Level : 2
Task : 551
Opcode : 0
Keywords : 580964351930793992
RecordId : 19332
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}
Message : Der Server hat den anonymen Zugriff auf den Client verweigert.
Clientname: \\192.168.1.107
Clientadresse: 192.168.1.107:49746
Sitzungs-ID: 0x84017C000031
Erläuterung:
Dieser Fehler kann auftreten, wenn ein Client eine Verbindung mit Freigaben herzustellen versucht und keine Anmeldeinformationen eingibt. Dies ist ein Hinweis darauf, dass der
Client keinen Benutzernamen (und ggf. Domänenanmeldeinformationen) eingibt. Standardmäßig verweigert Windows Server den anonymen Zugriff auf Freigaben.
Dieser Fehler ist nicht immer ein Hinweis auf ein Problem bei der Autorisierung, sondern in erster Linie bei der Authentifizierung. Er tritt eher bei Nicht-Windows-Clients auf.
Id : 1009
Version : 0
Qualifiers :
Level : 2
Task : 1009
Opcode : 0
Keywords : 580964351930793992
RecordId : 19331
ProviderName : Microsoft-Windows-SMBServer
ProviderId : d48ce617-33a2-4bc3-a5c7-11aa4f29619e
LogName : Microsoft-Windows-SMBServer/Security
ProcessId : 4
ThreadId : 8232
MachineName : Empfang.fritz.box
UserId : S-1-5-18
TimeCreated : 27.11.2017 14:45:21
ActivityId :
RelatedActivityId :
ContainerLog : microsoft-windows-smbserver/security
MatchedQueryIds : {}
Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName : Fehler
OpcodeDisplayName : Info
TaskDisplayName :
KeywordsDisplayNames : {Überwachung gescheitert}
Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
System.Diagnostics.Eventing.Reader.EventProperty...}
Message Analyzer Infos:
MessageNumber DiagnosisTypes Timestamp TimeElapsed ResponseTime Source Destination Module Summary DiagnosisLevels TopModule TopSummary
23600 Application 2017-11-26T15:07:50.5429326 0,0000181 0,0000181 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011981, FileInfoClass: 0
24974 Application 2017-11-26T15:07:56.1349895 0,0000105 0,0000105 192.168.1.106 192.168.1.108 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0 2 SMB2 QueryInfo, Status: STATUS_ACCESS_DENIED, FileId: 0x0000001900011996, FileInfoClass: 0
37282 Application 2017-11-26T15:07:58.4705497 0,0002150 0,0002150 192.168.1.106 192.168.1.108 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0 2 SMB2 SessionSetup, Status: STATUS_ACCESS_DENIED, NTLM v1 with extended session security, Flags: 0
Wireshark Trace:
| 24 | Client | SMBServer | SMB | Negotiate Protocol Request |
| 25 | SMBServer | Client | SMB2 | Negotiate Protocol Response |
| 26 | Client | SMBServer | SMB2 | Negotiate Protocol Request |
| 27 | SMBServer | Client | SMB2 | Negotiate Protocol Response |
| 28 | Client | SMBServer | SMB2 | Session Setup Request, NTLMSSP_NEGOTIATE |
| 29 | SMBServer | Client | SMB2 | Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE |
| 30 | Client | SMBServer | SMB2 | Session Setup Request, NTLMSSP_AUTH, User: ARZT1\PraxisTeam |
| 31 | SMBServer | Client | SMB2 | Session Setup Response (hier OK und Zugriff gewährt!) |
| 32 | Client | SMBServer | SMB2 | Tree Connect Request Tree: \\192.168.1.108\PVS |
| 33 | SMBServer | Client | SMB2 | Tree Connect Response |
| 34 | Client | SMBServer | SMB2 | Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO |
| 35 | SMBServer | Client | SMB2 | Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO |
| 36 | Client | SMBServer | SMB2 | Tree Connect Request Tree: \\192.168.1.108\IPC$ |
| 37 | SMBServer | Client | SMB2 | Tree Connect Response |
| 38 | Client | SMBServer | SMB2 | Ioctl Request FSCTL_DFS_GET_REFERRALS, File: \192.168.1.108\PraxisDaten |
| 39 | SMBServer | Client | SMB2 | Ioctl Response, Error: STATUS_FS_DRIVER_REQUIRED |
| 40 | Client | SMBServer | SMB2 | Tree Connect Request Tree: \\192.168.1.108\Daten |
| 41 | SMBServer | Client | SMB2 | Tree Connect Response |
| 42 | Client | SMBServer | TCP | 50320 ? 445 [ACK] Seq=1691 Ack=2428 Win=525312 Len=0 |
| 44 | Client | SMBServer | SMB2 | Create Request File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini |
| 45 | SMBServer | Client | SMB2 | Create Response File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini |
| 46 | Client | SMBServer | SMB2 | GetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini |
| 47 | SMBServer | Client | SMB2 | GetInfo Response |
| 48 | Client | SMBServer | SMB2 | GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: 00 Vorlagen\90 Unternehmen\Kontakte\desktop.ini |
| 49 | SMBServer | Client | SMB2 | GetInfo Response, Error: STATUS_ACCESS_DENIED (Hier dann Zugriff verweigert) Leserechte für Verzeichnisse sind vorhanden, da es sich aber um lokale Systemdateien auf dem Freigaberechner handelt, könnten diese natürlich gesperrt sein |
