» Обращение к файловому ресурсу локально через RDP

Коллеги, очень нужна ваша помощь.

Ситуация: есть недоменный сервер на базе Windows 2008 R2, на котором установлена роль "Файловые службы" и заведены пользователи.

При обращении к этому серверу из сети все работает без проблем: обратился по имени - запросились реквизиты доступа - ввели правильные - имеем доступ в соответствии с настройкой правил безопасности.

А вот при работе через RDP на этом же сервере какой-то шайтан: подключаюсь к нему по RDP без проблем, если изнутри RDP сессии обращаюсь к этому же файловому ресурсу по IP - все ОК, но при попытке в адресной строке проводника указать \\имя_сервера, выбрасывается окно запроса логина/пароля (откуда? я же уже авторизовался на RDP), и авторизоваться не получается: ввожу правильные данные учетки (даже test-test для эксперимента забил), но раз за разом поулчаю сообщение "авторизоваться не удалось, введите логин/пароль еще раз".

Были подозрения, что проблема имелась с резовингом, т.е. по имени сервера DNS возвращал другой адрес, но и пинг, и nslookup указывают правильный IP адрес для имени.

Кто с таким встречался и в чем может быть косяк?

Добавлено:
Да, пытался помимо DNS указывать связку IP-имя через hosts. Не поменялось ровным счетом ничего: пинги ходят на правильный адрес, но при попытке авторизации получается какой-то authorisation loop.

Если честно, я мозг чуть не сломал, но так и непонял из вашего объяснения, что не работает?

Вариант 1. Подключаюсь с рабочей станции пользователей к шаре, ввожу логин/пароль, все ОК. При этом неважно, подключаюсь я через IP адрес сервера, или по имени сервера - эксцессов нет.

Вариант 2. Открываю RDP до сервера и в рамках этого RDP пытаюсь подключиться к его шаре (нужно для объемных манипуляций с файлами MS Excel, чтобы линки на связанные файлы не плыли). При подключении при помощи IP адреса сервера все ОК. При подключении не по IP адресу, а по имени сервера получается авторизационный луп (бесконечный запрос авторизации с отторжением любых предлагаемых учеток, что админской, что пользовательских).

То бишь внутри RDP открываю проводник, в адресную строку ввожу \\ip_адрес_сервера - все ОК, сразу вижу все файловые шары под учеткой, с которой я вошел в RDP. Ввожу \\имя_сервера - получаю бесконечную авторизацию.

Первый раз с таким сталкиваюсь, за всю практику.

пробуйте по fqdn - то есть по полному доменному имени сервера - пример: rdp.dnsnik.krivoi , о результате сообщите

anjunabeatc, я бы и рад, но
Цитата:

Ситуация: есть недоменный сервер

Попробовал обратиться по имени+суффиксу - та же самая ситуация: пинги ходят, резолв работает, при попытке открыть список шар - бесконечная авторизация.

начни с заплаток на сервер (поставь все обновки что майкрос тебе выдаст), время синхронизируй; есть ли на файловом сервере какие -нибудь впн подключения и тп?

Цитата:

начни с заплаток на сервер

Все в актуале собираются, кроме последнего пака необязательных; для их установки нужно ребутить сервер, а такой возможности пока нет.

Цитата:

время синхронизируй

Постоянно синхронизируется средствами самой винды с time.windows.com. Попробовал привязаться к "инфораструктурному" времени - разбежка окзалась в доли секунды (что неудивительно), проблема осталась.

Цитата:

есть ли на файловом сервере какие -нибудь впн подключения и тп?

VPN подключения работают через циску, которая лежит до сервера, из служб включены только IIS, RDP и самба. IIS по сути сейчас не используется (т.е. нагрузки нуль), RDP используется средне, самба используется чуть ли не 20х7.

Цитата:

а по имени сервера получается авторизационный луп (бесконечный запрос авторизации с отторжением любых предлагаемых учеток, что админской, что пользовательских

А что про это говорит журнал безопасности на этом сервере?

Belua, [more=пишет вот что]Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        Администратор
    Домен учетной записи:        {CENSORED}
Сведения об ошибке:
    Причина ошибки:        Ошибка при входе.
    Состояние:            0xc000006d
    Подсостояние:        0x0

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:    {CENSORED}
    Сетевой адрес источника:    {CENSORED}
    Порт источника:        49174

Сведения о проверке подлинности:
    Процесс входа:        
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.[/more]

IP адрес станции указан верно.

Пароль был указан 100% верный - проверял в том числе на записи test/test, ошибка та же самая, только имя учетки другое. Непонятно вообще почему он так ругается - ведь при обращении по IP он сразу же дает доступ к шарам!

В win XP помню, открываю шару, просит ввести логин пароль, ввожу 100% правильные, не пускает...Оказывается нужно было добавить учетку в Учетные записи пользователей - дополнительно - управление паролями, после этого пускал. М.б. здесь собака зарыта

Не, если бы в этом было дело - то и по IP адресу получался бы цикл бесконечной авторизации. Тут явно что-то другое...

на самом деле у тебя нету авторизации на сервере, а до шары у тебя даже дело не доходит, так как сперва авторизация идет а потом уже доступ к шаре; кидай сюда скрины днс зон прямого и обратного просмотра. Есть 1 вариант который наверняка подойдет - просто смени имя файлового сервака и посмотри что будет с авторизацией, если это поможет то днс утебя кривой

anjunabeatc, DNS 100% не кривой - иначе пользователи не смогли бы достучаться до сервера из сети, а они это делают влегкую... В любом случае, DNS админю не я, могу только результаты nslookup'а скинуть, пойдет?

Если бы проблема была именно у сетевых пользователей, поиск корявки был бы не сложным совершенно.

Проблема все еще актуальна, если у кого-то есть какие-либо идеи - буду рад услышать!

Если установлена галка (по умолчанию) Using Sharing Wizard (recommended) в "настройках папок", то попробуй снять.


Имя пользователя пробовал указывать в формате ИМЯ компьютера\имя пользователя?
Но вообще, конечно, никакого запроса быть не должно.
Попробуй ещё запустить Process Monitor, отфильтруй по explorer.exe и включи колонку User name, может увидишь что-то полезное.

Цитата:

Вариант 2. Открываю RDP до сервера и в рамках этого RDP пытаюсь подключиться к его шаре (нужно для объемных манипуляций ...

То есть это нужно тебе лично для технологических целей?
Кроме тебя таким образом подключаться кто-нибудь будет?
Если НЕТ - подключайся как все к шарам и работай. Зачем проблему из пальца высасывать?

Цитата:

Если установлена галка

Снял, эффекта не дало

Цитата:

Имя пользователя пробовал указывать в формате ИМЯ компьютера\имя пользователя?

Пробовал и имясервера\имяпользователя, и localhost\имяпользователя, и .\имяпользователя - один черт прет бесконечная авторизация.

Цитата:

То есть это нужно тебе лично для технологических целей?

К сожалению нет, мне это как раз нафиг не нужно - нужно пользователям, которые хотят при работе по RDP хотят нормально работать с формулами MS Excel, ссылающимися на другие книги. Вариант с выделением терминального сервера на отдельную железяку не стоит в связи с тем, что другой железяки просто нет, да и пока нет понимания, как на недоменных серверах синхронизировать учетные записи пользователей (еще один домен в организации только под эти нужды поднять шансов нет).

Цитата:

нужно пользователям, которые хотят

Тогда подключи пользователям шару как сетевой диск Z, например, на терминале обзови этот диск аналогично - Z

eap, есть ровно три проблемы:
1. У значительной части файлов уже забиндены формулы по принципу \\имяервера\имяшары.
2. У разных пользователей заняты разные диски (в зависимости от роли на домене организации).
3. На моей недоменной шаре лежит куча папок, пользователи, естественно, все их видеть не хотят, а хотят видеть только те, к которым у них есть доступ (удовольствие среди тысяч папок искать десяток своих в самом деле ниже среднего).

Первую проблему еще можно исправить, вторую уже исправить никак с ударением на слово "совсем", третью проблему в принципе можно было бы если не исправить, то хотя бы уменьшить путем реструктуризации дерева файлов-папок (хотя и там тоже будет целый ряд проблем, только на методологизацию которых уйдет минимум 3-4 месяца) - но остается еще проблема №2, решить которую на данном этапе не представляется возможным. Поверь, все доступные варианты я перебрал уже сам как только наткнулся на эту несчастную бесконечную авторизацию, и только после этого обратился за помощью.

ZlydenGL
А по RDP подключаешься по имени или по IP? Попробуй наоборот.

PlastUn77, подключался по имени, попробовал по IP - проблема осталась. Даже немного жалко, что идея не сработала