 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1675135
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/9/14 11:33 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SAMBA無法掛載WIN2003分享的DISK處理方法
- SAMBA無法掛載WIN2003分享的DISK處理方法... :shock:
SAMBA碰上WIN2003的時候...
無法使用SMBCLIENT和SMBMOUNT去瀏覽WIN2003分享的資料夾...
主要是會碰上認證失敗的問題...
從SAMBA2~SAMBA3.0.6(最新版)都一樣 ToT
這問題讓冷日研究了好一陣子...
終於在微軟的技術支援文章中找到下面這一段文字...
[color=olive:bf9360c483][size=9:bf9360c483][code:1:bf9360c483]
相容性問題的範例
簡單連結將會失敗,並且您會收到下列錯誤訊息:
Ldap_simple_bind_s() 失敗:需要增強式驗證。
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,當 NTLM 驗證已經交涉過時,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 如果執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端使用 IP 位?#125; (例如 "dsa.msc /server=x.x.x.x",其中 x.x.x.x 是 IP 位?#125;),那麼某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵背景
[網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] ?#93;定會判斷是否可以與無法使用增強式 128 位元工作階段索引鍵?#91;密安全通道傳輸的網域控制站建立安全通道。 啟用這個?#93;定,就不能與無法使用增強式索引鍵?#91;密安全通道資料的網域控制站建立安全通道。停用此?#93;定,就會允許使用 64 位元工作階段索引鍵。
成員所隸屬的網域中所有的網域控制站必須能夠使用增強式 128 位元索引鍵來?#91;密安全通道資料,您才能啟用成員工作站或伺服器上的這個?#93;定。?#93;就是說,所有的這類網域控制站都必須執行 Windows 2000 或更新版本。 風險?#93;定
啟用 [網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] ?#93;定是具有風險性的?#93;定。
啟用此?#93;定的原?#93;
Windows 2000 中用來在成員電腦和網域控制站之間建立安全通道通訊的工作階段索引鍵,遠比 Microsoft 作業系統的較舊版本來得強固。
如果可以的話,建議您最好利用這些更強固的工作階段索引鍵,來保護安全通道通訊,以避免遭到竊聽和工作階段劫持的網路攻擊。竊聽是一種惡意的攻擊,此攻擊會使傳輸中的網路資料被讀取或更改。資料可能被修改為隱藏或變更寄件者,或是重新導向。
停用此?#93;定的原?#93;
網域含有不是執行 Windows 2000、Windows XP 或 Windows Server 2003 作業t統的成員電腦。
符號名稱:StrongKey登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireStrongKey (Reg_DWORD)
相容性問題的範例
Windows NT 4.0: 在 Windows NT 4.0 電腦上,無法使用 NLTEST 重新?#93;定 Windows NT 4.0 和 Windows 2000 網域之間信任關係的安全通道,並且出?#123;「拒絕存取」錯誤訊息:
主要網域和受信任網域間的信任關係失敗。
網域成員:安全通道資料?#91;以數位?#91;密或簽章 (自動)背景
啟用 [網域成員:安全通道資料?#91;以數位?#91;密或簽章 (自動)],可以避免與無法簽章或?#91;密所有安全通道資料的任何網域控制站建立安全通道。 為了保護驗證傳輸,避免受到中間人攻擊、重送攻擊和其他類型的網路攻擊,Windows 電腦會透過 Net Logon 服務建立通訊通道,?#93;就是安全通道,以驗證電腦帳戶。當一個網域中的使用者連線到遠端網域的網路資源時,?#93;可以使用安全通道。此多重網域驗證或移轉驗證,讓已?#91;入網域的 Windows 電腦可以在自己的網域及任何信任的網域中存取使用者帳戶資料庫。
成員所隸屬的網域中所有的網域控制站必須能夠簽章或?#91;密所有安全通道資料,才能啟用成員電腦上的 [網域成員:安全通道資料?#91;以數位?#91;密或簽章 (自動)] ?#93;定。?#93;就是說,所有的這類網域控制站都必須執行 Windows NT 4.0 Service Pack 6a (SP6a) 或更新的版本。
啟用 [網域成員:安全通道資料?#91;以數位?#91;密或簽章 (自動)] ?#93;定,就會自動地啟用 [網域成員:安全通道資料?#91;以數位?#91;密或簽章 (可能的話)] ?#93;定。風險?#93;定
在不是所有網域控制站都可以簽章或?#91;密安全通道資料的網域中,啟用 [網域成員:安全通道資料?#91;以數位?#91;密或簽章 (自動)] ?#93;定是具有風險性的?#93;定。
啟用此?#93;定的原?#93;
侵入者在伺服器及用戶端之間擷取封?#93;,然後修改封?#93;,再將封?#93;轉送到用戶端的情況中,未簽章的網路傳輸很容易遭到中間人攻擊。當「輕量型目錄存取協定」(LDAP) 伺服器發生這種情形時,侵入者可能會使用戶端根據從 LDAP 目錄傳來的錯誤記錄,做出決策。 在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎?#91;構,以降低遭到這類攻擊的風險。此外,執行網際網路通訊協定安全性 (IPSec) 驗證標頭模式更可以避免遭受所有種類的中間人攻擊。此模式會為 IP 傳輸執行相互驗證及封?#93;完整性。
停用此?#93;定的原?#93;
本機或外部網域中的電腦確實可以支援?#91;密的安全通道。
網域中不是所有網域控制站都有適當的 Service Pack 版本等級來支援?#91;密的安全通道。
符號名稱:StrongKey登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireStrongKey (REG_DWORD)
相容性問題的範例
Windows NT 4.0: Windows 2000 成員電腦將無法?#91;入 Windows NT 4.0 網域,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
281648 Error message:The account is not authorized to login from this station
Windows NT 4.0: Windows NT 4.0 網域將無法與 Windows 2000 網域建立低階信任,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
?#123;有的低階信任可能?#93;無法從信任的網域驗證使用者。 某些使用者可能很難登入網域,並且會收到說明用戶端找不到網域的錯誤訊息。
Windows XP: ?#91;入 Windows NT 4.0 網域的 Windows XP 用戶端將無法驗證登入嘗試,並且會收到下列錯誤訊息,或者事件記錄檔中會登錄下列事件:
Windows 無法連線到網域,可能?#93;為網域控制站已關機、無法使用、或是找不到您的電腦帳戶- 或 -
事件 5723:電腦 ComputerName 中的工作階段?#93;定無法進行驗證。安全性資料庫中所參照的帳戶名稱是ComputerName. 發生下列錯誤:拒絕存取。- 或 -
事件 3227:The session setup to the Windows NT or the Windows 2000 domain controller Server Name for the domain Domain Name failed because Server Name does not support signing or sealing the Netlogon session. Upgrade the domain controller, or set the RequireSignOrSeal registry entry on this computer to 0. (在 Windows NT 或 Windows 2000 網域控制站 Server Name ?#93;定網域 Domain Name 的工作階段失敗。?#93;為 Server Name 不支援簽章或封裝 Netlogon 工作階段。請升級網域控制站,或是將此電腦上的 RequireSignOrSeal 登錄項目?#93;定為 0)。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
318266 A Windows XP client cannot log on to a Windows NT 4.0 domain
Microsoft Network: Microsoft Network 用戶端將會收到下列其中一個錯誤訊息:
登入失敗:未知的使用者名稱或密碼。
指定的登入工作階段沒有對應的用戶工作階段索引鍵。
Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)背景
在高安全性網路中啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持。可以存取與用戶端或伺服器相同網路的攻擊者,會使用工作階段劫持工具來插斷、終止或偷取處理?#123;序中的工作階段。 攻擊者可能會攔截並修改未簽章的 Subnet Bandwidth Manager (SBM) 封?#93;、修改傳輸,然後?#91;以轉送,使伺服器執行不必要的動作。 或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。
SMB 是許多 Microsoft 作業系統都支援的資源共用通訊協定。這是網路基本輸入輸出系統 (NetBIOS) 和許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。 如果其中一個無法通過驗證?#123;序,就無法傳輸資料。
注意 另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec ?#91;密及簽章的硬體?#91;速器,可以用來減少來自伺服器 CPU 的效能影響。適用於 SMB 簽章的這類?#91;速器並未提供使用。
適用於 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional (商用版) 或 Windows Server 2003 電腦上檔案共用及列印共用的 SMB 通訊協定,支援相互驗證。相互驗證會終止工作階段劫持攻擊,並支援訊息驗證。 ?#93;此,可以避免遭到中間人攻擊。SMB 簽章會在每個 SMB 中放置數位簽章,以提供此驗證。然後,簽章會經由用戶端及伺服器?#91;以驗證。風險?#93;定
下列為有風險的?#93;定:將 [Microsoft 網路用戶端: 數位簽章用戶端的通訊 (自動)] ?#93;定及 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)] ?#93;定保留為「尚未定義」或停用。這些?#93;定允許重新導向器在驗證期間,將純文字密碼傳送給不支援密碼?#91;密的非 Microsoft SMB 伺服器。
啟用此?#93;定的原?#93;
如果啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],則當用戶端聯繫不需要 SMB 簽章的伺服器時,必須簽署 SMB 傳輸,如此,才能使用戶端比較不容易遭受工作階段劫持攻擊。
停用此?#93;定的原?#93;
啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],可以防止用戶端與不支援 SMB 簽章的目標伺服器進行通訊。
將電腦?#93;定為忽略所有未簽章的 SMB 通訊,以避免連接較舊版本的?#123;式及作業系統。
符號名稱:RequireSMBSignRdr登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParametersRequireSecuritySignature
相容性問題的範例
Windows NT 4.0: 您將無法使用 NLTEST 或 NETDOM,重新?#93;定 Windows Server 2003 網域及 Windows NT 4.0 網域之間信任的安全通道,並且會收到「拒絕存取」錯誤訊息。
Windows XP: 將檔案從 Windows XP 用戶端複製到 Windows 2000 伺服器及 Windows Server 2003 伺服器,可能會需要更多時間。
您無法從已啟用此?#93;定的用戶端對應網路磁碟機,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)背景
啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持,可以使用工具來允許可以存取與用戶端或伺服器相同網路的攻擊者,插斷、終止或偷取處理?#123;序中的工作階段。攻擊者可能會攔截並修改未簽章的 SBM 封?#93;、修改傳輸,然後?#91;以轉送,使伺服器執行不必要的動作。或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。
SMB 是許多 Microsoft 作業系統都支援的資源共用通訊協定,這是網路基本輸入輸出系統 (NetBIOS) 和許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。如果其中一個無法通過驗證?#123;序,就無法傳輸資料。
另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec ?#91;密及簽章的硬體?#91;速器,可以用來減少來自伺服器 CPU 的效能影響。適用於 SMB 簽章的這類?#91;速器並未提供使用。風險?#93;定
下列為有風險的?#93;定:在本機或外部網域中,不相容 Windows 和協力廠商作業系統用戶端電腦所存取的伺服器及網域控制站上,啟用 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] ?#93;定。
啟用此?#93;定的原?#93;
透過登錄或群組原則?#93;定直接啟用此?#93;定的所有用戶端電腦,均支援 SMB 簽章。 換句話說,已啟用此?#93;定的所有用戶端電腦是執行具有 DS 用戶端的 Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional (商用版) 或 Windows Server 2003。
如果停用了 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)],就是停用 SMB 簽章。完全停用所有 SMB 簽章,會使電腦更容易遭受工作階段劫持攻擊。
停用此?#93;定的原?#93;
啟用此?#93;定,可能會使用戶端電腦上檔案複製及網路效能的速度變慢。
啟用此?#93;定,可以防止無法交涉 SMB 簽章的用戶端與伺服器及網域控制站進行通訊。 這會使?#123;式無法執行諸如網域聯結、使用者及電腦驗證或網路存取等操作。
符號名稱:RequireSMBSignServer登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParametersRequireSecuritySignature (REG_DWORD)
相容性問題的範例
Windows 95: 尚未安裝「目錄服務」(DS) 用戶端的 Windows 95 用戶端將無法登入驗證,並且會收到下列錯誤訊息:
The domain password you supplied is not correct, or access to your logon server has been denied. (您提供的網域密碼不正確,或拒絕存取您的登入伺服器)。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811497 Error message when Windows 95 or Windows NT 4.0 client logs on to Windows Server 2003 domain
Windows NT 4.0: 執行 Windows NT 4.0 Service Pack 3 (SP3) 以前版本的用戶端電腦將無法登入驗證,並且會收到下列錯誤訊息:
系統不讓您登入。請確定您的使用者名稱和網域是否正確,然後再輸入密碼。
下列用戶端與 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] ?#93;定不相容:
Apple Computer, Inc,Mac OS X 用戶端
Microsoft MS-DOS 網路用戶端 (例如,Microsoft LAN Manager)
Microsoft Windows for Workgroups 用戶端
未安裝 DS 用戶端的 Microsoft Windows 95 用戶端
未安裝 SP3 或更新版本的 Microsoft Windows NT 4.0 電腦
Novell Netware 6 CIFS 用戶端
不支援 SMB 簽章的 SAMBA SMB 用戶端 [/code:1:bf9360c483][/size:bf9360c483][/color:bf9360c483]
上述文件可以參考這一篇....
上面提到的幾點敘述...
分別把他們的REG由預設的"1"(啟動)改為"0"(關閉)...
就可以在LINUX上透過SAMBA來瀏覽WIN2003分享的資料夾了...
使用方法就和瀏覽(或是掛載)WIN2000的分享資料夾一模一樣...
在這裡提出來供大家參考.... _水喔_
|
|
|
|
