UncleFather » 21 окт 2011 08:48, Пт
Проблемы:
-
Сеть работает, но в "Сетевом окружении" не все или вообще нет компьютеров.
-
Компьютер пингуется, но при попытке обратиться к нему по имени выдаётся ошибка "Нет доступа" или "Не найден сетевой путь".
-
Периодически пропадают компьютеры из "Сетевого окружения".
-
Тормоза при просмотре "Сетевого окружения".
Кроме того, проблемы могут возникать на мультихомных (multihomed) серверах и клиентах - компьютерах с несколькими сетевыми интерфейсами или работающей службой RAS.
Решение:
Для формирования списка компьютеров и доменов в сетях Windows применяется механизм Browsing. Его общий смысл заключается в том, что определённые компьютеры сети выполняют роль браузеров (browser) - хранят и распространяют список имён присутствующих в данный момент в сети компьютеров. Служба браузинга использует в своей работе NetBIOS, поэтому работать браузинг будет только в сети, где на компьютерах установлен и включён NetBIOS. Каждый компьютер с установленной службой доступа к файлам и принтерам сетей Microsoft сообщает о себе при загрузке Windows.
Любой компьютер с Windows может выполнять следующие роли:
-
Nonbrowser - не является браузером
-
Potential browsers - не действует, как браузер, но может им стать
-
Master Browser - формирует список компьютеров в данной подсети, рассылает этот список Backup Browser'ам и клиентам своей IP-подсети, назначает Backup Browser'ы
-
Backup Browser - рассылает список компьютеров в данной подсети клиентам своей подсети
-
Domain Master Browser - принимает списки от Master Browser'ов всех подсетей домена, объединяет их и рассылает Master Browser'ам. Этой ролью всегда обладает PDC (В среде Windows 2000 - эмулятор PDC)
На роль можно влиять, изменяя ключ реестра MaintainServerList. Его возможные значения:
-
No - компьютер никогда не станет браузером
-
Yes - компьютер станет Backup Browser'ом или инициирует выборы
-
Auto - компьютер может быть назначен Master, Backup или Potential Browser'ом
В NT/2000 этот ключ находится в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters
О том, как изменить этот ключ для 9x можно прочитать здесь.
Компьютеры принимают роль Master Browser в результате выборов (election). Процесс выборов инициирует любой компьютер, который не смог найти Master Browser. Также выборы начинаются, если загружается контроллер домена или предпочитаемый Master Browser. Предпочтиаемым Master Browser'ом является компьютер с Windows NT/2000/XP, с ключом IsDomainMaster, установленным в "yes". Ключ располагается здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
Предпочитаемый Master Browser выигрывает выборы. В домене, им должен (желательно) являться PDC (или эмулятор PDC). Но, возможно решением проблемы с браузингом будет отнять эту роль у PDC и назначить BDC. В смешанных сетях (9x/NT или 2000) стоит сделать Master Browser'ом компьютер с NT или 2000. Естественно, желательно чтобы это компьютер был включён постоянно (к примеру, это может быть какой-нибудь сервер).
Нужно помнить, что выборы происходят при помощи широковещательных пакетов. Это значит, что для каждого домена коллизий будет выбран свой Master Browser и набор Backup Browser'ов. Кроме того, для нахождения Master Browser'а клиент использует широковещательный запрос. Поэтому, если компьютер со службой браузинга отделён от Master Browser'а маршрутизатором, который не пропускает широковещательные пакеты, - Master Browser НЕ будет найден.
Также в процессе диагностики и наблюдения за работой браузинга нужно учитывать, что все изменения в списках происходят не мгновенно. Master Browser рассылает списки Backup Browser'ам каждые 12 минут. Это значит, что с момента включения компьютера до появления его в "Сетевом окружении" или с момента выключения до исчезновения из "Сетевого окружения" может пройти до 12 минут.
Утилиты для диагностики:
Таким образом, для корректной работы одноранговой сети, необходимо настроить два компьютера (желательно те, которые постоянно включены) на работу в качестве Master и Backup Browser. У остальных компьютеров значение параметра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters\MaintainServerList нужно установить "No".
Гостевой доступ пользователей
Это доступ для пользователя «Гость». Пользователем «Гость» считается любой пользователь, который не найден в базе пользователей данного компьютера, и что он входит в группу «Все».
Чтобы обеспечить подобный доступ, необходимо:
-
Разблокировать пользователя «Гость» (по умолчанию в 2000 и ХР он заблокирован);
-
Задать этому пользователю пустой пароль;
-
Проверить, что «Гость» отсутствует в локальной политике ОС в разделе "Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Назначение прав пользователя – Отказ в доступе к компьютеру по сети";
-
Проверить что группа «Все» присутствует в локальной политике ОС в разделе "Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Назначение прав пользователя – Доступ к компьютеру по сети".
Плюсом данного метода можно считать только простоту реализации. Минусом - снижение уровня безопасности сети.
Типовые проблемы:
-
Нет доступа к \\Worktation ("Возможно, у вас нет прав на использование этого сетевого ресурса"), но есть доступ по ссылке \\Workstation\Share.
Windows XP: параметр политики "Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями" переведите в положение "Отключено";
Windows 2000: параметр политики "Параметры безопасности - Локальные политики - Параметры безопасности - Дополнительные ограничения для анонимных подключений" установите в положение "Положитесь на разрешения заданные по умолчанию".
То же самое достигается установкой параметра реестра RestrictAnonymous в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA в 0
Значения RestrictAnonymous:
-
0 (Пусто) - Положитесь на разрешения заданные по умолчанию
-
1 - Не разрешает перечисление учетных записей SAM и общих ресурсов
-
2 - Нет доступа без явного разрешения анонимного доступа
[b]Проблемы:[/b]
[list][*] Сеть работает, но в "Сетевом окружении" не все или вообще нет компьютеров.
[*] Компьютер пингуется, но при попытке обратиться к нему по имени выдаётся ошибка "Нет доступа" или "Не найден сетевой путь".
[*] Периодически пропадают компьютеры из "Сетевого окружения".
[*] Тормоза при просмотре "Сетевого окружения".[/list]
Кроме того, проблемы могут возникать на мультихомных (multihomed) серверах и клиентах - компьютерах с несколькими сетевыми интерфейсами или работающей службой RAS.
[b]Решение:[/b]
Для формирования списка компьютеров и доменов в сетях Windows применяется механизм Browsing. Его общий смысл заключается в том, что определённые компьютеры сети выполняют роль браузеров (browser) - хранят и распространяют список имён присутствующих в данный момент в сети компьютеров. Служба браузинга использует в своей работе NetBIOS, поэтому работать браузинг будет только в сети, где на компьютерах установлен и включён NetBIOS. Каждый компьютер с установленной службой доступа к файлам и принтерам сетей Microsoft сообщает о себе при загрузке Windows.
Любой компьютер с Windows может выполнять следующие роли:
[list][*] [b]Nonbrowser[/b] - не является браузером
[*] [b]Potential browsers[/b] - не действует, как браузер, но может им стать
[*] [b]Master Browser[/b] - формирует список компьютеров в данной подсети, рассылает этот список Backup Browser'ам и клиентам своей IP-подсети, назначает Backup Browser'ы
[*] [b]Backup Browser[/b] - рассылает список компьютеров в данной подсети клиентам своей подсети
[*] [b]Domain Master Browser[/b] - принимает списки от Master Browser'ов всех подсетей домена, объединяет их и рассылает Master Browser'ам. Этой ролью всегда обладает PDC (В среде Windows 2000 - эмулятор PDC)[/list]
На роль можно влиять, изменяя ключ реестра [b][i]MaintainServerList[/i][/b]. Его возможные значения:
[list][*] [b]No[/b] - компьютер никогда не станет браузером
[*] [b]Yes[/b] - компьютер станет Backup Browser'ом или инициирует выборы
[*] [b]Auto[/b] - компьютер может быть назначен Master, Backup или Potential Browser'ом[/list]
В NT/2000 этот ключ находится в разделе [b][i]HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters[/i][/b]
О том, как изменить этот ключ для 9x можно прочитать [url=http://support.microsoft.com/default.aspx?...kb;en-us;150794]здесь[/url].
Компьютеры принимают роль [b]Master Browser[/b] в результате выборов (election). Процесс выборов инициирует любой компьютер, который не смог найти [b]Master Browser[/b]. Также выборы начинаются, если загружается контроллер домена или предпочитаемый [b]Master Browser[/b]. Предпочтиаемым [b]Master Browser[/b]'ом является компьютер с Windows NT/2000/XP, с ключом [b][i]IsDomainMaster[/i][/b], установленным в [b]"yes"[/b]. Ключ располагается здесь: [b][i]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters[/i][/b]
Предпочитаемый [b]Master Browser[/b] выигрывает выборы. В домене, им должен (желательно) являться PDC (или эмулятор PDC). Но, возможно решением проблемы с браузингом будет отнять эту роль у PDC и назначить BDC. В смешанных сетях (9x/NT или 2000) стоит сделать [b]Master Browser[/b]'ом компьютер с NT или 2000. Естественно, желательно чтобы это компьютер был включён постоянно (к примеру, это может быть какой-нибудь сервер).
Нужно помнить, что выборы происходят при помощи широковещательных пакетов. Это значит, что для каждого домена коллизий будет выбран свой [b]Master Browser[/b] и набор [b]Backup Browser[/b]'ов. Кроме того, для нахождения [b]Master Browser[/b]'а клиент использует широковещательный запрос. Поэтому, если компьютер со службой браузинга отделён от [b]Master Browse[/b]r'а маршрутизатором, который не пропускает широковещательные пакеты, - [b]Master Browser[/b] НЕ будет найден.
Также в процессе диагностики и наблюдения за работой браузинга нужно учитывать, что все изменения в списках происходят не мгновенно. [b]Master Browser[/b] рассылает списки [b]Backup Browser[/b]'ам каждые 12 минут. Это значит, что с момента включения компьютера до появления его в "Сетевом окружении" или с момента выключения до исчезновения из "Сетевого окружения" может пройти до 12 минут.
[b]Утилиты для диагностики:[/b]
[list][*] [b]net view[/b]
[*] [b]nbtstat[/b]
[*] [b]browstat [/b]из Support Tools
[*] [b]browmon[/b] из Resource Kit[/list]
Таким образом, для корректной работы одноранговой сети, необходимо настроить два компьютера (желательно те, которые постоянно включены) на работу в качестве Master и Backup Browser. У остальных компьютеров значение параметра [b][i]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters\MaintainServerList[/i][/b] нужно установить "[b]No[/b]".
[b][size=150]Гостевой доступ пользователей [/size][/b]
Это доступ для пользователя «[b]Гость[/b]». Пользователем «[b]Гость[/b]» считается любой пользователь, который не найден в базе пользователей данного компьютера, и что он входит в группу «[b]Все[/b]».
Чтобы обеспечить подобный доступ, необходимо:[list=1]
[*] Разблокировать пользователя «[b]Гость[/b]» (по умолчанию в 2000 и ХР он заблокирован);
[*] Задать этому пользователю пустой пароль;
[*] Проверить, что «[b]Гость[/b]» отсутствует в локальной политике ОС в разделе "[b][i]Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Назначение прав пользователя – Отказ в доступе к компьютеру по сети[/i][/b]";
[*] Проверить что группа «[b]Все[/b]» присутствует в локальной политике ОС в разделе "[b][i]Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Назначение прав пользователя – Доступ к компьютеру по сети[/i][/b]".[/list]
Плюсом данного метода можно считать только простоту реализации. Минусом - снижение уровня безопасности сети.
[b][size=150]Типовые проблемы:[/size][/b]
[list][*] Нет доступа к \\Worktation ("Возможно, у вас нет прав на использование этого сетевого ресурса"), но есть доступ по ссылке \\Workstation\Share.
[b]Windows XP[/b]: параметр политики "[b][i]Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями[/i][/b]" переведите в положение "Отключено";
[b]Windows 2000[/b]: параметр политики "[b][i]Параметры безопасности - Локальные политики - Параметры безопасности - Дополнительные ограничения для анонимных подключений[/i][/b]" установите в положение "Положитесь на разрешения заданные по умолчанию".
То же самое достигается установкой параметра реестра [b][i]RestrictAnonymous[/i][/b] в [b][i]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA[/i][/b] в [b][i]0[/i][/b]
Значения [b][i]RestrictAnonymous[/i][/b]:
[list][*] [b]0[/b] (Пусто) - Положитесь на разрешения заданные по умолчанию
[*] [b]1[/b] - Не разрешает перечисление учетных записей SAM и общих ресурсов
[*] [b]2[/b] - Нет доступа без явного разрешения анонимного доступа[/list][/list]