none
Accesso negato a risorsa di rete

    Domanda

  • Salve, ho un problema che non riesco a risolvere e sul quale ora mi sto arrovellando. Un aiuto o parere è assai apprezzato...

    Il problema: da uno specifico pc fisico, ho un messaggio di Accesso negato ad una risorsa di rete condivisa su file server virtuale.

    Il quadro generale: l'ambiente è un dominio AD, il pc è un win7 pro, il server è un 2008 standard. L'accesso è verso una cartella file server condivisa. Operano su reti con classi private diverse condivise tramite route statiche. Il file server condivide altre cartelle dallo stesso disco. Esistono altri pc operanti con la stessa configurazione. Gli ip sono fissi. Il firewall interposto tra le sedi crea una tunneling mpls di fatto e non interviene sul traffico interno.

    Le particolarità: tutti gli utenti compreso il domain admin, hanno lo stesso identico problema. Le altre cartelle condivise dallo stesso disco, sono tutte accessibili. Il messaggio di accesso negato (o mancanza di diritti se si prova il percorso da lettera disco), si ha solo con questo pc e nessun altro della rete lo riceve per gli stessi utenti.

    Operazioni effettuate senza successo: cambiato ip alla macchina, ripulite cache dns, reset del winsock, rimosso e reinstallato hardware di rete, rimosso pc da dominio, cancellati i profili residui su dns, reintrodotto in dominio, verificati diritti sulla cartella sia in condivisione che protezione (ricordo che sono accessibili dagli stessi utenti da qualsiasi altro pc).

    Notazioni: le GPO non intervengono in modo specifico sul pc né hanno effetto sgli accessi sulla rete. ICACLS accede all'ACL lato file server e sembra integra, mentre dal lato pc non riesce ad eseguire 'icacls [lettera disco] /save [path destinazione]\acl.txt /T' ricevendo Accesso negato. Nslookup risolve correttamente il DC. L'orologio di sistema è allineato su tutti i tre DC e la rete.

    Francamente ora non so più cosa provare... :-)


    mercoledì 11 aprile 2018 06:48

Risposte

  • RISOLTO...  e non so bene il perché...

    Comunque ieri ho rimosso tutti gli utenti, passato un icacls /reset, data una occhiata al DNS ma senza modifiche, e l'accesso era ancora negato solo a quella share...

    Stamani mi chiama l'utente il quale vedendo il pc acceso si è riconnesso, e tutto funziona...

    Quando si dice che la notte porta consiglio... ;-)

    Comunque grazie a tutti per i consigli.
    giovedì 12 aprile 2018 08:45

Tutte le risposte

  • Ciao,

    Hai provato a far partire il pc in modalità provvisoria?

    Se accedi con un utente locale e poi in esplora risorse metti l'indirizzo della share (dovrebbe comparirti la maschera di richiesta credenziali) ti funziona?

    Simon


    If you find that my post has answered your question, please mark it as the answer. If you find my post to be helpful in anyway, please click vote as helpful. Regards Simon Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.


    • Modificato Simon.Rech mercoledì 11 aprile 2018 07:08
    mercoledì 11 aprile 2018 07:03
  • Ciao,

    Non ho riavviato in modalità provvisoria perché sono in sessione remota.

    Ho provato con un account locale e inserite le credenziali di rete a richiesta, ma la risposta è sempre Accesso negato.

    mercoledì 11 aprile 2018 08:53
  • Io un tentativo in modalità provvisoria lo farei

    If you find that my post has answered your question, please mark it as the answer. If you find my post to be helpful in anyway, please click vote as helpful. Regards Simon Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    mercoledì 11 aprile 2018 09:11
  • Appena posso raggiungere quella sede, lo faccio.

    Ma giusto per capire: cosa ti aspetteresti da un accesso in modalità provvisoria (con funzionalità di rete)?! Che non carichi ACL od altro?

    mercoledì 11 aprile 2018 09:37
  • Antivirus o software di terze parti magari. Ma con wireshark hai provato a seguire il flusso? E' il server che ti risponde accesso negato?

    Altra cosa: se la share non è molto grande la potresti ricreare così ridai i permessi.

    Simon


    If you find that my post has answered your question, please mark it as the answer. If you find my post to be helpful in anyway, please click vote as helpful. Regards Simon Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    mercoledì 11 aprile 2018 09:51
  • Putroppo la share è su 600GB e centinaia di migliaia di file...

    Però provo con wireshark e ti faccio sapere (se ci capisco qualcosa... ;-))

    mercoledì 11 aprile 2018 10:01
  • Se hai attivato il file audit sul server prova anche a vedere l'event log security 

    Simon


    If you find that my post has answered your question, please mark it as the answer. If you find my post to be helpful in anyway, please click vote as helpful. Regards Simon Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    mercoledì 11 aprile 2018 10:18
  • Ho registrato con wireshark sia il flusso di richieste negate che quello andato a buon fine.

    La richiesta è un set SMB2.

    Nel flusso sia in caso di risposta positiva che di negazione all'accesso, parte un GetInfo Request apparentemente identico tra i due casi.

    La risposta invece è Get Request File: per la cartella alla quale si accede, e GetInfo Response per la cartella con Acesso Negato.

    Sul file server le due cartelle hanno entrambe lo stesso utente con gli stessi diritti (ad esempio, domain admins).

    C'è sul client una acl locale o informazioni memorizzate sui profili e diritti?

    mercoledì 11 aprile 2018 12:21
  • Anche se banale: prova a guardare se sulla directory in oggetto non sia stato inserito (anche erroneamente) un deny sulla macchina (e quindi non sull'utenza).

    Se così persiste, ricordo tempo fa di aver avuto un problema simile e, alla fine, era perchè alla macchina era stato dato lo stesso nome host di un'altra sulla rete. Prova con ipscan a vedere tutti i dispositivi sulla rete e quindi di fare un ceck sul nome host.

    Secondo me non è un problema di antivirus ne di firewall (ambedue le parti) perchè altrimenti ti darebbe problemi anche sull'accesso delle altre directory del server stesso ed avresti un log nell'antivirus e/o nel firewall.

    Come anticipato da @Simon prova a guardare anche l'event log ed eventualmente fai uno screenshoot e caricalo qua con il codice errore.

    Infine prova a guardare dal pannello di controllo del PC (anche se essendo a dominio, non dovrebbe aver mai chiesto alcuna credenziale da tenersi salvata) in gestione credenziali se c'è qualcosa di salvato nel percorso di rete del disco in oggetto. Se così fosse controlla se l'utenza salvata è OK e nel caso cancella la credenziale salvata e reimmettila.

    Ciao,
    Federico

    mercoledì 11 aprile 2018 12:27
  • Ciao Federico,

    non ci sono negazioni esplicite, e sul client non ci sono credenziali di alcun tipo memorizzate...

    Ho attivo l'audit su file e cartelle, ma non registro alcun evento dal pc...

    Nè buono né cattivo...

    Il pc apparentemente ha tutti i servizi attivi.

    mercoledì 11 aprile 2018 13:20
  • Prova a replicare le impostazioni del PC "problematico" su un PC "funzionante": IP, HOST-NAME, STESSO SO.

    Se il problema sul PC che in precedenza era "funzionante" non sussiste, prova a fare un ripristino del PC "problematico".

    Evidentemente c'è qualche problema ad un livello più basso.

    Ciao,
    Federico

    giovedì 12 aprile 2018 07:00
  • RISOLTO...  e non so bene il perché...

    Comunque ieri ho rimosso tutti gli utenti, passato un icacls /reset, data una occhiata al DNS ma senza modifiche, e l'accesso era ancora negato solo a quella share...

    Stamani mi chiama l'utente il quale vedendo il pc acceso si è riconnesso, e tutto funziona...

    Quando si dice che la notte porta consiglio... ;-)

    Comunque grazie a tutti per i consigli.
    giovedì 12 aprile 2018 08:45