《Windows文件共享原理》由会员分享,可在线阅读,更多相关《Windows文件共享原理(11页珍藏版)》请在金锄头文库上搜索。
1、关于 Windows 文件共享服务的一些问题以及 网上邻居共享的工作原理:问题引出:我刚安装 windows2003时,Computer Browser、Server 和 Workstation这三项服务都有,但过了一段时间它们就看不见了,在管理工具的服务列表里找不到了,请问怎么会这样?应该如何解决?问题解决:并不是有了“Microsoft 网络的文件和打印机共享”就 Computer Browser、Server 和 Workstation 这三项服务都会有,而只会有 Server 服务。最准确的说法应该是:网络连接里本地连接属性的“Microsoft 网络的文件和打印机共享”,对应于“Se
2、rver” 服务。网络连接里本地连接属性的“Microsoft 网络客户端” ,对应于“Workstation”服务及“Computer Browser”服务。关 于这些,自己试一下就都知道了。卸载掉“Microsoft 网络的文件和打印机共享” ,则“Server”服务必消失;相反,装上“Microsoft 网络的文件和打印机共享” ,则 “Server”服务会显现。卸载掉“Microsoft 网络客户端” ,则“Workstation”服务及 “Computer Browser”服务必消失;相反,装上“Microsoft 网络客户端” ,则“Workstation”服务及“Computer
3、 Browser”服务会显现。网上邻居共享的工作原理:网上邻居的工作模式是一个典型的客户端/服务器工作模型,现在,回想一下访问网络邻居的过程,首先,点击网络邻居图标,打开网上邻居列表,其次,点击打开目标服务器图标,列出目标服务器上的共享资源,接下来,点击需要的共享资源图标,进行需要的操作(这些操作包括列出内容,增加,修改或删除内容等。1 取得网络资源列表我们是如何获得当前网络上可以访问的服务器列表的呢?在一个有域的 windows 网络环境下,我们也可以通过活动目录服务来取得这个列表。而在工作组环境中这主要依靠windows 的浏览服务。浏览服务为各客户机提供的资源列表并不是实时的,也不一定是
4、全局一致的,它依靠每12分钟一次的轮询来刷新和同步这个列表,因此,这个列表经常与实际情况不一致。2 网上邻居的名称解析当我们点击网络邻居列表里的一台机器时,这时首先会发生一个名称解析过程。 谈起名称解析,我们常会想到 DNS,事实上,网上邻居的名称解析也是可以使用 DNS 系统的。不过前提是你需要架设局域网 DNS 服务器对局域网的各机器名进行解析。 如果你没有安装局域网 DNS,你也可以使用 NETBIOS 的名字服务还对机器名进行解析,NETBT(TCP/IP 上的 NETBIOS)协议也可以将一台 NETBIOS 机器名解析为 IP 地址,可以用 nbtstat -c 命令查看本机缓存的
5、 NETBIOS 名称和 IP 地址的映射表。也可以使用nbtstat r 命令来利用 NETNBT 广播来将指定 NETBIOS 名称解析为 IP 地址。由于广播方式是无法跨子网的,所以当 NETBIOS 要求解析跨子网的名称时,必需要正确设置WINS 服务器来进行跨网络的 NETBIOS 名称解析。 除以上方式外,网上邻居还允许通过 Lmhost 文件来进行名字解析。 除了基于 TCP/IP 的 NETBT 和 DNS,由于网上邻居也允许运行 NETBEUI 和 IPX/SPX 等其它协议上,因此对机器名的解析不一定非局限为解析成 IP 地址,比如 NETBEUI 协议数据包仅包含二层链跑
6、层地址,因此不可路由也无法跨越子网,但在小型网络中使用 NETBEUI 协议不但可以提高效率,而且它的工作不受防火墙设置的影响,免去了设置防火墙的麻烦。3 访问服务器在对服务器进行了正确的名称解析后,我们开始了实质性的阶段,登录共享服务器访问服务器的流程一台客户机要访问服务器,在找到目标服务器后,它首先要确定目标服务器上的协议,端口,组件能是否齐备,服务是否启动,在一切都合乎要求后,开始用户的身分验证过程,如果顺利通过身份验证,服务器会检查本地的安全策略与援权,看本次访问是否允许,如果允许,会进一步检查用户希望访问的共享资源的权限设置是否允许用户进行想要的操作,在通过这一系列检查后,客户机才能
7、最终访问到目标资源。网络共享服务的协议和端口作为网上邻居基础的微软文件和打印服务可以基于多种不同的协议,它们使用不同的端口。在较早的 WIN98/95系统下面,主要使用 NETBT(TCP/IP 上的 NETBIOS)协议来完成相关,使用137,138和139端口,同时完成包括列表维护,名称解析和文件传输等多种功能,而2000 后,网络共享服务也可以通过 TCP/IP 上的 SMB 直接承载实现,使用445 端口。名称解析也可以通过 DNS 系统来实现。这样一方面可以省略 NETBIOS 层,提高工作效率,另一方面免除了 NETBIOS 名称解析引起的广播,减小了网络负荷。但是如果网络中存在一
8、些老版本的 windows 系统或者没有局域网 DNS 服务器,为了名字解析的顺利进行不得不启用 NETBT,否则就只能通过 IP 地址访问网上邻居。下图列出了文件共享服务支持的各种网络协议。为了提供文件共享服务,服务器上必须安装以下网络协议和服务,它们之间存在着对应关系如下图:身份验证如果服务器上禁用了简单文件共享,或者服务器的本地安全策略 安全选项中的“网络访问:本地账户的共享和安全模式”设为经典,本地账户模式,当客户机连接服务器时,首先以客户机的登录名和密码在服务器上进行验证,如果恰好服务器上存在同名且同密码的账户而且该帐户没有被禁用,客户机将以此用户的身份进入下一本地安全策略的验证阶段
9、,如果服务器上不存在此同名同密码的账户,而服务器上的 guest 账户未被禁用,客户机将以 guest 账户的身分直接进入下一阶段的安全策略验证阶段。如果服务器上禁用了 guest 账户,会弹出要求输入用户名和密码的对话框如下,这时如果提供了服务器上存在的用户名和密码,则会以此用户的身份进入下一阶段安全策略检查过程。身份验证这里存在一个很常见的误解,在判断 guest 账户是否启用时,很多用户是查看控制面板里的用户账户(如下图 A) ,在那里看 guest 账户是否为启用状态。如果显示来宾账户没有启用就认为 guest 被禁用,而实际判断 guest 是否被禁用应该是观察计算机管理中的本地用户
10、和组里 guest 用户的状态,如下图 B。而在控制面板中的用户账户中启用 guest 账户的含义是允许 guest 从本地登录(出现在登录的欢迎屏幕上)。在用户帐户中禁用 guest 不会禁用本地用户 guest 帐户。查看 guest 启用状态的最简单方法是用命令 net user guest 查看,看输出中“帐户启用”一栏的信息。查看 guest 启用状态的最简单方法是用命令 net user guest本地安全策略审核当用户通过了认证,就进入了本地安全策略审核阶段。在本地安全策略中,与网上邻居相关的最重要的三条策略是以下三个:一是本地策略 安全选项中“账户:使用空白密码的本地账户只允许
11、进行控制台登录 ”。二是本地策略 用户权利指派中的“拒绝从网络访问这台计算机”三是本地策略 用户权利指派中的“从网络访问这台计算机” 。当用户是以 guest 账号进入本地安全策略审核中,主要检查第二条与第三条策略 (因为guest 本身就是无密码的) ,检查过程如下图:检查过程当用户以非 guest 用户身份进入安全策略审核时,三条策略都将检查到,检查过程如下:检查过程发生在策略审核过程中的登录问题常会产生以下这类错误提示:除以上提到的三个最重要影响网络邻居访问的安全策略外,还有以下一些安全策略对网上邻居的访问过程产生影响。本地策略 安全选项中的“网络访问:本地账户的共享和安全模式 ”,这等
12、效于是否启用简单文件共享。 本地策略 安全选项中的“网络访问:不允许 SAN 账户和共享的匿名枚举” 。如果启用它其实际就是取消了 IPC$隐藏共享,这使客户机访问时无法取得服务器上的共享资源列表,这时,要想访问服务器上共享资源除非预先知道想访问的共享资源名称,手动输入资源的完整路径向这种serversharename 。本地策略 安全选项中的“:LAN Manager 身份验证级别“。Windows 2000以上系统可以使用更高的安全级别,但2000以下系统会无法识别发送的安全凭证。出现如下所示的出错提示。权限检查在通过了本地安全策略检查后,服务器还要检查用户想访问的共享文件夹的共享权限与
13、NTFS 权限是否允许当前登录账户访问。检查过程如下图:这二者分别在文件夹属性的共享和安全标签页中设置。当权限检查顺利通过后,用户才能正常访问目标共享资源。如果在网上邻居访问中可以列出对方机器上的共享目录列表,但进入目录时遇到拒绝访问提示,一般都是在权限检查这一步骡遇到了问题。在 winxp 系统中,如果使用的是简单文件共享,在目录属性页中是没有用于设置 NTFS 权限的“安全”标签页的。NTFS 权限都采用默认设置。而如果禁用了简单文件共享,在文件夹的属性页中会多出“安全”标签,在此可以对目录的 NTFS 权限进行(如下图) 。Winxp 下的一个常见问题是用户一段时间禁用了简单文件共享并对
14、共享目录的 NTFS 权限进行了设置,然后又恢复了简单文件共享。这时虽然再也看不到安全标签并设置 NTFS 权限,但已经设置的 NTFS 权限是依然存在的。如果此时共享目录的 NTFS 权限设置禁止guest 访问,即使其它设置完全正确,目标文件夹也无法访问,而且由于在简单文件共享模式下看不到共享目录的 NTFS 权限状态,常让一些初级用户对故障原因莫名所以。网上邻居共享的故障排查案例理解了网上邻居访问过程的工作原理,如果在使用网上邻居时出现故障,就可以分析问题原因找到解决办法。下面我们来看几个案例.故障现象 :两台 winxp 机器,用户只建立了 administrator 用户,都没有设置
15、密码,以IP 地址形式访问时不提示用户名和密码就显示拒绝登录.两台机都未使用简单文件共享.故障分析 :不提示用户名和密码,说明已经通过了用户认证阶段.因为未使用简单文件共享. 登录时是以客户机的登录帐户进行认证的,也就是以 administrator 的身份登录,但由于服务器的 administrator 无密码,根据默认安全策略无密码帐户只允许进行控制台登录,因此收到拒绝登录的提示.故障解决 :启用 guest 帐户,为两机启用简单文件共享,然后无需密码即可访问 .(注意,在启用简单文件共享前先要检查需要共享的目录的 NTFS 权限是否允许 guest 访问.故障现象 :服务器采用简单文件共
16、享,当以ipadressC$形式访问服务器上的 C 盘时,不要求输入用户名和密码就直接提示权限不够.故障分析 :服务器上启用了简单文件共享,所有访问用户都被映射为 guest,而 guest 对 C$这个共享是无共享访问权的,因此提示权限不足.故障解决 :在服务器上禁用简单文件共享,使用 net use 命令的/user 选项指定访问时使用的有权限的登录用户和密码(例如 administrator).从以上两例中可以看出解决网上邻居访问故障时的一些思路.在实际故障排查过程中,网络故障的提示信息是我们判断问题所在阶段的一个重要提示,前面图例中的一些错误提示框分别会产生在网络访问过程的不同阶段,根据这些提示我们就可以大致确定问题的范围并做出针对性的调整来解决问题.link:http:/ link:http
