排查在数据复制到 Azure Data Box 期间的共享连接失败的问题
本文介绍由于网络问题而无法连接到 Azure Data Box 设备上的 SMB 共享时要执行的操作。
无法连接到设备上的共享的最常见原因是:
检查是否存在域问题
确定域问题是否阻止共享连接:
尝试连接到设备,并使用以下格式之一输入用户名:
<device IP address>\<user name>
\<user name>
如果可以连接到设备,则域问题不会阻止共享连接。
帐户被锁定无法访问共享
使用错误密码尝试连接共享失败 5 次后,共享将被锁定,你将在 15 分钟内无法连接。
失败的连接尝试可能包括你没有注意到的后台进程,例如重试。
注意
如果使用的是安装 Data Box 4.0 或更低版本的旧设备,则在尝试登录失败 3 次后,帐户会被锁定 30 分钟。
错误说明。 你将看到以下错误之一,具体取决于访问共享的方式:
如果尝试从主机通过 SMB 进行连接,则会看到错误:“引用的帐户当前已锁定,可能无法登录。”
以下示例展示了一次此类连接尝试的输出。
C:\Users\Databoxuser>net use \\10.100.100.10\mydbresources_BlockBlob /u:10.100.100.10\mydbresources Enter the password for '10.100.100.10\mydbresources' to connect to '10.100.100.10': System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to.
如果使用的是数据复制服务,则将在设备的本地 Web UI 中收到以下通知:
建议的解决方法。 若要在共享帐户锁定后连接到 SMB 共享,请执行以下步骤:
如果仪表板状态指示设备已锁定,请从顶部命令栏中解锁该设备,然后重试连接。
如果在解锁设备后仍无法连接到 SMB 共享,请验证该共享的 SMB 凭据。 在设备的本地 Web UI 中,转到“连接和复制”,然后选择共享的“SMB”。 你会看到以下对话框。
锁定期结束后(15 分钟或半小时),锁将消失。 现在可以连接到共享。
若要从主机通过 SMB 连接到共享,请运行以下命令。 有关过程,请参阅通过 SMB 将数据复制到 Data Box。
net use \\<IP address of the device>\<share name> /u:<IP address of the device>\<user name for the share>
若要使用数据复制服务连接到共享,请检查是否存在指示用户帐户已解锁的通知,如下所示。 在“复制数据”窗格中,现在可以将数据复制到 Data Box。
检查是否存在具有阻止作用的组策略
检查客户端/主机上的组策略是否阻止你连接到共享。 如果可能,请将客户端/主机移到未应用任何组策略对象 (GPO) 的组织单位 (OU)。
若要确保没有组策略阻止你访问 Data Box 上的共享,请执行以下操作:
确保客户端/主机位于其自己的 Active Directory 组织单位中。
确保没有任何 GPO 应用于客户端/主机。 可以阻止继承,以确保客户端/主机(子节点)不会自动继承父节点的任何 GPO。 有关详细信息,请参阅阻止继承。
检查是否存在权限问题
如果没有域问题,并且没有组策略阻止你访问共享,请查看审核日志和安全事件日志,检查设备上是否存在权限问题。
查看安全事件日志
查看设备上的 Windows 安全事件日志中是否存在指示身份验证失败的错误。
可以在 etw
文件夹中查看 Smbserver.Security
事件日志,也可以在事件查看器中查看安全错误。
若要在事件查看器中查看 Windows 安全事件日志,请执行以下步骤:
若要打开 Windows 事件查看器,请在“开始”屏幕中键入“事件查看器”,然后按 Enter 键。
在事件查看器导航窗格中,展开“Windows 日志”,然后选择“安全性”文件夹。
查找以下错误之一:
错误 1:
SMB Session Authentication Failure Client Name: \\<ClientIP> Client Address: <ClientIP:Port> User Name: Session ID: 0x100000000021 Status: The attempted logon is invalid. This is either due to a bad username or authentication information. (0xC000006D) SPN: session setup failed before the SPN could be queried SPN Validation Policy: SPN optional / no validation
错误 2:
LmCompatibilityLevel value is different from the default. Configured LM Compatibility Level: 5 Default LM Compatibility Level: 3
其中任一错误都表明你需要更改设备上的 LAN Manager 身份验证级别。
更改 LAN Manager 身份验证级别
若要更改设备上的 LAN Manager 身份验证级别,可以使用本地安全策略,也可以直接更新注册表。
使用本地安全策略
若要使用本地安全策略更改 LAN Manager 身份验证级别,请执行以下步骤:
若要打开本地安全策略,请在“开始”屏幕中键入
secpol.msc
,然后按 Enter 键。转到“本地策略”>“安全选项”,然后打开“网络安全: LAN Manager 身份验证级别”。
将设置更改为“仅发送 NTLMv2 响应。拒绝 LM 和 NTLM”。
更新注册表
如果无法在本地安全策略中更改 LAN Manager 身份验证级别,请直接更新注册表。
若要直接更新注册表,请执行以下步骤:
若要打开注册表编辑器 (regedit32.exe),请在“开始”屏幕中键入
regedt32
,然后按 Enter 键。导航到:HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > LSA。
在 LSA 文件夹中,打开 LMCompatibilityLevel 注册表项,并将其值更改为 5。
重新启动计算机以使注册表更改生效。