NetApp com erro: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT

6

Desde a atualização de todo o site para o Windows 7 no computador, comecei a ter um problema com a verificação de vírus. Especificamente - ao fazer uma operação de renomeação em um compartilhamento CIFS (arquivado hospedado). O verificador de vírus parece estar acionando um conjunto de mensagens no arquivador:

[filerB: auth.trace.authenticateUser.loginTraceIP:info]: AUTH: Login attempt by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20 (server-wk8-r2).
[filerB: auth.dc.trace.DCConnection.statusMsg:info]: AUTH: TraceDC- attempting authentication with domain controller \MYDC.
[filerB: auth.trace.authenticateUser.loginRejected:info]: AUTH: Login attempt by user rejected by the domain controller with error 0xc0000199: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT.
[filerB: auth.trace.authenticateUser.loginTraceMsg:info]: AUTH: Delaying the response by 5 seconds due to continuous failed login attempts by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20.

Isso parece ser acionado especificamente em rename , então o que achamos que está acontecendo é que o verificador de vírus está vendo um arquivo "novo" e tentando fazer uma varredura ao acessar. O verificador de vírus - anteriormente executado como LocalSystem e, portanto, enviando null como solicitação de autenticação, agora está parecendo um ataque do DOS e fazendo com que o arquivador fique temporariamente na lista negra. Este 5s bloqueia cada 'tentativa de acesso' é um incômodo menor na maior parte do tempo, e realmente bastante significativo para algumas operações - por exemplo, grandes transferências de arquivos, onde cada arquivo leva 5s

Tendo feito algumas pesquisas, isso parece estar relacionado à autenticação NLTM:

Symptoms

Error message:

System error 1808 has occurred.
The account used is a computer account. Use your global user account or local user     account to access this server.

A packet trace of the failure will show the error as:

STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT (0xC0000199)

Cause

Microsoft has changed the functionality of how a Local System account identifies itself
during NTLM authentication.  This only impacts NTLM authentication.  It does not impact
Kerberos Authentication.

Solution

On the host, please set the following group policy entry and reboot the host.
Network Security: Allow Local System to use computer identity for NTLM: Disabled
Defining this group policy makes Windows Server 2008 R2 and Windows 7 function like Windows Server 2008 SP1.

Então, agora temos algumas soluções alternativas que não são particularmente legais - uma delas é alterar essa opção de segurança. Uma delas é desativar a verificação de vírus ou, de outra forma, isentar parte da infraestrutura.

E aqui é onde eu chego ao meu pedido de assistência do ServerFault - qual é o melhor caminho para a frente? Eu não tenho experiência no Windows para ter certeza do que estou vendo.

Não sei bem por que o NTLM faz parte dessa imagem em primeiro lugar - achei que estávamos usando a autenticação Kerberos. Não sei como começar a diagnosticar ou solucionar problemas. (Nós estamos indo cross domain - contas de máquina de estação de trabalho estão em um domínio AD e DNS separado para o meu arquivador. Autenticação de usuário normal funciona bem no entanto.)

E, na falta disso, alguém pode sugerir outras linhas de pesquisa? Gostaria de evitar uma alteração de opção de segurança ampla no site ou, se eu fizer isso, precisarei fornecer um raciocínio detalhado. Da mesma forma - desabilitar a verificação de vírus funciona como uma solução temporária de curto prazo, e aplicar exclusões may ajuda ... mas eu prefiro não, e não acho que isso resolve o problema subjacente.

EDITAR: Filers no AD ldap possuem SPNs para:

nfs/host.fully.qualified.domain
nfs/host
HOST/host.fully.qualified.domain
HOST/host

(Desculpe, tenho que ofuscar esses).

Poderia ser que sem um 'cifs / host.fully.qualified.domain' não vai funcionar? (ou algum outro SPN?)

Edit: Como parte da pesquisa que fiz, descobri: link

O que sugere que vários tipos de criptografia foram desativados por padrão no Win7 / 2008R2. Este pode ser pertinente, já que definitivamente tivemos um problema similar com o Keberized NFSv4. Há uma opção oculta que pode ajudar alguns futuros usuários do Keberos: opções nfs.rpcsec.trace em (Isso ainda não me deu nada, então pode ser apenas específico do NFS).

Editar: Outra escavação me faz rastreá-lo de volta para autenticação de domínio cruzado. Parece que minha estação de trabalho do Windows 7 (em um domínio) não está recebendo tíquetes Kerberos para o outro domínio, no qual meu arquivador NetApp é associado ao CIFS. Eu fiz isso separadamente contra um servidor autônomo (Win2003 e Win2008) e não obtive bilhetes Kerberos para aqueles também.

O que significa que acho que o Kerberos pode estar corrompido, mas não tenho ideia de como solucionar problemas.

Editar: Uma atualização adicional: parece que os tíquetes Kerberos não podem ser emitidos em vários domínios. Isso, então, aciona o fallback do NTLM, que é executado nesse problema (desde o Windows 7). O primeiro porto de escala será investigar o lado do Kerberos, mas em nenhum dos casos temos algo apontando para o Filer sendo a causa raiz. Como tal - como o engenheiro de armazenamento - está fora de minhas mãos.

No entanto, se alguém puder me apontar a direção da solução de problemas do Kerberos que abrange dois domínios do Windows AD (Kerberos Realms), isso seria apreciado.

Opções que vamos considerar para a resolução:

  • Altere a opção de política em todas as estações de trabalho por meio do GPO (como acima).
  • Conversando com o fornecedor de antivírus sobre a varredura de acionamento de renomeação.
  • Conversando com o fornecedor de antivírus relacionado à execução do antivírus como conta de serviço.
  • investigando a autenticação do Kerberos (por que não está funcionando, se deveria ser).
por Sobrique 19.05.2014 / 11:11

2 respostas

2

Cheguei ao fim da corrida e agora sei porque está acontecendo.

Em resumo:

  • Desde o Windows 7/2008, o comportamento padrão de 'LocalSystem' em uma máquina cliente foi alterado. Onde antes ele usaria um login 'nulo', ele usa contas de máquina para o NTLM.

  • Como estamos indo entre duas florestas do AD, o Kerberos não está sendo usado. Isso é por design. link "A autenticação Kerberos usa a confiança transitiva transparente entre domínios em uma floresta, mas não pode autenticar entre domínios em florestas separadas "

    • A Sophos está examinando os arquivos "no acesso", que é acionado por uma renomeação. Por motivos de política de segurança, isso inclui unidades de rede.

    • Como o Sophos está sendo executado como LocalSystem, ele apresenta a conta da máquina via NTLM ao arquivador. Essa conta é rejeitada, com STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT e, após 10 tentativas, o arquivador aciona um bloqueio.

    • Devido a esse bloqueio, as tentativas de varredura de vírus subsequentes serão interrompidas por 5s por tentativa. Esta é a raiz do nosso problema, porque o nosso processo copia e renomeia centenas de arquivos, e após o 10, cada um terá 5s.

Isso nos deixa com soluções de:

  • Altere a opção de política de segurança mencionada acima: Segurança de rede: permitir que o sistema local use a identidade do computador para NTLM: desativado

    • Aplique uma exclusão no verificador de vírus para unidades de rede

    • Mesclar seu domínio separado na mesma floresta, para que o Kerberos funcione. (Outra opção é descrita aqui: link que envolve a atualização do relacionamento entre os domínios, de modo que o Kerberos funcione novamente.

    • Use vfilers e os CIFs se unem a outro domínio.

    • Há também uma opção no arquivador para aumentar o número de novas tentativas antes que esse bloqueio ocorra - é uma opção oculta e não tenho uma sintaxe precisa à mão.

por 06.06.2014 / 10:57
4

Eu modificaria suas políticas de antivírus para não verificar arquivos compartilhados na rede. Você poderia ter uma dúzia de clientes tentando analisar o mesmo arquivo pela rede simultaneamente.

Assim, no Windows 2000, 2003, Windows XP, Vista e 2008, o comportamento padrão é este:

  • Segurança de rede: permite que o sistema local use a identidade do computador para NTLM
    • Desativado: os serviços em execução como Sistema Local que usam Negociar quando reverter para a autenticação NTLM serão autenticados anonimamente.

Mas no Windows 7 e 2008 R2 e superior, o comportamento padrão foi alterado para:

  • Segurança de rede: permite que o sistema local use a identidade do computador para NTLM
    • Habilitado: os serviços em execução como Sistema Local que usam Negociar usarão a identidade do computador.

Fonte: link

Você diz que gostaria de evitar uma alteração de opção de segurança em todo o site, mas já fez uma quando atualizou todos os clientes para o Windows 7.

Por que você não está usando o Kerberos em primeiro lugar, é uma questão totalmente diferente de você não nos fornecer dados suficientes para poder responder. Para que o Kerberos funcione, o serviço CIFS precisa de uma relação de confiança com o domínio e os nomes principais do serviço registrado, e o cliente deve endereçar o serviço com o nome do host ou FQDN, não o endereço IP.

Seu domínio do Filers está associado? Em caso afirmativo, eles têm CIFS / * SPNs?

    
por 19.05.2014 / 13:56