Вопрос или проблема
У меня есть NAS Synology, который использует Samba 3.6.9. У меня также есть контроллер домена Windows (Server 2012 R2), на котором я использую резервное копирование Windows Server для создания резервной копии состояния системы на NAS Synology. При использовании SMB1 у меня нет проблем, однако при использовании SMB2 я сталкиваюсь со следующим:
smbd/service.c:636: [2014/01/04 14:56:11.044645, all 2, pid=20301] create_connection_session_info
user 'NAUPLIUS\dc01$' (from session setup) not permitted to access this share (Backup)
smbd/service.c:847: [2014/01/04 14:56:11.045532, all 1, pid=20301] make_connection_snum
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
smbd/service.c:1453: [2014/01/04 14:56:20.283879, all 1, pid=20301] close_cnum
DC01 (10.10.20.8) closed connection to service Backup
smbd/connection.c:35: [2014/01/04 14:56:20.284802, all 3, pid=20301] yield_connection
Yielding connection to Backup
smbd/smb2_server.c:3120: [2014/01/04 14:56:20.289760, all 2, pid=20301] smbd_smb2_request_incoming
smbd_smb2_request_incoming: client read error NT_STATUS_CONNECTION_RESET
smbd/server_exit.c:181: [2014/01/04 14:56:20.293909, all 3, pid=20301] exit_server_common
Server exit (NT_STATUS_CONNECTION_RESET)
Как вы видите, резервное копирование Windows Server в этом случае пытается получить доступ к общей папке с помощью учетной записи компьютера. Теперь, если бы это был сервер Windows, учетные записи компьютеров можно было бы добавить к общей папке так же легко, как и учетную запись пользователя. Насколько я понимаю, это не так в случае с Samba. Может ли кто-то поправить меня, если я ошибаюсь, возможно ли добавить учетную запись компьютера домена в права доступа к общему ресурсу Samba?
Одно, что стоит отметить, это то, что я добавил “NAUPLIUS\Domain Controllers” (членом которого является DC01), но это, похоже, не решило проблему. Ошибки NT_STATUS_ACCESS_DENIED продолжаются.
На момент DSM 6.2 это все еще не реализовано напрямую. Однако вы можете обойти это, перейдя к серверу в проводнике Windows, щелкнув правой кнопкой мыши на общей папке и установив права доступа, используя вкладку безопасности. Когда вы добавляете учетную запись компьютера в список, это, похоже, работает так же, как и добавление через интерфейс DSM, поскольку права доступа, как правило, распространяются на всю общую папку. Это в контексте Windows, где истинные права доступа на уровне общей папки не распространяются на структуру NTFS.
Ответ или решение
Предоставление доступа к учетным записям компьютеров на Samba Shares
Ваша ситуация с доступом к общей папке Samba на Synology NAS через Windows Domain Controller (Windows Server 2012 R2) ставит перед вами несколько вызовов, особенно когда речь идет о поддержке SMB2. Давайте разберем проблему и предложим возможные решения.
Проблема
Вы сталкиваетесь с ошибкой NT_STATUS_ACCESS_DENIED, когда Windows Server Backup пытается использовать учетную запись компьютера (например, NAUPLIUS\dc01$) для доступа к общим папкам Samba. Вы правильно заметили, что в Windows Server можно добавлять учетные записи компьютеров для получения доступа к общим папкам, однако этот подход не так просто реализовать в Samba, особенно в версии 3.6.9, установленной на вашем Synology NAS.
Понимание Samba и Windows
Samba, как реализация протокола SMB (Server Message Block), имеет отличия от встроенных функций Windows Server в процессе управления доступом к общим ресурсам. Учетные записи компьютеров действительно могут быть добавлены к разрешениям в Samba, но их необходимо правильно конфигурировать и учитывать специфику разрешений Samba.
Решение
-
Проверка разрешений на уровне Samba: Убедитесь, что у вас есть соответствующие записи для разрешений на доступ. В вашем случае, добавление группы
NAUPLIUS\Domain Controllers— это правильный шаг, однако вам стоит также проверить:- Убедитесь, что учетная запись компьютера
NAUPLIUS\dc01$действительно имеет доступ к ресурсу на уровне файловой системы (например, на уровне NTFS, если это применимо). - Настройте разрешения на уровне Samba. Вам может понадобиться выполнить команды
smbpasswdдля добавления учетной записи компьютера.
- Убедитесь, что учетная запись компьютера
-
Управление разрешениями через интерфейс Windows: В соответствии с вашими наблюдениями о DSM 6.2 и возможности управления разрешениями через Windows Explorer, рекомендуется следующее:
- Подключитесь к вашей общей папке Samba через Windows Explorer.
- Щелкните правой кнопкой мыши по общей папке и выберите «Свойства».
- Перейдите на вкладку «Безопасность», где вы сможете вручную добавить учетную запись компьютера (например,
NAUPLIUS\dc01$). Это может помочь в управлении доступом более эффективно, поскольку разрешения, заданные здесь, будут правильно применяться к ресурсам.
-
Перезапуск службы Samba: После внесения изменений в разрешения или настройки попробуйте перезапустить службу Samba, чтобы изменения вступили в силу.
-
Проверка журналов ошибок: Обратите внимание на сообщения в журналах Samba, чтобы идентифицировать дополнительные причины сбоев доступа. Исследуйте возможные проблемы с сетевыми подключениями или неправильными идентификаторами.
Заключение
Обеспечение доступа к общей папке Samba через учетные записи компьютеров требует более тщательной настройки, чем в случае работы с Windows Server. Однако, используя вышеперечисленные рекомендации, вы сможете устранить проблемы с доступом. Адаптация процедуры управления разрешениями через интерфейс Windows часто оказывается эффективным решением, позволяющим обойти ограничения, существующие в интерфейсе управления NAS.
Если у вас возникнут дополнительные вопросы по этой теме или вам понадобятся дальнейшие разъяснения шагов, пожалуйста, не стесняйтесь обращаться.