同事遇到的案例,某台伺服器升級後,某支連接該主機網路磁碟機的固定排程出錯。手動測試以檔案總管無法連上伺服器,確認帳號密碼正確,但得到含糊的「An extended error has occurred./發生延伸錯誤。」訊息。再試了其他主機,使用相同帳號密碼連線網路磁碟並無問題。

改用net use \\\\xxx.xxx.xxx.xxx\\Share測試得到較明確訊息:「System error 2148073478 has occurred」

使用 2148073478 關鍵字爬到微軟KB 2686098,描述此問題多發生在客戶端升級 Windows 2012/Windows 8 後,因 SMB 3.0 新加入 Secure Negotiate 特性, 遇到只支援 2.0/2.1 協定的 SMBv2 伺服器將因未正確傳回有數位簽章的回應導致連線失敗,根本解決之道為升級 SMB 伺服器,鋸箭法會停用 Secure Negociate 功能(不建議)。

但我們的案例屬 SMB 伺服器端升級,客戶端未變,且此理由亦無法解釋另一台版本及環境相仿的 Windows 測試就沒問題。

最後同事提出一個猜想「升級後的伺服器沿用同一 IP,但背後的 Windows 換了,有問題的客戶端主機可能 Cache 住該 IP 升級前的舊資訊,導致安全識別出問題;另一台可連線的主機因平時未連過該 IP,故無 Cache 殘留問題」,依此推測決定重開機試試。重開機後,連不上伺服器的問題果真消失無蹤,特筆記之。

IP 相同但背後 Windows 換掉不是三天兩頭會發生的事,要踩到這種坑有點難度,不過還是筆記備忘等待有緣人參考。


Comments

# by Huang

資安考量目前會要求windows server本機原則啟用微軟自動數位簽章認證

# by James

謝謝分享

Post a comment


52 + 12 =