工作组中常见网络访问疑难解答
工作组中常见网络访问疑难解答
在工作组环境中我们经常会碰到各种各样的网络访问的故障,这其中一方面是由于“网络邻居”本身的设计缺陷所造成的,但绝大多数问题是由于对网络、安全组件的设置不当造成的,在Windows XP SP2中尤其突出。本文将会以Windows XP 参照和大家共同探讨这些问题。
在解决这类问题时如果能首先知道网络访问的过程是怎么样进行的,那么在解决问题时就能有的放矢, 很快找到问题所在。下面的例子中client端可能为:windows 98/2K/XP而Server端为Windows XP SP2,我们将按照网络访问的过程中每一步可能出现的常见问题的大家一起探讨.
网络访问过程:
Client ― >协议/端口/服务― >用户身份验证― >本地安全策略授权― >共享权限 ― >Server
一、 协议/端口和服务
1、协议端口:(网络访问主要会用到以下端口)
|
协议
|
端口
|
作用
|
网络组件
|
服务
|
|
UDP
|
137
|
NetBIOS
名字解释
|
Microsoft
网络的文件和打印共享:可以给局域网用户提供资源共享服务
Microsoft
网络客户端:可以访问局域网的资源共享
|
Computer Browser
、
Workstation
、
Server
、
TCP/IP NetBIOS Helper
等服务并且服务的启动状态为“自动”
|
|
TCP
|
137
|
NetBIOS
名字解释
|
||
|
UDP
|
138
|
NetBIOS
数据报
|
||
|
TCP
|
139
|
NetBIOS
会话
|
||
|
TCP
|
445
|
TCP/IP
上的
SMB
直接宿主访问
|
||
|
NetBEUI
IPX/SPX
|
|
效率最高、速度最快并且不受
Windows firewall
限制
/
不可路由、小型网络中使用
|
二、错误图示以及分析:
错误图示(1―1):
分析可能的原因:
如果出现上图所示错误或者报函数错误或者不能ping通本地主机(localhost/127.0.0.1)一般是由于TPC/IP协议损坏。
如果出现上图所示错误或者报函数错误或者不能ping通本地主机(localhost/127.0.0.1)一般是由于TPC/IP协议损坏。
解决方法:
重置TCP/IP协议
重置TCP/IP协议
|
重置
TCP/IP
协议
|
|
|
|
|
Windows 98
|
直接在网络对话框里删除
TCP/IP
、然后重新安装
|
||
|
Windows 2000
|
1.
通过单击清除“网络和拨号连接”工具中所有拨号连接和所有
LAN
连接的
TCP/IP
复选框。
2.
安装另一个协议(
NWlink
或
NetBEUI
)
3.
重新启动计算机。
4.
重新安装
TCP/IP
,然后重新启动计算机
|
||
|
windows xp
|
netsh int ip reset resetlog.txt
|
||
当然也有可能是你的网卡的驱动没装好或者你禁用了网卡
错误图示(1―2):
可能的原因及解决方法:
最好先PING一下对方的IP地址,如果Ping不通就要检查你的网络连接是否正常,对方是否开启了防火墙, 或禁用了上面提到的端口。如果能PING IP地址但不能ping通计算机名,就可检查一下DNS服务或WINS服务或者检查一下本机的Hosts或者lmhosts.sam文件,如查这些都正常,你可以重新注册一下DNS名字
在windows 防火墙启用打印和文件共享
可能的原因及解决方法:
最好先PING一下对方的IP地址,如果Ping不通就要检查你的网络连接是否正常,对方是否开启了防火墙, 或禁用了上面提到的端口。如果能PING IP地址但不能ping通计算机名,就可检查一下DNS服务或WINS服务或者检查一下本机的Hosts或者lmhosts.sam文件,如查这些都正常,你可以重新注册一下DNS名字
在windows 防火墙启用打印和文件共享
重新注册DNS
2、用户身份验证:
对于用户身份验证,需要牢记以下两条准则:
1)、客户端总是优先以当前的登陆账户进行验证。
2)、由服务器决定是否将客户端的用户身份映射为Guest账户
错误图(2-1)
可能出现的原因:
服务器上取消了简单文件其享,而且服务器上和客户机上存在的相同的用户名(如:pjj1020)但在各自机上登陆的密码不一样(客户机上的User name:pjj1020 Password:pjj1020, 服务器上的:User name:pjj1020 Password:pjj)
而解方法:在客户机上和服务器上设置相同的用户名和密码,或者在对话框中输入服务器上的用户名和密码。注意:如果你在服务器上的这个用户名设置的密码为空的话,还是为老是弹出这样一个对话框,因为在XP系统上是不充许空白密码进行访问的。
对于用户身份验证,需要牢记以下两条准则:
1)、客户端总是优先以当前的登陆账户进行验证。
2)、由服务器决定是否将客户端的用户身份映射为Guest账户
错误图(2-1)
可能出现的原因:
服务器上取消了简单文件其享,而且服务器上和客户机上存在的相同的用户名(如:pjj1020)但在各自机上登陆的密码不一样(客户机上的User name:pjj1020 Password:pjj1020, 服务器上的:User name:pjj1020 Password:pjj)
而解方法:在客户机上和服务器上设置相同的用户名和密码,或者在对话框中输入服务器上的用户名和密码。注意:如果你在服务器上的这个用户名设置的密码为空的话,还是为老是弹出这样一个对话框,因为在XP系统上是不充许空白密码进行访问的。
不论你输入正确的还是错误的密码,始终弹出如这样的对话框
可能的原因:
这是原因为在服务器上所有网络用户都被识别成了Guest用户
1、 服务器上启用了简单文件共享,并且没有配制过简单文件共享。或者在
本地安全策略中设置了“本地账户的共享和安全模式:仅来宾―本地账户以来宾身份验证”。
解决方法:配制简单文件共享或是取消它或在安全策略中 “经典―本地账户以自己的身份验证”备注:在Windows Home中默认只能使用简单文件共享
错误图(2―21)
可能的原因:
这是原因为在服务器上所有网络用户都被识别成了Guest用户
1、 服务器上启用了简单文件共享,并且没有配制过简单文件共享。或者在
本地安全策略中设置了“本地账户的共享和安全模式:仅来宾―本地账户以来宾身份验证”。
解决方法:配制简单文件共享或是取消它或在安全策略中 “经典―本地账户以自己的身份验证”备注:在Windows Home中默认只能使用简单文件共享
错误图(2―21)
3:本地安全策略审核
三条重要的安全策略:
1、 本地策略――安全选项――“账户:使用空白密码的本地账户只充许进行控制台登陆”
2、 本地策略――用户权限指派:“拒绝从网络访问这台计算机”
3、 本地策略――用户权限指派:“从网络访问这台计算机”
三条重要的安全策略:
1、 本地策略――安全选项――“账户:使用空白密码的本地账户只充许进行控制台登陆”
2、 本地策略――用户权限指派:“拒绝从网络访问这台计算机”
3、 本地策略――用户权限指派:“从网络访问这台计算机”
错误图(3―1)
可能原因:
在安全选项设置了“账户:使用空白密码的本地账户只充许进行控制台登陆”
在 本地策略――用户权限指派:“拒绝从网络访问这台计算机” 加把Guest账号加入进来。
3、 本地策略――用户权限指派:“从网络访问这台计算机” 没有把Gueest加入进来。
解决方法:在这三条策略中做相应的修改。
进行本地安全策略方法:
在命令提示符或运行框里面输入:Secpol.msc
可能原因:
在安全选项设置了“账户:使用空白密码的本地账户只充许进行控制台登陆”
在 本地策略――用户权限指派:“拒绝从网络访问这台计算机” 加把Guest账号加入进来。
3、 本地策略――用户权限指派:“从网络访问这台计算机” 没有把Gueest加入进来。
解决方法:在这三条策略中做相应的修改。
进行本地安全策略方法:
在命令提示符或运行框里面输入:Secpol.msc
4、本地安全审核
错误图(3――2)
可能的原因:
客户机以非Guest用户身份接受安全策略审核
策略1:本地策略――安全选项――“账户:使用空白求密码的本地账户只充许进行控制台登陆”
策略2:本地策略――用户权限指派:“拒绝从网络访问这台计算机”没有把相关的账户删除
策略3:本地策略――用户权限指派:“从网络访问这台计算机”没有把相关的账户添加进来。
解决方法:在这第一条策略中做相应的修改。在策略2、3中把相关账户添加进来。
可能的原因:
客户机以非Guest用户身份接受安全策略审核
策略1:本地策略――安全选项――“账户:使用空白求密码的本地账户只充许进行控制台登陆”
策略2:本地策略――用户权限指派:“拒绝从网络访问这台计算机”没有把相关的账户删除
策略3:本地策略――用户权限指派:“从网络访问这台计算机”没有把相关的账户添加进来。
解决方法:在这第一条策略中做相应的修改。在策略2、3中把相关账户添加进来。
错误图(3―3)
可能的原因:
1、本地安全策略――安全选项:网络访问,本地账户的共享和安全模式,等价于是否启用“简单文件共享:”
2、本地策略――安全选项:“网络访问:不充许SAM账户和共享的名枚举:
该选项默认为“已停用”,如果启用该选项,相当于将注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous值设为1
如果我们知道服务器上某个文件夹的共享名(如:share),就可以通过 \\servername\share来访问
(本地策略、安全选项。“网络安一”LAN Manager身份验证级别“
该安全选项控制TLM身份验证协议的安全级别,如果您的网络环境里只有windows 2000和windows xp ,则该选项设置为“公发送mtlmv2响应/拒绝lm&ntlm”,需要注意的是,这会导致windows 98等老的操作系统无法访问)会弹出如上图错误框:
[url]http://support.microsoft.com/kb/823659/zh-cn[/url]
可能的原因:
1、本地安全策略――安全选项:网络访问,本地账户的共享和安全模式,等价于是否启用“简单文件共享:”
2、本地策略――安全选项:“网络访问:不充许SAM账户和共享的名枚举:
该选项默认为“已停用”,如果启用该选项,相当于将注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous值设为1
如果我们知道服务器上某个文件夹的共享名(如:share),就可以通过 \\servername\share来访问
(本地策略、安全选项。“网络安一”LAN Manager身份验证级别“
该安全选项控制TLM身份验证协议的安全级别,如果您的网络环境里只有windows 2000和windows xp ,则该选项设置为“公发送mtlmv2响应/拒绝lm&ntlm”,需要注意的是,这会导致windows 98等老的操作系统无法访问)会弹出如上图错误框:
[url]http://support.microsoft.com/kb/823659/zh-cn[/url]
5:权限检查
权限检查流程:
对于禁用了简单文件共享的Windows XP Professional 和Windows 2000,客户机访问服务器上的某个共享资源时必须同时满足共享权限和NTFS权限。
错误图(4――1)
原因:
于NTFS格式的系统,必须要同时满足共享权限和NTFS权限客户机才能正常访问它。
总结:
对于网络访问是一个非常复杂的过程,其中任何一下环节出了问题,都可能导致不能正常访问,网络访问的问题也不局限于此,在这里只列出了一些比较常见的问题。本文主要根据technet网络广播中的《关于工作组环境中网络访问的疑难解答》结合自己在日常工作中的碰到的一些有关问题编写的。
下面是一些技巧和参考文档,
如何解决 Windows XP 的 TCP/IP 连接问题
[url]http://support.microsoft.com/kb/314067/zh-cn[/url]
如何解决基本的 TCP/IP 问题
[url]http://support.microsoft.com/kb/169790/zh-cn[/url]
NetBEUI协议安装:
Windows 安装光盘中找到:在Windows XP安装 NetBEUI 协议的方法:复制 nbf.sys 到 %SYSTEMROOT%\SYSTEM32\DRIVERS\ 目录复制 netnbf.inf 到 %SYSTEMROOT%\INF\ 目录* 打开网络连接属性,单击 "安装..." 按钮来安装 NetBEUI 协议
Windows 安装光盘中找到:在Windows XP安装 NetBEUI 协议的方法:复制 nbf.sys 到 %SYSTEMROOT%\SYSTEM32\DRIVERS\ 目录复制 netnbf.inf 到 %SYSTEMROOT%\INF\ 目录* 打开网络连接属性,单击 "安装..." 按钮来安装 NetBEUI 协议
关于Server 服务的趣味技巧
如果停止Server服务,计算机描述就会无法显示(位于“系统属性”对话框的“计算机名”标签页),同时也无法接受输入。同时在Windows XP登陆进的欢迎屏幕上也看不到相应的计算机描述信息。
计算机描述翻信息是受Server服务影响,具体是由:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\parameters下的srvcomment键值所控制。
直接修改srvcomment键值,需要重新启动计算机才可以同步到“计算机描述”直接修改计”算机描述“会立即同步到srvcomment键值。
net config server命令:可以在命令提示符窗口用net config server命令对server服务进行配制。
net config server /SRVCOMMENT:"TEXT" 可以设置计算机描述
net config server /hidden:yes可以在浏览列表(网络邻居)里隐藏该计算机。但其它计算机知道其名字或IP还是能访问它
注:该计算机会在30分钟后才会自动隐藏自己
恢复到原来的安全设置:
如果不小心把本地安全策略改动得面目全非,怎么办?
可以用以下方法将安全策略恢复到全新安装系统的默认安全设置:
在命令提示符下运行以下命令:
1). 单击“开始”,单击“运行”,键入 cmd,然后按 Enter。
2). 键入 secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose,然后按 Enter。您将收到一条说明“任务已完成”的消息,和一条指出不可以做某些事情的警告消息。您可以忽略它而不会有任何问题。有关此消息的更多信息,请查看 %windir%\Security\Logs\Scesrv.log 文件。
(2) 恢复用户权限指派的项目
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /areas USER_RIGHTS /verbose
(3)恢复安全选项:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /areas SECURITYPOLICY /verbose
如果不小心把本地安全策略改动得面目全非,怎么办?
可以用以下方法将安全策略恢复到全新安装系统的默认安全设置:
在命令提示符下运行以下命令:
1). 单击“开始”,单击“运行”,键入 cmd,然后按 Enter。
2). 键入 secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose,然后按 Enter。您将收到一条说明“任务已完成”的消息,和一条指出不可以做某些事情的警告消息。您可以忽略它而不会有任何问题。有关此消息的更多信息,请查看 %windir%\Security\Logs\Scesrv.log 文件。
(2) 恢复用户权限指派的项目
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /areas USER_RIGHTS /verbose
(3)恢复安全选项:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /areas SECURITYPOLICY /verbose
分析共享资源的访问权限两个工具
AccessEnum
[url]http://www.sysinternals.com/Utilities/AccessEnum.html[/url]
DumpSec:
[url]http://www.systemtools.com/cgi-bin/download.pl?DumpAcl[/url]
AccessEnum
[url]http://www.sysinternals.com/Utilities/AccessEnum.html[/url]
DumpSec:
[url]http://www.systemtools.com/cgi-bin/download.pl?DumpAcl[/url]
如何在 Windows 2000 上删除并重新安装 TCP/IP
[url]http://support.microsoft.com/kb/285034/zh-cn[/url]
[url]http://support.microsoft.com/kb/285034/zh-cn[/url]