Home
  •  

Échec de rappel de sécurité du protocole du service témoin SMB

Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied (Rule)

Knowledge Base article:

Résumé

Le service du témoin SMB n'a pas réussi à faire une demande à partir d'un autre ordinateur en raison du mauvais niveau de sécurité de l'ordinateur.

Causes

Ceci peut se produire si une tentative d'inscription pour l'inscription du témoin SMB à partir d'un ordinateur qui n'a pas rejoint le domaine dans la même forêt que le service du témoin SMB ou si une commande administrative est exécutée à partir d'un ordinateur en dehors du cluster de serveurs de fichiers.

Résolutions

Assurez-vous que les ordinateurs accédant aux partages de fichiers dans le cluster de serveurs de fichiers ont rejoint un domaine dans la même forêt que le cluster du serveur de fichiers et assurez-vous d'exécuter les commandes administratives sur l'un des nœuds du cluster.

Element properties:

TargetMicrosoft.Windows.FileServices.Service.SMB.6.3.Clustered
CategoryAvailabilityHealth
EnabledTrue
Event_ID2
Event SourceMicrosoft-Windows-SMBWitnessService
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Le témoin SMB a rencontré un échec de sécurité
Échec du serveur du témoin SMB de la demande à partir d'un autre ordinateur en raison d'un mauvais niveau de sécurité.
Event LogWitnessServiceAdmin

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied" Target="Microsoft.Windows.FileServices.Service.SMB.6.3.Clustered" Remotable="true" Enabled="true">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>WitnessServiceAdmin</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-SMBWitnessService</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">2</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>