Home
  •  

SMB motringningsfel i vittnestjänstens protokollsäkerhet

Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied (Rule)

Knowledge Base article:

Sammanfattning

SMB-vittnestjänsten och servern misslyckades med en förfrågan från en annan datorn på grund av att datorn inte hade korrekt säkerhetsnivå

Orsaker

Detta kan uppstå, om ett försök att registrera för SMB-vittnesregistrering från en dator som inte är delaktig i domänen i samma skog som SMB-vittnestjänsten eller om ett administrativ kommando kör från en dator utanför filserverns kluster.

Lösningar

Försäkra dig att datorerna kommer åt fildelningarna i filserverns kluster som ingår i domänen i samma skog som felserverns kluster och försäkra dig att köra administrativa kommando på en av klusternoderna.

Element properties:

TargetMicrosoft.Windows.FileServices.Service.SMB.6.3.Clustered
CategoryAvailabilityHealth
EnabledTrue
Event_ID2
Event SourceMicrosoft-Windows-SMBWitnessService
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SMB-vittnes identifierade ett säkerhetsfel
SMB-vittens och servern misslyckades med en förfrågan från en annan datorn på grund av att den inte hade korrekt säkerhetsnivå
Event LogWitnessServiceAdmin

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied" Target="Microsoft.Windows.FileServices.Service.SMB.6.3.Clustered" Remotable="true" Enabled="true">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>WitnessServiceAdmin</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-SMBWitnessService</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">2</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>