Home
  •  

Fout in retouraanroep van protocolbeveiliging in de SMB Witness-service

Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied (Rule)

Knowledge Base article:

Samenvatting

De SMB Witness-service heeft een aanvraag van een andere computer niet verwerkt omdat het beveiligingsniveau van de computer niet juist is.

Oorzaken

Dit kan gebeuren als er wordt geprobeerd te registreren voor de SMB Witness-service vanaf een computer die geen lid is van een domein in hetzelfde forest als de SMB Witness-service, of als er een beheeropdracht wordt uitgevoerd vanaf een computer buiten het bestandsservercluster.

Oplossingen

Zorg ervoor dat de computers die toegang hebben tot bestandsshares in het bestandsservercluster lid zijn van een domein in hetzelfde forest als het bestandsservercluster. Zorg er ook voor dat beheeropdrachten worden uitgevoerd op een van de clusterknooppunten.

Element properties:

TargetMicrosoft.Windows.FileServices.Service.SMB.6.3.Clustered
CategoryAvailabilityHealth
EnabledTrue
Event_ID2
Event SourceMicrosoft-Windows-SMBWitnessService
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SMB Witness heeft een beveiligingsfout gevonden
De SMB Witness-server heeft een aanvraag van een andere computer niet verwerkt omdat het beveiligingsniveau niet juist is.
Event LogWitnessServiceAdmin

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied" Target="Microsoft.Windows.FileServices.Service.SMB.6.3.Clustered" Remotable="true" Enabled="true">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>WitnessServiceAdmin</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-SMBWitnessService</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">2</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.FileServices.Service.SMB.6.3.WitnessAccessDenied.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>