Windows Server 2012 R2

[petr0s]

Καλησπέρα σε όλους! Αντιμετωπίζω την παρακάτω εκνευριστική κατάσταση...

 

Windows Server 2008 R2 και πολυμηχάνημα Ricoh Afficio MP C2000.

Όταν scan-αρει ο χρήστης κάνει authenticate σε ένα folder και αφήνει το scan-αρισμένο αρχείο.

 

Φτιάχνοντας έναν νεό File Server 2012 R2 το πολυμηχάνημα έβγαλε error: Failed to transmit και έτσι έχουμε:

 

- SMBv2 & SMBv1 το powershell λέει πως είναι ενεργά στον νέο FS

-  To SMB CIFS feature είναι installed

- "Χαμήλωσα" το authenticaton level του LanMan

- Το πολυμηχάνημα τρέχει το τελευταίο firmware του κατασκευαστή

 

Είναι μέρες τιμολόγησης και θα με φάνε ζωντανό, please help 

 

 

ΥΓ: είναι άδικο να στήνεις φρέσκο πράμα και να περνάς 2+ tera data χωρίς να ενοχληθεί κανείς και να σε κρεμάνε για ένα scan-άρισμα....

 

YΓ2:

 

μια σειρά οδηγιών για το θέμα του SMB

You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.
To obtain the current state of the SMB server protocol configuration, run the following cmdlet:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
To disable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
To enable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true

To disable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
To enable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config mrxsmb10 start= auto
To disable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi 
sc.exe config mrxsmb20 start= disabled
To enable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config mrxsmb20 start= auto

Get-SmbConnection

Add-WindowsFeature FS-SMB1
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Set-SmbServerConfiguration –EnableSMB1Protocol $true

Patch που δοκίμασα:

https://www.microsoft.com/en-us/download/confirmation.aspx?id=41076&cffa64c5-a636-96fc-e97a-0e907fcc4c04=True

Degrade LanMan:

https://blog.workinghardinit.work/tag/smb-1-0/

[Blackman]

Πέτρο βρήκα αυτά

https://social.technet.microsoft.com/Forums/en-US/45f11013-3e03-4b3b-afa0-743131c479f0/ricoh-aficio-mp-c2051-scan-to-folder-windows-server-2012-error-authentication-with-the?forum=winserverfiles

 

ένας λεει:

The Ricoh firmware 'NETWORK SUPPORT' module needs updating.

That's it.

επίσης με βάση αυτο που μου ειπες στο τηλέφωνο για την IP...σίγουρα υπάρχει κάποιο DNS issue...όπου αναφέρουν και στο παραπάνω link καθώς το έχει και αλλος τετοιο θέμα.

τσεκαρε να βαλεις σωστα τα username/password....δοκίμασε και με domain/username ή [email protected]

οι περισσότεροι μιλάνε πάντως ότι ειναι θέμα firmware και αν ειναι παλιό το μηχάνημα πιθανόν να είσαι άτυχος και να μην βγάζει αλλο firmware

ένας αλλος όμως διαφωνεί και δίνει τα παρακάτω updates που διορθώνουν το πρόβλημα:
https://support.microsoft.com/en-us/kb/2896636

https://support.microsoft.com/en-us/kb/2887595

(αυτο πιθανόν να διορθώσει και το πρόβλημα σου)
σε άλλον δεν έπαιξε...

αλλά γράψε και τι firmware version έχεις

επίσης γράφεις ότι κατέβασες το LanMan ...φαντάζομαι ότι από την στιγμή που παίζει NTLMv2 έκανες το σύστημα να δέχεται και NTLMv1 ;

δεν ξέρω αν και αυτό  βοηθάει
https://technet.microsoft.com/en-us/library/jj865685%28v=ws.10%29.aspx
 

[Blackman]

καποιος έγραψε αυτό:
 

Okay thanks to this thread and a few on technet the problem appears to be a confirmed lack of backward compatibility with the new SMB 3.0 used by Server 2012 and Windows 8 and the older SMB 1 or 2 used by the Ricoh's. Unless Ricoh releases a firmware update, then Scan to a Network SMB folder will no longer be working. (And I'm not expecting them to use development resources on updating legacy devices...)

As a workaround to preserve the previous user experience I installed the FTP server role on Server 2012 essentials and (eventually) got scanning to the same previously used Sharefolder working via FTP from the Ricoh. From an end user perspective this is very working well, since it uses the same steps as the previous scanning to an SMB network folder did.

However, in the process I noticed that the Ricoh's FTP features do not include SSL, so using this workaround I now am sending the Window's user credentials the Scanner uses over the LAN in plaintext. This is certainly poor security, but perhaps also not a huge issue since if anyone is sniffing traffic on your LAN then you already have a much bigger issue then them capturing the Windows credential's you assigned to the scanner.

That said does anyone have suggestions on the simplest ways to improve the security of this (non-encrypted) FTP workaround?

One idea I had was to allow anonymous FTP so at least there would be no Windows user credentials to potentially be sniffed? And then set Firewall rules on the Server to only allow FTP connections from the Scanner's LAN IP address?

[fumantsu]

Έχω κάνει εγκατάσταση αρχαίου ricoh  σε 2012 σίγουρα. Συγκεκριμένα στον ίδιο πελάτη 2 μηχανήματα Ricoh. Ένα παλιό και ένα ποιο καινούργιο.
Δεν είχα θέμα. Λίγο με βασάνισε μόνο στο authentication αλλά και στα δύο μηχανήματα είχα το ίδιο θέμα.

Δεν θυμάμαι μοντέλο τώρα.

Βασικά το είχα φτιάξει και έστελνε και στα pc στο δίκτυο εκτός από τον server.

 

Για αρχή δοκίμασε σε ένα folder με access "everyone" για να δεις αν μπορεί να αποθηκεύσει γιατί μπορεί να μην περνάει σωστά τα credentials και να ψάχνεσαι άδικα.

[petr0s]

Καλημέρα!

 

Δε νομίζω να είναι θέμα τα credentials καθώς οι υπόλοιποι 9 δουλεύουν μια χαρά. Βέβαια αυτός είναι MP C2000 και οι άλλοι MP C2050 και άνω.. Θα κάνω δοκιμές και θα σας πω! 

[petr0s]

George έχω δει όλα τα παραπάνω που έγραψες αλλά καμία τύχη.. Με βλέπω στο τέλος να καταλήγω να παίζω με FTP αλλά δε μου αρέσει η ιδέα. Δε γίνεται να μη λύνεται το θέμα. Ένας εκτυπωτής είναι στο κάτω κάτω όχι πυρηνικός πύραυλος 

[petr0s]

Η ιδέα του everyone πέθανε..

[giotis]

Δοκίμασε στον Server , gpedit.msc -> Computer Configuration ->Windows Settings->Security Settings->Network security: LAN Manager authentication level σε Send LM & NTLM -Use v2 if available. Αυτό είναι και θέμα μεταξύ Server 2003 και 2012

[petr0s]

Καλημέρα, στο Compyuter Configuration->Windows Settings->Security Security Settings οι επιλογές που έχω είναι:

 

account policies

local policies

windows firewall with advanced security

network list manager policies

public key policies

software restriction policies

application control policies

op security policies on local computer

advanced audit policy configuration

[petr0s]

Local Policies-> Security Options μάλλον κάτι έχει!

[petr0s]

Send LM & NTLM - use NTLMv2 session if negotiated

 

Δοκιμάζω και ενημερώνω

[petr0s]

No luck..

[giotis]

Φαντάζομαι έκανες gpupdate /force Μετά έτσι;

[petr0s]

Ναι!

[Blackman]

επειδή ο Πέτρος δεν έγραψε... τελικά το έκανε μέσω FTP

[petr0s]

επειδή ο Πέτρος θα το γραφε.. ναι το έκανε με FTP, βιαστικούλη!

[Blackman]

ο μήνας άλλαξε πάντως μέχρι να το γράψεις!!!